TR/Rootkit.Gen und TR/Crypt.ZPACK.Gen

matthias2619 · 14.06.2010, 14:26

Hallo,
ich habe gestern von AntiVir mehrere Funde gemeldet bekommen!

Code:

ATTFilter

c:\Dokumente und Einstellungen\xxxxxxx\wuaucldt.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6bfc5234.qua' verschoben!

Code:

ATTFilter

C:\WINDOWS\system32\drivers\cdrom.sys
    [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
    [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Cdrom\ImagePath> wurde erfolgreich entfernt.
    [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Cdrom\ImagePath> wurde erfolgreich entfernt.
    [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet003\Services\Cdrom\ImagePath> wurde erfolgreich entfernt.
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2e8b7f4d.qua' verschoben!

Code:

ATTFilter

C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\cbss.dll
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\xxxxxxxx\Lokale Einstellungen\Temp\yqtfdfqzqph.sys
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\Dokumente und Einstellungen\xxxxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8VFTB5I8\irs62[1].exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\e4f32aaa6bdf5384c8c43f807b\tmp15.tmp.exe
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\uqnrofov.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

Code:

ATTFilter

Beginne mit der Suche in 'C:\Dokumente und Einstellungen\Matthias\Lokale Einstellungen\Temp\ahmboimikvq.sys'
C:\Dokumente und Einstellungen\xxxxxxxxx\Lokale Einstellungen\Temp\ahmboimikvq.sys
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e544dda.qua' verschoben!

Code:

ATTFilter

Beginne mit der Suche in 'C:\System Volume Information\_restore{0885011B-D18C-4883-AD34-80FE29855AB5}\RP28\A0010166.sys'
C:\System Volume Information\_restore{0885011B-D18C-4883-AD34-80FE29855AB5}\RP28\A0010166.sys
    [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e90ae50.qua' verschoben!

Dann hat die heuristik noch Folgendes gefunden:

Code:

ATTFilter

Beginne mit der Suche in 'C:'
C:\Dokumente und Einstellungen\xxxxxxxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8VFTB5I8\523d090610[1].exe
    [FUND]      Enthält verdächtigen Code: HEUR/Crypted
C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8VFTB5I8\523d090610[2].exe
    [FUND]      Enthält verdächtigen Code: HEUR/Crypted
C:\Dokumente und Einstellungen\xxxxxxxxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KKK03IM1\523d090610[1].exe
    [FUND]      Enthält verdächtigen Code: HEUR/Crypted
C:\Dokumente und Einstellungen\xxxxxxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KKK03IM1\523d090610[4].exe
    [FUND]      Enthält verdächtigen Code: HEUR/Crypted
C:\Dokumente und Einstellungen\xxxxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UAFWSXOE\523d090610[1].exe
    [FUND]      Enthält verdächtigen Code: HEUR/Crypted
C:\Dokumente und Einstellungen\xxxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UAFWSXOE\523d090610[2].exe
    [FUND]      Enthält verdächtigen Code: HEUR/Crypted

Bitte um Hilfe!
Lg

markusg · 14.06.2010, 14:30

ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "run Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
poste die beiden, eventuell musst du sie aufteilen.

matthias2619 · 14.06.2010, 14:36

Danke für die schnelle Hilfe.
Aber beim Scan von "dtgivmxn.sys" bleibt OTL hängen.
Genauso wie AntiVir.
Der Scan geht nicht weiter.
Lg

markusg · 14.06.2010, 14:43

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

matthias2619 · 14.06.2010, 15:20

das klappt auch nicht.
bleibt auch hängen.
Lg

markusg · 14.06.2010, 15:33

Download den avenger:
Avenger
Füge das script ein, wie auf der seite beschrieben:

Drivers to disable:
dtgivmxn
uqnrofov
Drivers to delete:
dtgivmxn
uqnrofov
Files to delete:
C:\windows\system32\drivers\dtgivmxn.sys
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\cbss.dll
C:\WINDOWS\system32\drivers\uqnrofov.sys
Folders to delete:
C:\e4f32aaa6bdf5384c8c43f807b

Führe das script wie auf der seite beschrieben aus, poste das log.

matthias2619 · 14.06.2010, 15:43

Hab alles wie beschrieben gemacht, aber es kommt die Fehlermeldung:
"Error: Could not query installed services.
Aborting execution! (error 0:der Vorgang wurde erfolgreich beendet.)"

