Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Backdoor.Tidserv in ftdisk.sik

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.09.2010, 21:42   #1
Cy-Music
 
Backdoor.Tidserv in ftdisk.sik - Standard

Backdoor.Tidserv in ftdisk.sik



Hallo Community,
mein Norton Internet Security zeigt mir an, dass in der Datei ftdisk.sik
(C:/WINDOWS/system32/drivers/ftdisk.sik) das RootKit Backdoor.Tidserv liegt.
Ich krieg's auch nicht weg.
Norton meint per Hand entfernen, Norton-Tools finden nix, weil sich der Virus anscheinend sehr, sehr gut tarnt, soviel ich gelesen habe.
Hoffe ihr könnt mir helfen!!

EDIT: Hier noch HijackThis und Malwarebytes-Logs!

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21:40:11, on 15.09.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\Drivers\WTSRV.EXE
C:\Programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\RocketDock\RocketDock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HiJackThis\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton Internet Security\Engine\18.1.0.37\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton Internet Security\Engine\18.1.0.37\IPSBHO.DLL
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Engine\18.1.0.37\coIEPlg.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1164535483125
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Norton Internet Security (NIS) - Symantec Corporation - C:\Programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe
O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\System32\Drivers\WTSRV.EXE

--
End of file - 7678 bytes
         
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4623

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15.09.2010 21:57:04
mbam-log-2010-09-15 (21-57-04).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 177643
Laufzeit: 5 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.TryMedia) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\gpupdate.dat (Malware.Trace) -> No action taken.
C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\usernt.dat (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> No action taken.
         

Geändert von Cy-Music (15.09.2010 um 22:02 Uhr)

Alt 16.09.2010, 11:17   #2
markusg
/// Malware-holic
 
Backdoor.Tidserv in ftdisk.sik - Standard

Backdoor.Tidserv in ftdisk.sik



bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________


Alt 16.09.2010, 17:24   #3
Cy-Music
 
Backdoor.Tidserv in ftdisk.sik - Standard

Backdoor.Tidserv in ftdisk.sik



Hallo markusg,
schonmal danke für die Antwort!

CF meinte kurz nach Scanbeginn er hätte RootKitAktivitäten festgestellt und müsste neustarten. Nach Klick auf OK, passierte aber nichts mehr, keine Festplattenaktivität, garnichts. Hab also manuell über den Power-Knopf am Rechner neu gestartet. Hoffe, das hat jetzt nichts verfälscht oder so.

Jedenfalls hier das Log:

Code:
ATTFilter
ComboFix 10-09-15.02 - Daniel Baumann 16.09.2010  17:09:13.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1917.1500 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) {804E5358-FFA4-00FC-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00EB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {F33C2C6C-FFA4-00DA-0D24-347CA8A3377C}
AV: Norton Internet Security *On-access scanning disabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\1.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\a.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\b.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\c.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\d.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\e.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\f.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\g.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\h.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\i.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\J.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\k.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\l.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\m.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\n.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\o.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\p.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\q.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\r.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\s.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\t.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\u.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\v.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\w.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\x.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\y.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\z.xml
c:\windows\daemon.dll
c:\windows\jestertb.dll
c:\windows\system32\encapi32.dll
c:\windows\system32\lsprst7.dll
c:\windows\system32\msvcsv60.dll
c:\windows\system32\ssprs.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2010-08-16 bis 2010-09-16  ))))))))))))))))))))))))))))))
.

2010-09-15 22:33 . 2010-09-15 22:36    --------    d-----w-    c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\NPE
2010-09-15 19:48 . 2010-09-15 19:48    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2010-09-15 19:48 . 2010-09-15 19:48    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2010-09-15 19:48 . 2010-09-15 19:48    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2010-09-15 19:48 . 2010-04-29 10:19    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-15 19:48 . 2010-04-29 10:19    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-09-15 19:10 . 2010-09-15 19:10    161296    ----a-w-    c:\windows\system32\drivers\tmcomm.sys
2010-09-11 10:35 . 2010-09-11 10:35    388096    ----a-r-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-09-05 15:10 . 2010-09-05 15:10    503808    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\msvcp71.dll
2010-09-05 15:10 . 2010-09-05 15:10    499712    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\jmc.dll
2010-09-05 15:10 . 2010-09-05 15:10    348160    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\msvcr71.dll
2010-09-05 15:10 . 2010-09-05 15:10    61440    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1d8c51e0-n\decora-sse.dll
2010-09-05 15:10 . 2010-09-05 15:10    12800    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1d8c51e0-n\decora-d3d.dll
2010-09-05 11:02 . 2010-07-17 03:00    423656    ----a-w-    c:\windows\system32\deployJava1.dll
2010-09-05 10:56 . 2010-09-05 10:56    --------    d-----w-    c:\programme\Defraggler
2010-09-05 10:55 . 2010-09-05 10:55    --------    d-----w-    c:\programme\Microsoft.NET
2010-09-05 10:46 . 2010-07-20 13:05    81920    ----a-w-    c:\windows\system32\igfxCoIn_v5284.dll
2010-09-05 09:41 . 2010-09-05 09:41    --------    d-----w-    c:\programme\NT Registry Optimizer
2010-09-05 08:35 . 2010-07-29 03:33    666672    ----a-r-    c:\windows\system32\drivers\SymEFA.sys
2010-09-05 08:35 . 2010-07-29 02:54    50096    ----a-r-    c:\windows\system32\drivers\srtspx.sys
2010-09-05 08:35 . 2010-07-13 01:20    369072    ----a-r-    c:\windows\system32\drivers\symtdi.sys
2010-09-05 08:35 . 2010-06-27 04:05    134704    ----a-r-    c:\windows\system32\drivers\Ironx86.sys
2010-09-05 08:35 . 2010-06-13 10:50    339504    ----a-r-    c:\windows\system32\drivers\SymDS.sys
2010-09-05 07:58 . 2010-09-05 08:35    60808    ----a-w-    c:\windows\system32\S32EVNT1.DLL
2010-09-05 07:58 . 2010-09-05 08:35    126512    ----a-w-    c:\windows\system32\drivers\SYMEVENT.SYS
2010-09-05 07:58 . 2010-09-05 08:02    --------    d-----w-    c:\programme\Gemeinsame Dateien\Symantec Shared
2010-09-05 07:58 . 2010-09-05 08:38    --------    d-----w-    c:\windows\system32\drivers\NIS
2010-09-05 07:58 . 2010-09-05 08:43    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton
2010-09-05 07:58 . 2010-09-05 07:58    --------    d-----w-    c:\programme\Norton Internet Security
2010-09-05 07:58 . 2010-09-05 07:58    --------    d-----w-    c:\programme\Windows Sidebar
2010-09-05 07:54 . 2010-09-05 07:54    --------    d-----w-    c:\programme\NortonInstaller
2010-09-05 03:09 . 2010-09-05 04:18    --------    d-----w-    C:\NBRT
2010-09-04 18:21 . 2010-09-05 07:57    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\NortonInstaller
2010-09-04 16:49 . 2010-09-04 16:49    --------    d-----w-    c:\windows\system32\wbem\Repository
2010-09-04 16:49 . 2010-09-04 16:49    --------    d-----w-    c:\programme\Gemeinsame Dateien\Skype
2010-09-04 15:37 . 2010-09-04 15:40    --------    d-s---w-    c:\dokumente und einstellungen\Administrator\Eigene Dateien
2010-09-04 15:27 . 2010-09-04 15:27    --------    d-----w-    c:\dokumente und einstellungen\Administrator\IETldCache
2010-09-04 15:15 . 2010-09-04 15:15    --------    d-----w-    c:\dokumente und einstellungen\xxx\PrivacIE