Lg

markusg · 14.06.2010, 15:45

gab es noch ein logfile oder war das alles?
hast du den avenger entpackt und wenn du vista oder windows 7 nutzt, das programm mit rechtsklick als admin ausgeführt?

matthias2619 · 14.06.2010, 15:49

Ja, ich habe ihn entpackt und dann unter XP ausgeführt.
Script reinkopiert, execute gedrückt, "Ja" gedrückt, und dann auch schon die Fehlermeldung.
Aber ein Log gibt es:

Code:

ATTFilter

//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:41:29 2010

16:41:29: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:44:22 2010

16:44:22: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:44:27 2010

16:44:27: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:45:35 2010

16:45:35: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:47:48 2010

16:47:48: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:47:59 2010

16:47:59: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////

Lg

markusg · 14.06.2010, 16:06

starte mal in den abgesicherten modus, meist ist das beim systemstart die f8 taste drücken, ein paar mal. dann versuche den avenger erneut, poste das log.

matthias2619 · 14.06.2010, 16:27

Fertig

hat geklappt

und hier ist der log:

Code:

ATTFilter

//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:41:29 2010

16:41:29: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:44:22 2010

16:44:22: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:44:27 2010

16:44:27: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:45:35 2010

16:45:35: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:47:48 2010

16:47:48: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:47:59 2010

16:47:59: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "dtgivmxn" disabled successfully.

Error:  could not open driver "uqnrofov"
Disablement of driver "uqnrofov" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Driver "dtgivmxn" deleted successfully.

Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\uqnrofov" not found!
Deletion of driver "uqnrofov" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\windows\system32\drivers\dtgivmxn.sys" deleted successfully.
File "C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\cbss.dll" deleted successfully.

Error:  file "C:\WINDOWS\system32\drivers\uqnrofov.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\uqnrofov.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Folder "C:\e4f32aaa6bdf5384c8c43f807b" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

ich weiss nicht ob da auch noch der andere log drin ist...
Lg

markusg · 14.06.2010, 16:32

ist kein problem. nun versuche noch mal combofix, poste das log.

matthias2619 · 14.06.2010, 16:49

hat geklappt [:

Code:

ATTFilter

ComboFix 10-06-13.04 - Matthias 14.06.2010  17:37:16.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.503.252 [GMT 2:00]
ausgeführt von:: c:\downloads\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\common.data
c:\dokumente und einstellungen\All Users\Dokumente\Settings
c:\dokumente und einstellungen\All Users\Dokumente\Settings\cbss.dll
c:\windows\system32\drivers\str.sys
.
---- Vorheriger Suchlauf -------
.
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\cift.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\common.data
c:\dokumente und einstellungen\Matthias\Anwendungsdaten\cift.exe
c:\dokumente und einstellungen\Matthias\oashdihasidhasuidhiasdhiashdiuasdhasd
c:\programme\RelevantKnowledge
c:\programme\RelevantKnowledge\MSVCP71.DLL
c:\programme\RelevantKnowledge\MSVCR71.DLL
c:\programme\RelevantKnowledge\rlservice.exe

-- Vorheriger Suchlauf --

c:\windows\system32\drivers\cdrom.sys fehlte 
Kopie von - c:\windows\ServicePackFiles\i386\cdrom.sys wurde wiederhergestellt

--------

.
(((((((((((((((((((((((   Dateien erstellt von 2010-05-14 bis 2010-06-14  ))))))))))))))))))))))))))))))
.