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-16 14:42 . 2008-02-01 15:33    --------    d-----w-    c:\programme\Mozilla Thunderbird
2010-09-15 22:28 . 2006-11-26 17:09    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
2010-09-15 19:18 . 2009-12-17 18:41    --------    d-----w-    c:\programme\SystemRequirementsLab
2010-09-15 17:25 . 2008-02-01 14:30    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\FileZilla
2010-09-15 17:20 . 2009-06-03 12:01    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Skype
2010-09-15 17:20 . 2008-08-18 20:06    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\skypePM
2010-09-14 23:11 . 2009-09-20 18:50    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\vlc
2010-09-13 15:57 . 2007-12-05 20:13    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Winamp
2010-09-13 15:53 . 2007-03-12 18:01    --------    d-----w-    c:\programme\Winamp
2010-09-13 15:53 . 2010-03-25 18:05    --------    d-----w-    c:\programme\Winamp Detect
2010-09-11 15:46 . 2010-07-04 15:31    --------    d-----w-    c:\programme\ICQ7.1
2010-09-11 10:30 . 2008-09-15 17:34    --------    d-----w-    c:\programme\KONAMI
2010-09-11 09:46 . 2010-05-06 21:58    16    ----a-w-    c:\windows\msocreg32.dat
2010-09-08 17:47 . 2005-01-07 18:21    --------    d-----w-    c:\programme\Gemeinsame Dateien\Adobe
2010-09-08 17:25 . 2010-07-06 21:49    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\regid.1986-12.com.adobe
2010-09-05 20:01 . 2004-08-04 12:00    126336    ----a-w-    c:\windows\system32\drivers\ftdisk.sik
2010-09-05 11:15 . 2007-01-03 14:15    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Media Player Classic
2010-09-05 11:02 . 2006-11-03 12:05    --------    d-----w-    c:\programme\Gemeinsame Dateien\Java
2010-09-05 11:02 . 2004-11-18 14:17    --------    d-----w-    c:\programme\Java
2010-09-05 10:58 . 2004-08-04 12:00    94746    ----a-w-    c:\windows\system32\perfc007.dat
2010-09-05 10:58 . 2004-08-04 12:00    502424    ----a-w-    c:\windows\system32\perfh007.dat
2010-09-05 10:46 . 2009-09-23 15:34    --------    d-----w-    c:\programme\CCleaner
2010-09-05 08:35 . 2010-09-05 07:58    805    ----a-w-    c:\windows\system32\drivers\SYMEVENT.INF
2010-09-05 08:35 . 2010-09-05 07:58    7456    ----a-w-    c:\windows\system32\drivers\SYMEVENT.CAT
2010-09-05 08:35 . 2004-11-18 14:14    --------    d-----w-    c:\programme\Symantec
2010-09-05 08:27 . 2010-07-25 20:49    1324    ----a-w-    c:\windows\system32\d3d9caps.dat
2010-09-04 16:49 . 2009-06-03 12:00    --------    d-----r-    c:\programme\Skype
2010-09-04 16:49 . 2006-12-29 19:09    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Skype
2010-09-04 16:48 . 2008-12-04 16:18    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\dvdcss
2010-09-01 17:50 . 2010-05-26 15:00    87    ----a-w-    c:\windows\system32\ssprs.tgz.vir
2010-09-01 17:50 . 2010-05-26 15:00    73    ----a-w-    c:\windows\system32\ssprs.dll.vir
2010-09-01 17:50 . 2010-05-26 15:00    219    ----a-w-    c:\windows\system32\lsprst7.tgz.vir
2010-09-01 17:50 . 2010-05-26 15:00    205    ----a-w-    c:\windows\system32\lsprst7.dll.vir
2010-08-23 18:18 . 2010-01-16 15:54    --------    d-----w-    c:\programme\PokerStars
2010-08-22 14:15 . 2007-04-19 12:47    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\ICQ
2010-08-17 13:17 . 2004-08-04 12:00    58880    ----a-w-    c:\windows\system32\spoolsv.exe
2010-08-07 18:20 . 2010-08-07 18:20    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\DVDVideoSoftIEHelpers
2010-08-07 18:20 . 2010-05-15 15:48    --------    d-----w-    c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-08-07 18:20 . 2009-07-29 19:48    --------    d-----w-    c:\programme\DVDVideoSoft
2010-08-03 21:08 . 2009-07-20 20:19    --------    d-----w-    c:\programme\TrackMania Nations ESWC
2010-08-03 20:29 . 2010-06-21 21:19    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Amazon
2010-08-03 20:26 . 2006-11-30 19:36    70880    -c--a-w-    c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-07-31 17:01 . 2008-11-06 23:31    1    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-07-31 16:31 . 2008-06-07 22:36    --------    d-----w-    c:\programme\phase5
2010-07-24 15:24 . 2010-07-24 15:24    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Antares
2010-07-24 15:24 . 2010-07-24 15:24    --------    d-----w-    c:\programme\Antares Audio Technologies
2010-07-24 15:24 . 2006-11-06 18:56    --------    d-----w-    c:\programme\VstPlugins
2010-07-23 23:47 . 2008-02-01 14:30    --------    d-----w-    c:\programme\FileZilla FTP Client
2010-07-22 15:48 . 2004-08-04 12:00    590848    ----a-w-    c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25    5632    ----a-w-    c:\windows\system32\xpsp4res.dll
2010-07-20 12:58 . 2009-07-13 12:44    4123648    ----a-w-    c:\windows\system32\igxpdx32.dll
2010-07-20 12:57 . 2009-07-13 12:44    3482432    ----a-w-    c:\windows\system32\igxpdv32.dll
2010-07-20 12:57 . 2009-07-13 12:44    2003584    ----a-w-    c:\windows\system32\drivers\igxpmp32.sys
2010-07-20 12:57 . 2009-07-13 12:44    982240    ----a-w-    c:\windows\system32\igkrng500.bin
2010-07-20 12:57 . 2009-07-13 12:44    58368    ----a-w-    c:\windows\system32\igxprd32.dll
2010-07-20 12:57 . 2009-07-13 12:44    439308    ----a-w-    c:\windows\system32\igcompkrng500.bin
2010-07-20 12:57 . 2009-07-13 12:44    182784    ----a-w-    c:\windows\system32\igxpgd32.dll
2010-07-20 12:45 . 2009-07-13 12:44    10963456    ----a-w-    c:\windows\system32\ig4icd32.dll
2010-07-20 12:37 . 2009-07-13 12:44    129536    ----a-w-    c:\windows\system32\igfxtray.exe
2010-07-20 12:37 . 2009-07-13 12:44    194048    ----a-w-    c:\windows\system32\igfxpph.dll
2010-07-20 12:36 . 2009-07-13 12:44    163328    ----a-w-    c:\windows\system32\hkcmd.exe
2010-07-20 12:36 . 2009-07-13 12:44    138752    ----a-w-    c:\windows\system32\igfxpers.exe
2010-07-20 12:36 . 2009-07-13 12:44    23552    ----a-w-    c:\windows\system32\igfxexps.dll
2010-07-20 12:36 . 2009-07-13 12:44    172032    ----a-w-    c:\windows\system32\igfxext.exe
2010-07-20 12:36 . 2009-07-13 12:44    130048    ----a-w-    c:\windows\system32\igfxdo.dll
2010-07-20 12:36 . 2009-07-13 12:44    57344    ----a-w-    c:\windows\system32\igfxsrvc.dll
2010-07-20 12:36 . 2009-07-13 12:44    257536    ----a-w-    c:\windows\system32\igfxsrvc.exe
2010-07-20 12:36 . 2009-12-17 18:45    3139584    ----a-w-    c:\windows\system32\GfxUI.exe
2010-07-20 12:36 . 2009-07-13 12:44    94720    ----a-w-    c:\windows\system32\hccutils.dll
2010-07-20 12:36 . 2009-12-17 18:45    121344    ----a-w-    c:\windows\system32\gfxSrvc.dll
2010-07-20 12:36 . 2009-12-17 18:45    4096    ----a-w-    c:\windows\system32\IGFXDEVLib.dll
2010-07-20 12:36 . 2009-07-13 12:44    214016    ----a-w-    c:\windows\system32\igfxdev.dll
2010-07-20 12:35 . 2009-07-13 12:44    828928    ----a-w-    c:\windows\system32\igfxress.dll
2010-07-06 21:31 . 2010-07-06 21:31    10134    ----a-r-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{024521CF-C07E-4F8E-8481-0D75695E03AF}\ARPPRODUCTICON.exe
2010-07-06 21:28 . 2010-07-06 21:28    38784    ----a-w-    c:\dokumente und einstellungen\Default User.WINDOWS\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-06-30 12:28 . 2004-08-04 12:00    149504    ----a-w-    c:\windows\system32\schannel.dll
2010-06-26 16:12 . 2010-06-26 16:12    2568656    ----a-w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\NOS\Adobe_Downloads\install_flash_player.exe
2010-06-24 12:22 . 2004-08-04 12:00    916480    ----a-w-    c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2004-08-04 12:00    1852032    ----a-w-    c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2004-08-04 12:00    354304    ----a-w-    c:\windows\system32\drivers\srv.sys
2010-06-18 17:44 . 2004-08-04 12:00    293888    ----a-w-    c:\windows\system32\winsrv.dll
2009-12-27 18:45 . 2009-12-27 18:45    561    ----a-w-    c:\programme\StandaloneRecallCCAssign.f8c
2009-12-27 18:45 . 2009-12-27 18:45    1072    ----a-w-    c:\programme\StandaloneRecall.fm8
2001-11-05 07:30 . 2009-02-28 13:54    165376    ------w-    c:\programme\UNWISE.EXE
2009-05-01 21:02 . 2009-05-01 21:02    1044480    ----a-w-    c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02    200704    ----a-w-    c:\programme\mozilla firefox\plugins\ssldivx.dll
2007-05-13 21:08 . 2007-05-13 21:08    5    -csha-w-    c:\windows\system32\bcadadfeee_d.dll
2007-05-13 21:06 . 2007-05-13 21:06    5    -csha-w-    c:\windows\system32\bcadadfeee_s.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\programme\RocketDock\RocketDock.exe" [2007-09-02 495616]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-12-26 18081280]
"H2O"="c:\programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-12-18 307200]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-13 208952]
"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-04 44032]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-13 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-07-20 129536]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-07-20 163328]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-07-20 138752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 11 (0xb)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute    REG_MULTI_SZ       autocheck autochk *\0sprestrt