2010-06-14 15:11 . 2010-06-14 15:11	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Eigene Dateien
2010-06-14 15:11 . 2010-06-14 15:11	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-06-14 15:10 . 2010-06-14 15:10	--------	d-sh--w-	c:\dokumente und einstellungen\Administrator\PrivacIE
2010-06-14 14:41 . 2010-06-14 14:41	--------	d-----w-	c:\dokumente und einstellungen\Matthias\Lokale Einstellungen\Anwendungsdaten\Eraser 6
2010-06-14 14:14 . 2008-04-13 22:10	62976	-c--a-w-	c:\windows\system32\dllcache\cdrom.sys
2010-06-14 14:14 . 2008-04-13 22:10	62976	----a-w-	c:\windows\system32\drivers\cdrom.sys
2010-06-13 15:21 . 2010-06-13 15:21	--------	d-----w-	c:\dokumente und einstellungen\Matthias\Anwendungsdaten\FastStone
2010-06-13 14:09 . 2010-06-13 14:09	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Eraser 6
2010-06-13 13:48 . 2010-06-13 13:48	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avira
2010-06-13 13:46 . 2010-06-13 13:46	18824	----a-w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-06-13 13:44 . 2010-06-13 13:44	--------	d-----w-	c:\programme\Eraser
2010-06-13 11:44 . 2010-06-13 11:44	--------	d-----w-	c:\dokumente und einstellungen\Matthias\Anwendungsdaten\Avira
2010-06-13 11:41 . 2010-03-01 08:05	124784	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-06-13 11:41 . 2010-02-16 12:24	60936	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-06-13 11:41 . 2009-05-11 10:49	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2010-06-13 11:41 . 2010-06-13 11:41	--------	d-----w-	c:\programme\Avira
2010-06-13 11:41 . 2010-06-13 11:41	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-06-13 11:41 . 2009-05-11 10:49	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2010-06-12 22:02 . 2010-06-12 22:02	--------	d-sh--w-	c:\windows\system32\config\systemprofile\IETldCache
2010-06-12 14:11 . 2009-12-29 13:08	15360	----a-w-	c:\windows\system32\drivers\nnrnstdi.sys
2010-06-12 14:11 . 2009-12-29 13:08	10368	----a-w-	c:\windows\system32\drivers\km_filter.sys
2010-06-12 14:11 . 2008-03-21 11:57	14640	------w-	c:\windows\system32\spmsgXP_2k3.dll
2010-06-12 14:10 . 2008-12-16 10:44	1112288	----a-w-	c:\windows\system32\WdfCoInstaller01007.dll
2010-06-12 14:06 . 2010-06-12 14:06	--------	d-----w-	c:\programme\NetRatingsNetSight
2010-06-12 13:51 . 2010-06-12 13:51	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\RoboForm
2010-06-12 13:51 . 2010-06-12 13:51	--------	d-----w-	c:\programme\Siber Systems
2010-06-12 13:41 . 2010-06-12 13:41	--------	d-----w-	c:\windows\Sun
2010-06-11 17:10 . 2010-06-11 17:59	--------	d-----w-	c:\dokumente und einstellungen\Matthias\Anwendungsdaten\MyPhoneExplorer
2010-06-11 17:10 . 2010-06-11 17:10	--------	d-----w-	c:\programme\MyPhoneExplorer
2010-06-11 15:53 . 2002-02-18 01:58	98304	----a-w-	c:\windows\system32\unzip32.dll
2010-06-11 15:53 . 2010-06-11 15:57	--------	d-----w-	c:\programme\flatster
2010-06-10 17:44 . 2010-06-10 17:44	--------	d-sh--w-	c:\dokumente und einstellungen\Matthias\PrivacIE
2010-06-10 16:38 . 2010-06-12 15:09	--------	d-----w-	c:\dokumente und einstellungen\Matthias\Anwendungsdaten\vlc
2010-06-10 13:48 . 2010-06-10 13:49	--------	d-----w-	c:\programme\IrfanView
2010-06-10 13:26 . 2010-06-10 13:30	--------	d-----w-	c:\dokumente und einstellungen\Matthias\Anwendungsdaten\PhotoFiltre
2010-06-10 13:25 . 2010-06-10 13:28	--------	d-----w-	c:\programme\PhotoFiltre
2010-06-09 14:25 . 2010-05-06 10:31	743424	-c----w-	c:\windows\system32\dllcache\iedvtool.dll
2010-06-08 19:34 . 2010-06-02 11:41	179144	----a-w-	c:\windows\system32\drivers\PCGenFAM.sys
2010-06-08 19:34 . 2010-06-08 19:35	--------	d-----w-	c:\programme\Soluto
2010-06-08 19:34 . 2010-06-08 19:34	--------	d-----w-	c:\dokumente und einstellungen\All Users\Soluto
2010-06-08 19:34 . 2010-06-08 19:34	892680	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Soluto\Installer\SolutoInstaller.exe
2010-06-08 19:34 . 2010-06-09 14:20	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Soluto
2010-06-08 17:21 . 2010-06-08 17:21	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tracker Software
2010-06-07 14:14 . 2007-11-06 13:39	69632	----a-w-	c:\windows\Alcmtr.exe
2010-06-07 13:42 . 2010-06-07 13:42	--------	d-----w-	c:\programme\Rockstar Games
2010-06-07 11:57 . 2010-06-07 11:57	--------	d-sh--w-	c:\dokumente und einstellungen\LocalService\IETldCache
2010-06-06 19:25 . 2008-04-13 22:17	25856	-c--a-w-	c:\windows\system32\dllcache\usbprint.sys
2010-06-06 19:25 . 2008-04-13 22:17	25856	----a-w-	c:\windows\system32\drivers\usbprint.sys
2010-06-06 19:25 . 2008-04-13 22:15	15104	-c--a-w-	c:\windows\system32\dllcache\usbscan.sys
2010-06-06 19:25 . 2008-04-13 22:15	15104	----a-w-	c:\windows\system32\drivers\usbscan.sys
2010-06-06 18:23 . 2010-06-06 18:23	--------	d-----w-	c:\programme\Veoh Networks
2010-06-06 13:17 . 2010-06-06 13:18	--------	d-----w-	C:\mgolf
2010-06-05 22:26 . 2010-06-05 22:39	--------	d-----w-	c:\dokumente und einstellungen\Matthias\Anwendungsdaten\SimpleGlass
2010-06-05 22:26 . 2010-06-05 22:26	--------	d-----w-	c:\programme\SimpleGlass
2010-06-05 22:24 . 2010-06-05 22:24	--------	d-----w-	c:\dokumente und einstellungen\Matthias\Anwendungsdaten\Styler
2010-06-05 22:22 . 2010-06-10 14:44	--------	d-----w-	c:\programme\Styler
2010-06-05 21:54 . 2010-06-05 21:54	--------	d-----w-	c:\dokumente und einstellungen\Matthias\Lokale Einstellungen\Anwendungsdaten\Ahead
2010-06-05 21:50 . 2005-09-01 09:03	5888	------w-	c:\windows\system32\drivers\imagedrv.sys
2010-06-05 21:50 . 2005-09-01 09:03	127488	------w-	c:\windows\system32\drivers\imagesrv.sys
2010-06-05 21:49 . 2004-07-09 06:43	364544	------w-	c:\windows\system32\TwnLib4.dll
2010-06-05 21:49 . 2000-06-26 08:45	106496	----a-w-	c:\windows\system32\TwnLib20.dll
2010-06-05 21:49 . 2004-07-26 14:16	476320	------w-	c:\windows\system32\ImagXpr7.dll
2010-06-05 21:49 . 2004-07-26 14:16	471040	------w-	c:\windows\system32\ImagXRA7.dll
2010-06-05 21:49 . 2004-07-26 14:16	262144	------w-	c:\windows\system32\ImagXR7.dll
2010-06-05 21:49 . 2004-07-26 14:16	1568768	------w-	c:\windows\system32\ImagX7.dll
2010-06-05 21:49 . 2001-07-09 08:50	155648	----a-w-	c:\windows\system32\NeroCheck.exe
2010-06-05 21:49 . 2010-06-05 21:49	--------	d-----w-	c:\programme\Gemeinsame Dateien\Ahead
2010-06-05 21:49 . 2010-06-05 21:49	--------	d-----w-	c:\programme\Ahead
2010-06-05 21:45 . 2010-06-05 21:58	--------	d-----w-	c:\programme\Yahoo!
2010-06-05 21:15 . 2010-06-05 22:01	--------	d-----w-	c:\programme\Pinnacle
2010-06-05 21:14 . 2010-06-05 21:14	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Pinnacle
2010-06-05 21:13 . 2010-06-05 21:13	--------	d-----w-	c:\dokumente und einstellungen\Matthias\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
2010-06-05 12:58 . 2010-06-05 12:58	--------	d-----w-	c:\programme\Gemeinsame Dateien\Windows Live
2010-06-05 12:42 . 2010-06-11 13:49	--------	d-----w-	c:\programme\JDownloader
2010-06-05 12:36 . 2010-06-11 21:50	--------	d-----w-	c:\dokumente und einstellungen\Matthias\Anwendungsdaten\dvdcss
2010-06-04 22:22 . 2008-04-14 05:52	28160	-c--a-w-	c:\windows\system32\dllcache\irmon.dll
2010-06-04 22:22 . 2008-04-14 05:52	28160	----a-w-	c:\windows\system32\irmon.dll
2010-06-04 22:22 . 2008-04-14 05:52	153088	-c--a-w-	c:\windows\system32\dllcache\irftp.exe
2010-06-04 22:22 . 2008-04-14 05:52	153088	----a-w-	c:\windows\system32\irftp.exe
2010-06-04 22:22 . 2008-04-14 05:52	8192	-c--a-w-	c:\windows\system32\dllcache\wshirda.dll
2010-06-04 22:22 . 2008-04-14 05:52	8192	----a-w-	c:\windows\system32\wshirda.dll
2010-06-04 22:05 . 2010-06-04 22:05	--------	d-----w-	c:\dokumente und einstellungen\Matthias\Anwendungsdaten\KC Softwares
2010-06-04 21:58 . 2010-06-04 21:58	--------	d-----w-	c:\programme\ConvertHelper
2010-06-04 21:57 . 2010-06-04 21:58	--------	d-----w-	c:\dokumente und einstellungen\Matthias\dwhelper