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"LexBceS"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HotKeysCmds"=c:\windows\system32\hkcmd.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\WINDOWS\\system32\\javaw.exe"=
"c:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\ICQ7.1\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 stwlfbus;stwlfbus;c:\windows\system32\drivers\stwlfbus.sys [27.04.2003 12:39 8704]
R0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NIS\1201000.025\SymDS.sys [05.09.2010 10:35 339504]
R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NIS\1201000.025\SymEFA.sys [05.09.2010 10:35 666672]
R1 BHDrvx86;BHDrvx86;c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\BASHDefs\20100901.003\BHDrvx86.sys [01.09.2010 00:57 692272]
R1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NIS\1201000.025\Ironx86.sys [05.09.2010 10:35 134704]
R2 NIS;Norton Internet Security;c:\programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe [05.09.2010 10:35 126904]
R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [19.04.2007 16:23 33792]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [05.09.2010 10:02 102448]
R3 IDSxpx86;IDSxpx86;c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\IPSDefs\20100914.003\IDSXpx86.sys [16.09.2010 16:51 331640]
R3 st3wolf;st3wolf;c:\windows\system32\drivers\st3wolf.sys [27.04.2003 11:43 99360]
S1 as6eio;as6eio;c:\windows\system32\drivers\as6eio.SYS --> c:\windows\system32\drivers\as6eio.SYS [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [24.12.2009 13:52 135664]
S3 cpudrv;cpudrv;c:\programme\SystemRequirementsLab\cpudrv.sys [18.12.2009 10:58 11336]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [03.01.2010 19:57 13224]
S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\drivers\s1018bus.sys [05.10.2009 19:24 86824]
S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\drivers\s1018mdfl.sys [05.10.2009 19:24 15016]
S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\drivers\s1018mdm.sys [05.10.2009 19:24 114728]
S3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s1018mgmt.sys [05.10.2009 19:24 106208]
S3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\drivers\s1018nd5.sys [05.10.2009 19:24 26024]
S3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\drivers\s1018obex.sys [05.10.2009 19:24 104744]
S3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\drivers\s1018unic.sys [05.10.2009 19:24 109864]
S3 SampleScanner;Ultima2000  Scanner;c:\windows\system32\DRIVERS\GT680x.sys --> c:\windows\system32\DRIVERS\GT680x.sys [?]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14.07.2009 01:12 722416]
.
Inhalt des "geplante Tasks" Ordners