2010-06-04 16:52 . 2010-06-04 16:52	--------	d-----w-	c:\programme\KC Softwares
2010-06-04 16:40 . 2010-06-04 22:38	--------	d-----w-	c:\programme\XMedia Recode
2010-06-04 16:40 . 2010-06-04 16:40	--------	d-----w-	c:\programme\IObit
2010-06-04 15:50 . 2010-06-13 14:15	--------	d-----w-	c:\windows\system32\NtmsData
2010-06-04 15:04 . 2010-05-07 14:40	30536	----a-w-	c:\windows\system32\TURegOpt.exe
2010-06-04 15:04 . 2010-05-07 14:34	30024	----a-w-	c:\windows\system32\uxtuneup.dll
2010-06-04 15:04 . 2010-06-04 15:04	--------	d-----w-	c:\dokumente und einstellungen\Matthias\Anwendungsdaten\TuneUp Software
2010-06-04 15:04 . 2010-06-04 15:04	--------	d-----w-	c:\programme\TuneUp Utilities 2010
2010-06-04 15:03 . 2010-06-04 15:04	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2010-06-04 15:03 . 2010-06-04 15:03	--------	d-sh--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
2010-06-03 22:28 . 2010-06-10 19:30	18792	---ha-w-	c:\windows\system32\mlfcache.dat
2010-06-03 22:14 . 2010-06-03 22:14	--------	d-----w-	c:\programme\XviD
2010-06-03 22:11 . 2010-06-03 22:11	--------	d-----w-	c:\programme\Tracker Software
2010-06-03 22:09 . 2010-06-03 22:09	--------	d-----w-	c:\programme\CCleaner
2010-06-03 22:06 . 2010-06-13 14:26	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-06-03 22:06 . 2010-06-04 16:16	--------	d-----w-	c:\programme\Spybot - Search & Destroy
2010-06-03 22:04 . 2010-06-10 16:37	--------	d-----w-	c:\programme\VideoLAN
2010-06-03 20:56 . 2010-06-03 20:56	--------	d-----w-	C:\CFLog
2010-06-03 19:36 . 2003-06-18 15:31	18944	----a-w-	c:\windows\system32\Spool\prtprocs\w32x86\mdippr.dll
2010-06-03 19:36 . 2003-06-18 15:31	17920	----a-w-	c:\windows\system32\mdimon.dll
2010-06-03 19:35 . 2010-06-03 19:35	--------	d-----w-	c:\windows\SHELLNEW
2010-06-03 19:33 . 2010-06-04 14:50	--------	d-----w-	c:\programme\Microsoft.NET
2010-06-03 19:30 . 2010-06-03 19:30	--------	d-----r-	C:\MSOCache
2010-06-03 19:12 . 2010-06-03 19:12	--------	d-----w-	c:\dokumente und einstellungen\Matthias\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-06-03 14:49 . 2007-11-06 14:13	77824	----a-w-	c:\windows\system32\tosmreg.exe
2010-06-03 14:49 . 2007-11-06 14:13	491520	----a-w-	c:\windows\system32\cselect.exe
2010-06-03 14:49 . 2007-11-06 14:13	45056	----a-w-	c:\windows\system32\csellang.dll
2010-06-03 14:49 . 2010-06-03 14:49	--------	d-----w-	c:\programme\ltmoh
2010-06-03 14:49 . 2010-06-03 14:49	--------	d-----w-	c:\windows\Options
2010-06-03 14:48 . 2007-11-06 14:13	9216	----a-w-	c:\windows\system32\agrsmsvc.exe
2010-06-03 14:48 . 2007-11-06 14:13	50752	------w-	c:\windows\agrsmdel.exe
2010-06-03 14:48 . 2007-11-06 14:13	1161888	----a-w-	c:\windows\system32\drivers\AGRSM.sys
2010-06-03 14:48 . 2007-11-06 14:13	13312	----a-w-	c:\windows\system32\agrscoin.dll
2010-06-03 14:32 . 2010-06-03 14:32	--------	d-sh--w-	c:\dokumente und einstellungen\NetworkService\IETldCache
2010-06-03 14:28 . 2010-06-03 14:28	--------	d-----w-	c:\windows\system32\XPSViewer
2010-06-03 14:28 . 2010-06-03 14:28	--------	d-----w-	c:\programme\MSBuild
2010-06-03 14:28 . 2008-07-06 12:06	89088	----a-w-	c:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll
2010-06-03 14:28 . 2008-07-06 12:06	89088	-c----w-	c:\windows\system32\dllcache\filterpipelineprintproc.dll
2010-06-03 14:28 . 2008-07-06 12:06	117760	------w-	c:\windows\system32\prntvpt.dll
2010-06-03 14:28 . 2008-07-06 10:50	597504	-c----w-	c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2010-06-03 14:28 . 2008-07-06 10:50	597504	------w-	c:\windows\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-13 17:34 . 2010-06-02 20:03	--------	d-----w-	c:\dokumente und einstellungen\Matthias\Anwendungsdaten\Orbit
2010-06-12 14:11 . 2010-06-12 14:11	0	---ha-w-	c:\windows\system32\drivers\Msft_Kernel_nielprt_01007.Wdf
2010-06-12 14:11 . 2010-06-12 14:11	0	---ha-w-	c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2010-06-11 18:03 . 2003-04-02 11:00	516834	----a-w-	c:\windows\system32\perfh007.dat
2010-06-11 18:03 . 2003-04-02 11:00	100880	----a-w-	c:\windows\system32\perfc007.dat
2010-06-08 19:35 . 2010-06-02 18:58	18824	----a-w-	c:\dokumente und einstellungen\Matthias\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-06-06 19:26 . 2010-06-06 19:26	--------	d--h--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ
2010-06-04 15:34 . 2010-06-02 19:23	--------	d-----w-	c:\programme\Opera
2010-06-03 22:10 . 2010-06-03 22:10	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2010-06-03 22:10 . 2010-06-03 22:10	503808	----a-w-	c:\dokumente und einstellungen\Matthias\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-3ef1923a-n\msvcp71.dll
2010-06-03 22:10 . 2010-06-03 22:10	499712	----a-w-	c:\dokumente und einstellungen\Matthias\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-3ef1923a-n\jmc.dll
2010-06-03 22:10 . 2010-06-03 22:10	348160	----a-w-	c:\dokumente und einstellungen\Matthias\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-3ef1923a-n\msvcr71.dll
2010-06-03 22:10 . 2010-06-03 22:10	61440	----a-w-	c:\dokumente und einstellungen\Matthias\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-706bac85-n\decora-sse.dll
2010-06-03 22:10 . 2010-06-03 22:10	12800	----a-w-	c:\dokumente und einstellungen\Matthias\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-706bac85-n\decora-d3d.dll
2010-06-03 22:10 . 2010-06-03 22:10	411368	----a-w-	c:\windows\system32\deployJava1.dll
2010-06-03 22:10 . 2010-06-03 22:10	--------	d-----w-	c:\programme\Java
2010-06-03 22:10 . 2010-06-03 22:10	--------	d-----w-	c:\programme\FastStone Capture
2010-06-02 20:46 . 2010-06-02 20:46	--------	d-----w-	c:\programme\Paint.NET
2010-06-02 20:45 . 2010-06-02 20:45	--------	d-----w-	c:\programme\Reference Assemblies
2010-06-02 20:33 . 2010-06-02 20:33	--------	d-----w-	c:\programme\Z8Games
2010-06-02 20:03 . 2010-06-02 20:03	--------	d-----w-	c:\dokumente und einstellungen\Matthias\Anwendungsdaten\GrabPro
2010-06-02 20:03 . 2010-06-02 20:03	--------	d-----w-	c:\programme\Orbitdownloader
2010-06-02 20:02 . 2010-06-02 20:02	--------	d-----w-	c:\programme\Realtek
2010-06-02 20:02 . 2010-06-02 19:10	--------	d--h--w-	c:\programme\InstallShield Installation Information
2010-06-02 19:32 . 2010-06-02 19:32	315392	----a-w-	c:\windows\HideWin.exe
2010-06-02 19:32 . 2010-06-02 19:32	--------	d-----w-	c:\programme\Gemeinsame Dateien\InstallShield
2010-06-02 19:10 . 2010-06-02 19:10	--------	d-----w-	c:\programme\Realtek WLAN Driver
2010-06-02 18:53 . 2010-06-02 18:33	86327	----a-w-	c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
2010-06-02 18:34 . 2010-06-02 18:34	--------	d-----w-	c:\programme\microsoft frontpage
2010-06-02 18:33 . 2010-06-02 18:33	--------	d-----w-	c:\programme\Online-Dienste
2010-06-02 18:32 . 2010-06-02 18:32	--------	d-----w-	c:\programme\Gemeinsame Dateien\Dienste
2010-06-02 18:31 . 2010-06-02 18:31	21740	----a-w-	c:\windows\system32\emptyregdb.dat
2010-05-06 10:31 . 2003-04-02 11:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-05-02 08:05 . 2003-04-02 11:00	1851392	----a-w-	c:\windows\system32\win32k.sys
2010-04-25 14:53 . 2010-04-25 14:53	323624	----a-w-	c:\windows\system32\wiaaut.dll
2010-04-24 16:33 . 2010-04-24 16:33	73000	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.1.1.11\SetupAdmin.exe
2010-04-20 05:29 . 2003-04-02 11:00	285696	----a-w-	c:\windows\system32\atmfd.dll
2010-04-08 11:20 . 2010-04-08 11:20	91424	----a-w-	c:\windows\system32\dnssd.dll
2010-04-08 11:20 . 2010-04-08 11:20	107808	----a-w-	c:\windows\system32\dns-sd.exe
2010-03-18 14:47 . 2010-03-18 14:47	17760	----a-w-	c:\windows\system32\aspnet_counters.dll
2010-03-18 11:16 . 2010-03-18 11:16	771424	----a-w-	c:\windows\system32\msvcr100_clr0400.dll
2010-03-18 11:16 . 2010-03-18 11:16	70472	----a-w-	c:\windows\system32\dxva2.dll