2010-09-15 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-23 03:08]

2010-09-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-24 11:52]

2010-09-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-24 11:52]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\xxx\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: {{71BFC818-0CED-42D6-9C87-5142918957EE} - c:\programme\ICQ7.1\ICQ.exe
FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\baumann\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=
FF - component: c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\coFFPlgn\components\coFFPlgn.dll
FF - component: c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\IPSFFPlgn\components\IPSFFPl.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-connections-per-server - 8
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: nglayout.initialpaint.delay - 300
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.switch.threshold - 650000
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
------- Dateityp-Verknüpfung -------
.
.txt=
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-16 17:13
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A56B088]<< 
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xb98ecf28
\Driver\ACPI -> ACPI.sys @ 0xb977ecb8
\Driver\atapi -> 0x8a56b088
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Realtek RTL8168D(P)/8111D(P) PCI-E Gigabit Ethernet NIC #2 -> SendCompleteHandler -> NDIS.sys @ 0xb952fbb0
 PacketIndicateHandler -> NDIS.sys @ 0xb953ca21
 SendHandler -> NDIS.sys @ 0xb951a87b
Warning: possible MBR rootkit infection !
user & kernel MBR OK 

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\NIS]
"ImagePath"="\"c:\programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe\" /s \"NIS\" /m \"c:\programme\Norton Internet Security\Engine\18.1.0.37\diMaster.dll\" /prefetch:1"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1123561945-602609370-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{446BEBFF-0A4E-CE2F-AC7E-C1E8C86F13E0}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"iadbiiibeagnjnadmd"=hex:6a,61,6d,65,62,65,70,67,6f,6e,67,64,6a,6f,61,6c,6f,6d,
   6b,69,00,06
"habbgiihkmpljcpi"=hex:6a,61,6d,65,70,64,66,6a,66,65,61,63,61,6e,68,6e,63,63,
   68,6a,00,4d

[HKEY_USERS\S-1-5-21-1123561945-602609370-725345543-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:59,2f,a4,60,15,54,71,e3,47,70,a8,23,60,88,03,a4,6c,dd,4d,1e,95,78,36,
   7d,71,f3,84,2e,20,4f,d5,99,21,7b,1c,15,6a,95,32,26,32,1f,4f,e0,1c,36,86,f6,\
"??"=hex:5d,2e,bc,00,9b,07,bc,9c,34,34,87,88,c9,ab,ca,0d