2010-03-18 11:16 . 2010-03-18 11:16	486216	----a-w-	c:\windows\system32\evr.dll
2010-03-18 08:09 . 2010-03-18 08:09	99176	----a-w-	c:\windows\system32\PresentationHostProxy.dll
2010-03-18 08:09 . 2010-03-18 08:09	49488	----a-w-	c:\windows\system32\netfxperf.dll
2010-03-18 08:09 . 2010-03-18 08:09	297808	----a-w-	c:\windows\system32\mscoree.dll
2010-03-18 08:09 . 2010-03-18 08:09	295264	----a-w-	c:\windows\system32\PresentationHost.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SimpleGlass"="c:\programme\SimpleGlass\SGlass.exe" [2007-08-29 997888]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SkyTel"="SkyTel.EXE" [2007-11-06 1826816]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"Eraser"="c:\progra~1\Eraser\Eraser.exe" [2010-04-10 979344]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
"VeohPlugin"="c:\programme\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"HotKeysCmds"=c:\windows\system32\hkcmd.exe
"Persistence"=c:\windows\system32\igfxpers.exe
"IgfxTray"=c:\windows\system32\igfxtray.exe
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
"BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R0 PCGenFAM;PCGenFAM;c:\windows\system32\drivers\PCGenFAM.sys [08.06.2010 21:34 179144]
R1 nnrnstdi;nnrnstdi;c:\windows\system32\drivers\nnrnstdi.sys [12.06.2010 16:11 15360]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [13.06.2010 13:41 135336]
R2 SolutoService;Soluto PCGenome Core Service;c:\programme\Soluto\SolutoService.exe [02.06.2010 13:51 338464]
R3 km_filter;km_filter;c:\windows\system32\drivers\km_filter.sys [12.06.2010 16:11 10368]
R3 RTL8187B;Realtek RTL8187B Wireless 802.11b/g 54 MBit/s USB 2.0 Netzwerkadapter;c:\windows\system32\drivers\RTL8187B.sys [02.06.2010 21:10 341376]
S0 nielprt;Nielsen Patch Service;c:\windows\system32\DRIVERS\nielprt.sys --> c:\windows\system32\DRIVERS\nielprt.sys [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 cykpzlnr;\??\c:\d;\??\c:\dokume~1\Matthias\LOKALE~1\Temp\ahmboimikvq.sys --> c:\dokume~1\Matthias\LOKALE~1\Temp\ahmboimikvq.sys [?]
S2 pgrenvt;\??\c:\;\??\c:\dokume~1\Matthias\LOKALE~1\Temp\flptjyedgvc.sys --> c:\dokume~1\Matthias\LOKALE~1\Temp\flptjyedgvc.sys [?]
S3 NielGfx;Nielsen USB GFX;c:\windows\system32\drivers\nielgfx.sys --> c:\windows\system32\drivers\nielgfx.sys [?]
S3 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [07.05.2010 16:38 1051976]
S3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [25.02.2010 11:18 10064]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
S3 XDva349;XDva349;\??\c:\windows\system32\XDva349.sys --> c:\windows\system32\XDva349.sys [?]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-06-02 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: &Download by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/204
IE: Do&wnload selected by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/202
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: RF - Formular ausfüllen - file://c:\programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
IE: RF - Formular speichern - file://c:\programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
IE: RF - Menü anpassen - file://c:\programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
IE: RF - RoboForm-Leiste ein/aus - file://c:\programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
FF - ProfilePath - c:\dokumente und einstellungen\Matthias\Anwendungsdaten\Mozilla\Firefox\Profiles\90ll2qq4.default\
FF - component: c:\programme\NetRatingsNetSight\NetSight\meter1\FFAddon\components\nsgkff36_meter1.dll
FF - component: c:\programme\Siber Systems\AI RoboForm\Firefox\components\rfproxy_31.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npPDFXCviewNPPlugin.dll
FF - plugin: c:\programme\Opera\program\plugins\nporbit.dll
FF - plugin: c:\programme\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SafeBoot-dtgivmxn
SafeBoot-uqnrofov