[HKEY_LOCAL_MACHINE\software\Classes\Applications\WINWORD.EXE\shell]
@DACL=(02 0000)
@="Open"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10g_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10g_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2010-09-16  17:15:05
ComboFix-quarantined-files.txt  2010-09-16 15:15

Vor Suchlauf: 18 Verzeichnis(se), 135.330.201.600 Bytes frei
Nach Suchlauf: 24 Verzeichnis(se), 135.305.781.248 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /tutag=ggmcvz

- - End Of File - - 147075EF6FAB4E6A16ACB8A84B8D1627
         
__________________

Alt 16.09.2010, 17:32   #4
markusg
/// Malware-holic
 
Backdoor.Tidserv in ftdisk.sik - Standard

Backdoor.Tidserv in ftdisk.sik



Lade
Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bek&#228;mpft?

Alt 16.09.2010, 17:48   #5
Cy-Music
 
Backdoor.Tidserv in ftdisk.sik - Standard

Backdoor.Tidserv in ftdisk.sik



Nachdem Defogger mit Disable fertig war und auf Finished geklickt hab, wurde kein Neustart durchgeführt. Hab dann disabled gelassen und Kaspersky scannen lassen. Dieser wiederum hat nichts gefunden.
Der Defogger ist immer noch disabled, soll ich warten bis du das OK zum Re-Enable gibst?
Gruß

Defogger-Log:

Code:
ATTFilter
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 17:42 on 16/09/2010 (Name)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
SPTD -> Already disabled


-=E.O.F=-
         
Kaspersky-Log:

Code:
ATTFilter
2010/09/16 17:44:05.0062	TDSS rootkit removing tool 2.4.2.1 Sep  7 2010 14:43:44
2010/09/16 17:44:05.0062	================================================================================
2010/09/16 17:44:05.0062	SystemInfo:
2010/09/16 17:44:05.0062	
2010/09/16 17:44:05.0062	OS Version: 5.1.2600 ServicePack: 3.0
2010/09/16 17:44:05.0062	Product type: Workstation
2010/09/16 17:44:05.0062	ComputerName: xxx
2010/09/16 17:44:05.0062	UserName: xxx
2010/09/16 17:44:05.0062	Windows directory: C:\WINDOWS
2010/09/16 17:44:05.0062	System windows directory: C:\WINDOWS
2010/09/16 17:44:05.0062	Processor architecture: Intel x86
2010/09/16 17:44:05.0062	Number of processors: 2
2010/09/16 17:44:05.0062	Page size: 0x1000
2010/09/16 17:44:05.0062	Boot type: Normal boot
2010/09/16 17:44:05.0062	================================================================================
2010/09/16 17:44:05.0437	Initialize success
2010/09/16 17:44:10.0906	================================================================================
2010/09/16 17:44:10.0906	Scan started
2010/09/16 17:44:10.0906	Mode: Manual;
2010/09/16 17:44:10.0906	================================================================================
2010/09/16 17:44:11.0390	ACPI            (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2010/09/16 17:44:11.0406	ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
2010/09/16 17:44:11.0453	aec             (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2010/09/16 17:44:11.0484	Afc             (fe3ea6e9afc1a78e6edca121e006afb7) C:\WINDOWS\system32\drivers\Afc.sys
2010/09/16 17:44:11.0515	AFD             (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
2010/09/16 17:44:11.0593	ALCXSENS        (a9355a51698f6901b362ef738b15631d) C:\WINDOWS\system32\drivers\ALCXSENS.SYS
2010/09/16 17:44:11.0609	ALCXWDM         (b191753b1aa2e7b11a18d5fde8248aa2) C:\WINDOWS\system32\drivers\ALCXWDM.SYS
2010/09/16 17:44:11.0718	AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2010/09/16 17:44:11.0750	atapi           (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2010/09/16 17:44:11.0781	Atmarpc         (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2010/09/16 17:44:11.0796	audstub         (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2010/09/16 17:44:11.0812	Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2010/09/16 17:44:11.0953	BHDrvx86        (5138da8715da5f9823b753b6cb36a9a9) C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\BASHDefs\20100901.003\BHDrvx86.sys
2010/09/16 17:44:12.0031	cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2010/09/16 17:44:12.0062	Cdaudio         (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2010/09/16 17:44:12.0078	Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2010/09/16 17:44:12.0125	Cdrom           (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2010/09/16 17:44:12.0171	CLEDX           (b53f9635457b56dcffef750e18aec6cb) C:\WINDOWS\system32\DRIVERS\cledx.sys
2010/09/16 17:44:12.0265	cpudrv          (d01f685f8b4598d144b0cce9ff95d8d5) C:\Programme\SystemRequirementsLab\cpudrv.sys
2010/09/16 17:44:12.0328	Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2010/09/16 17:44:12.0359	dmboot          (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
2010/09/16 17:44:12.0390	dmio            (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
2010/09/16 17:44:12.0421	dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2010/09/16 17:44:12.0437	DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2010/09/16 17:44:12.0468	drmkaud         (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2010/09/16 17:44:12.0531	eeCtrl          (089296aedb9b72b4916ac959752bdc89) C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys
2010/09/16 17:44:12.0562	EraserUtilRebootDrv (850259334652d392e33ee3412562e583) C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys
2010/09/16 17:44:12.0593	Fastfat         (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2010/09/16 17:44:12.0609	Fdc             (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2010/09/16 17:44:12.0640	Fips            (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
2010/09/16 17:44:12.0671	Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
2010/09/16 17:44:12.0718	FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2010/09/16 17:44:12.0734	Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2010/09/16 17:44:12.0781	Ftdisk          (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2010/09/16 17:44:12.0812	ggflt           (007aea2e06e7cef7372e40c277163959) C:\WINDOWS\system32\DRIVERS\ggflt.sys
2010/09/16 17:44:12.0843	ggsemc          (c73de35960ca75c5ab4ae636b127c64e) C:\WINDOWS\system32\DRIVERS\ggsemc.sys
2010/09/16 17:44:12.0875	Gpc             (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2010/09/16 17:44:12.0906	hamachi         (7929a161f9951d173ca9900fe7067391) C:\WINDOWS\system32\DRIVERS\hamachi.sys
2010/09/16 17:44:12.0921	HDAudBus        (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
2010/09/16 17:44:12.0937	HidUsb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2010/09/16 17:44:13.0000	HTTP            (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2010/09/16 17:44:13.0062	i8042prt        (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2010/09/16 17:44:13.0109	ialm            (7df53bb1f78de5dca8ac842868d34b01) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys
2010/09/16 17:44:13.0250	IDSxpx86        (231c3f6d5c520e99924e1e37401a90c4) C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\IPSDefs\20100914.003\IDSxpx86.sys
2010/09/16 17:44:13.0296	Imapi           (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2010/09/16 17:44:13.0406	IntcAzAudAddService (662b65eeb8d070bd1162a7b63859afcf) C:\WINDOWS\system32\drivers\RtkHDAud.sys
2010/09/16 17:44:13.0453	intelppm        (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2010/09/16 17:44:13.0500	Ip6Fw           (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2010/09/16 17:44:13.0515	IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2010/09/16 17:44:13.0531	IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2010/09/16 17:44:13.0546	IpNat           (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2010/09/16 17:44:13.0578	IPSec           (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2010/09/16 17:44:13.0609	IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2010/09/16 17:44:13.0640	isapnp          (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2010/09/16 17:44:13.0671	Kbdclass        (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2010/09/16 17:44:13.0687	kbdhid          (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
2010/09/16 17:44:13.0703	kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2010/09/16 17:44:13.0750	KSecDD          (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2010/09/16 17:44:13.0812	mnmdd           (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2010/09/16 17:44:13.0828	Modem           (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
2010/09/16 17:44:13.0843	Mouclass        (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2010/09/16 17:44:13.0875	mouhid          (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2010/09/16 17:44:13.0890	MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2010/09/16 17:44:13.0937	MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2010/09/16 17:44:14.0000	MRxSmb          (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2010/09/16 17:44:14.0031	Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2010/09/16 17:44:14.0046	MSKSSRV         (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2010/09/16 17:44:14.0062	MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2010/09/16 17:44:14.0078	MSPQM           (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2010/09/16 17:44:14.0093	mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2010/09/16 17:44:14.0125	Mup             (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2010/09/16 17:44:14.0234	NAVENG          (0953bb24c1e70a99c315f44f15993c17) C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\VirusDefs\20100916.002\NAVENG.SYS
2010/09/16 17:44:14.0281	NAVEX15         (3ddb0bef60b65df6b110c23e17cd67dc) C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\VirusDefs\20100916.002\NAVEX15.SYS
2010/09/16 17:44:14.0312	NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2010/09/16 17:44:14.0328	NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2010/09/16 17:44:14.0343	Ndisuio         (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2010/09/16 17:44:14.0359	NdisWan         (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2010/09/16 17:44:14.0375	NDProxy         (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys