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-06-14 17:43
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2672)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-06-14  17:48:02 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-06-14 15:47

Vor Suchlauf: 11 Verzeichnis(se), 53.557.751.808 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 53.519.695.872 Bytes frei

- - End Of File - - 2A729B1F9B279028E0AE13772DD588F7

Lg

markusg · 14.06.2010, 17:00

neues avenger script:

Files to delete:
c:\dokume~1\Matthias\LOKALE~1\Temp\ahmboimikvq.sys
c:\dokume~1\Matthias\LOKALE~1\Temp\flptjyedgvc.sys

es sollte im normalen modus klappen, wenn nciht im abgesicherten durchführen.
poste das log.

matthias2619 · 14.06.2010, 17:07

hat im normalen modus geklappt!

Code:

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  could not open driver "drivers to delete"
Disablement of driver "drivers to delete" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\dokume~1\Matthias\LOKALE~1\Temp\ahmboimikvq.sys" not found!
Deletion of file "c:\dokume~1\Matthias\LOKALE~1\Temp\ahmboimikvq.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\dokume~1\Matthias\LOKALE~1\Temp\flptjyedgvc.sys" not found!
Deletion of file "c:\dokume~1\Matthias\LOKALE~1\Temp\flptjyedgvc.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.

File not found?
Lg

14.06.2010, 14:43	#4
markusg /// Malware-holic	TR/Rootkit.Gen und TR/Crypt.ZPACK.Gen bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix

14.06.2010, 15:45	#8
markusg /// Malware-holic	TR/Rootkit.Gen und TR/Crypt.ZPACK.Gen gab es noch ein logfile oder war das alles? hast du den avenger entpackt und wenn du vista oder windows 7 nutzt, das programm mit rechtsklick als admin ausgeführt?

14.06.2010, 16:06	#10
markusg /// Malware-holic	TR/Rootkit.Gen und TR/Crypt.ZPACK.Gen starte mal in den abgesicherten modus, meist ist das beim systemstart die f8 taste drücken, ein paar mal. dann versuche den avenger erneut, poste das log.

14.06.2010, 16:32	#12
markusg /// Malware-holic	TR/Rootkit.Gen und TR/Crypt.ZPACK.Gen ist kein problem. nun versuche noch mal combofix, poste das log.

14.06.2010, 17:00	#14
markusg /// Malware-holic	TR/Rootkit.Gen und TR/Crypt.ZPACK.Gen neues avenger script: Files to delete: c:\dokume~1\Matthias\LOKALE~1\Temp\ahmboimikvq.sys c:\dokume~1\Matthias\LOKALE~1\Temp\flptjyedgvc.sys es sollte im normalen modus klappen, wenn nciht im abgesicherten durchführen. poste das log. Geändert von markusg (14.06.2010 um 17:11 Uhr)

TR/Rootkit.Gen und TR/Crypt.ZPACK.Gen

Plagegeister aller Art und deren Bekämpfung: TR/Rootkit.Gen und TR/Crypt.ZPACK.Gen