2010/09/16 17:44:14.0406	NetBIOS         (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2010/09/16 17:44:14.0453	NetBT           (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2010/09/16 17:44:14.0500	Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2010/09/16 17:44:14.0531	Nsynas32        (4b4a21e158c039ee0888741bfe1d24e0) C:\WINDOWS\system32\drivers\Nsynas32.sys
2010/09/16 17:44:14.0562	Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2010/09/16 17:44:14.0578	Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2010/09/16 17:44:14.0609	NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2010/09/16 17:44:14.0640	NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2010/09/16 17:44:14.0656	Parport         (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
2010/09/16 17:44:14.0671	PartMgr         (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2010/09/16 17:44:14.0718	ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2010/09/16 17:44:14.0750	PCI             (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2010/09/16 17:44:14.0781	PCIIde          (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2010/09/16 17:44:14.0812	Pcmcia          (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
2010/09/16 17:44:14.0906	pfc             (444f122e68db44c0589227781f3c8b3f) C:\WINDOWS\system32\drivers\pfc.sys
2010/09/16 17:44:14.0937	PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2010/09/16 17:44:14.0953	PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2010/09/16 17:44:14.0984	Ptilink         (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2010/09/16 17:44:15.0015	PxHelp20        (40fedd328f98245ad201cf5f9f311724) C:\WINDOWS\system32\Drivers\PxHelp20.sys
2010/09/16 17:44:15.0093	RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2010/09/16 17:44:15.0093	Rasl2tp         (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2010/09/16 17:44:15.0125	RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2010/09/16 17:44:15.0125	Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2010/09/16 17:44:15.0187	Rdbss           (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2010/09/16 17:44:15.0203	RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2010/09/16 17:44:15.0234	RDPWD           (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2010/09/16 17:44:15.0265	redbook         (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
2010/09/16 17:44:15.0328	RTLE8023xp      (185641ad7e80bfce0aa545d3ec79d557) C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys
2010/09/16 17:44:15.0359	s1018bus        (1c5c2cb892553d2cf3f45a4bb323fcd6) C:\WINDOWS\system32\DRIVERS\s1018bus.sys
2010/09/16 17:44:15.0375	s1018mdfl       (38f5ea219593f19b6b3a1b9c169e3b61) C:\WINDOWS\system32\DRIVERS\s1018mdfl.sys
2010/09/16 17:44:15.0406	s1018mdm        (666af6b64fc7df92d3ca4819ea91631d) C:\WINDOWS\system32\DRIVERS\s1018mdm.sys
2010/09/16 17:44:15.0421	s1018mgmt       (f4ceda6e2ddff2af8bd745615a7ca9c0) C:\WINDOWS\system32\DRIVERS\s1018mgmt.sys
2010/09/16 17:44:15.0453	s1018nd5        (3622d9ff2253dcbe885b10736609a4ca) C:\WINDOWS\system32\DRIVERS\s1018nd5.sys
2010/09/16 17:44:15.0468	s1018obex       (49431efda842b474531c29ffae9f5d09) C:\WINDOWS\system32\DRIVERS\s1018obex.sys
2010/09/16 17:44:15.0484	s1018unic       (ac6b514cb4474f4c867d7cdc9cd54f05) C:\WINDOWS\system32\DRIVERS\s1018unic.sys
2010/09/16 17:44:15.0531	Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2010/09/16 17:44:15.0546	serenum         (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2010/09/16 17:44:15.0578	Serial          (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
2010/09/16 17:44:15.0625	sfdrv01         (4c0d673281178cb496011a2e28571fc8) C:\WINDOWS\system32\drivers\sfdrv01.sys
2010/09/16 17:44:15.0640	sfhlp02         (15be2b5e4dc5b8623cf167720682abc9) C:\WINDOWS\system32\drivers\sfhlp02.sys
2010/09/16 17:44:15.0656	Sfloppy         (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2010/09/16 17:44:15.0703	sfvfs02         (d5a7e09d2c6a702809e49190d52adc9f) C:\WINDOWS\system32\drivers\sfvfs02.sys
2010/09/16 17:44:15.0750	SiS315          (c10865ab0a1fd9f4ec7db70a1b8425d1) C:\WINDOWS\system32\DRIVERS\sisgrp.sys
2010/09/16 17:44:15.0781	SISAGP          (61ca562def09a782d26b3e7edec5369a) C:\WINDOWS\system32\DRIVERS\SISAGPX.sys
2010/09/16 17:44:15.0796	SiSkp           (96ad556979fb5d5e56141219772a9ec9) C:\WINDOWS\system32\DRIVERS\srvkp.sys
2010/09/16 17:44:15.0828	splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2010/09/16 17:44:15.0875	sptd            (a80cd850d69d996c832bea37e3a6aa1e) C:\WINDOWS\system32\Drivers\sptd.sys
2010/09/16 17:44:15.0906	sr              (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2010/09/16 17:44:15.0953	SRTSP           (d0ab8e989935d895f1bed8f607fa0948) C:\WINDOWS\System32\Drivers\NIS\1201000.025\SRTSP.SYS
2010/09/16 17:44:15.0968	SRTSPX          (fae9f5558a1f53670e579f9ffb4a67cc) C:\WINDOWS\system32\drivers\NIS\1201000.025\SRTSPX.SYS
2010/09/16 17:44:16.0015	Srv             (da852e3e0bf1cea75d756f9866241e57) C:\WINDOWS\system32\DRIVERS\srv.sys
2010/09/16 17:44:16.0031	st3wolf         (1e9a652d898cc96038e5e5554f79c49f) C:\WINDOWS\system32\DRIVERS\st3wolf.sys
2010/09/16 17:44:16.0062	stwlfbus        (24e09d134304fbc605626fced3e4cb50) C:\WINDOWS\system32\DRIVERS\stwlfbus.sys
2010/09/16 17:44:16.0078	swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2010/09/16 17:44:16.0109	swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2010/09/16 17:44:16.0296	SymDS           (67e83f8c7e80dc898a1d73b38412ba7a) C:\WINDOWS\system32\drivers\NIS\1201000.025\SYMDS.SYS
2010/09/16 17:44:16.0343	SymEFA          (3986a8de371e985ba6c82eb8da3b1e98) C:\WINDOWS\system32\drivers\NIS\1201000.025\SYMEFA.SYS
2010/09/16 17:44:16.0375	SymEvent        (5c76a63fac8a5580c5a1c4a4ed827782) C:\WINDOWS\system32\Drivers\SYMEVENT.SYS
2010/09/16 17:44:16.0390	SymIRON         (8ae632773b5192dce48f4ec8de753863) C:\WINDOWS\system32\drivers\NIS\1201000.025\Ironx86.SYS
2010/09/16 17:44:16.0421	SYMTDI          (34ff2368b7914d1b29d16aba865e982d) C:\WINDOWS\system32\drivers\NIS\1201000.025\SYMTDI.SYS
2010/09/16 17:44:16.0468	sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2010/09/16 17:44:16.0515	TClass2k        (1b3c28d36e669deeb39331255a3feeeb) C:\WINDOWS\system32\DRIVERS\TClass2k.sys
2010/09/16 17:44:16.0562	Tcpip           (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2010/09/16 17:44:16.0578	TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2010/09/16 17:44:16.0593	TDTCP           (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2010/09/16 17:44:16.0625	TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2010/09/16 17:44:16.0671	uagp35          (d85938f272d1bcf3db3a31fc0a048928) C:\WINDOWS\system32\DRIVERS\uagp35.sys
2010/09/16 17:44:16.0703	UCTblHid        (adfa2e999bd2ddf89187dcbf0e3dd404) C:\WINDOWS\system32\DRIVERS\UCTblHid.sys
2010/09/16 17:44:16.0718	Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2010/09/16 17:44:16.0765	Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2010/09/16 17:44:16.0796	usbaudio        (e919708db44ed8543a7c017953148330) C:\WINDOWS\system32\drivers\usbaudio.sys
2010/09/16 17:44:16.0796	usbccgp         (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2010/09/16 17:44:16.0828	usbehci         (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2010/09/16 17:44:16.0843	usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2010/09/16 17:44:16.0859	usbohci         (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
2010/09/16 17:44:16.0890	usbprint        (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2010/09/16 17:44:16.0906	usbstor         (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2010/09/16 17:44:16.0906	usbuhci         (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2010/09/16 17:44:16.0937	VgaSave         (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2010/09/16 17:44:16.0984	VolSnap         (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2010/09/16 17:44:17.0000	Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2010/09/16 17:44:17.0015	wceusbsh        (2e8ba025d65dd49d15ea66973e2a15df) C:\WINDOWS\system32\DRIVERS\wceusbsh.sys
2010/09/16 17:44:17.0062	Wdf01000        (bbcfeab7e871cddac2d397ee7fa91fdc) C:\WINDOWS\system32\Drivers\wdf01000.sys
2010/09/16 17:44:17.0093	wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2010/09/16 17:44:17.0140	WpdUsb          (cf4def1bf66f06964dc0d91844239104) C:\WINDOWS\system32\DRIVERS\wpdusb.sys
2010/09/16 17:44:17.0187	WudfPf          (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2010/09/16 17:44:17.0203	WudfRd          (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2010/09/16 17:44:17.0250	================================================================================
2010/09/16 17:44:17.0250	Scan finished
2010/09/16 17:44:17.0250	================================================================================
         


Alt 16.09.2010, 17:55   #6
markusg
/// Malware-holic
 
Backdoor.Tidserv in ftdisk.sik - Standard

Backdoor.Tidserv in ftdisk.sik



kannst du noch mal cf ausprobieren?

Alt 16.09.2010, 17:56   #7
Cy-Music
 
Backdoor.Tidserv in ftdisk.sik - Standard

Backdoor.Tidserv in ftdisk.sik



Klar, Defogger dabei disabled lassen?

Alt 16.09.2010, 18:00   #8
markusg
/// Malware-holic
 
Backdoor.Tidserv in ftdisk.sik - Standard

Backdoor.Tidserv in ftdisk.sik



ja, es steht da, bis angewiesen wird. und dass ist am ende.

Alt 16.09.2010, 18:23   #9
Cy-Music
 
Backdoor.Tidserv in ftdisk.sik - Standard

Backdoor.Tidserv in ftdisk.sik



Hatte eben bei Kaspersky noch Defogger-Fenster offen und Norton an. Vielleicht deshalb nichts gefunden worden?

Hier das CF-Log:

Code:
ATTFilter
ComboFix 10-09-15.03 - xxx 16.09.2010  18:14:11.2.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1917.1500 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) {804E5358-FFA4-00FC-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00EB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {F33C2C6C-FFA4-00DA-0D24-347CA8A3377C}
AV: Norton Internet Security *On-access scanning disabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
.

(((((((((((((((((((((((   Dateien erstellt von 2010-08-16 bis 2010-09-16  ))))))))))))))))))))))))))))))
.

2010-09-15 22:33 . 2010-09-15 22:36    --------    d-----w-    c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\NPE
2010-09-15 19:48 . 2010-09-15 19:48    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2010-09-15 19:48 . 2010-09-15 19:48    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2010-09-15 19:48 . 2010-09-15 19:48    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2010-09-15 19:48 . 2010-04-29 10:19    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-15 19:48 . 2010-04-29 10:19    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-09-15 19:10 . 2010-09-15 19:10    161296    ----a-w-    c:\windows\system32\drivers\tmcomm.sys
2010-09-11 10:35 . 2010-09-11 10:35    388096    ----a-r-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-09-05 15:10 . 2010-09-05 15:10    503808    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\msvcp71.dll
2010-09-05 15:10 . 2010-09-05 15:10    499712    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\jmc.dll
2010-09-05 15:10 . 2010-09-05 15:10    348160    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\msvcr71.dll
2010-09-05 15:10 . 2010-09-05 15:10    61440    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1d8c51e0-n\decora-sse.dll
2010-09-05 15:10 . 2010-09-05 15:10    12800    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1d8c51e0-n\decora-d3d.dll
2010-09-05 11:02 . 2010-07-17 03:00    423656    ----a-w-    c:\windows\system32\deployJava1.dll
2010-09-05 10:56 . 2010-09-05 10:56    --------    d-----w-    c:\programme\Defraggler
2010-09-05 10:55 . 2010-09-05 10:55    --------    d-----w-    c:\programme\Microsoft.NET
2010-09-05 10:46 . 2010-07-20 13:05    81920    ----a-w-    c:\windows\system32\igfxCoIn_v5284.dll
2010-09-05 09:41 . 2010-09-05 09:41    --------    d-----w-    c:\programme\NT Registry Optimizer
2010-09-05 08:35 . 2010-07-29 03:33    666672    ----a-r-    c:\windows\system32\drivers\SymEFA.sys
2010-09-05 08:35 . 2010-07-29 02:54    50096    ----a-r-    c:\windows\system32\drivers\srtspx.sys
2010-09-05 08:35 . 2010-07-13 01:20    369072    ----a-r-    c:\windows\system32\drivers\symtdi.sys
2010-09-05 08:35 . 2010-06-27 04:05    134704    ----a-r-    c:\windows\system32\drivers\Ironx86.sys
2010-09-05 08:35 . 2010-06-13 10:50    339504    ----a-r-    c:\windows\system32\drivers\SymDS.sys
2010-09-05 07:58 . 2010-09-05 08:35    60808    ----a-w-    c:\windows\system32\S32EVNT1.DLL
2010-09-05 07:58 . 2010-09-05 08:35    126512    ----a-w-    c:\windows\system32\drivers\SYMEVENT.SYS
2010-09-05 07:58 . 2010-09-05 08:02    --------    d-----w-    c:\programme\Gemeinsame Dateien\Symantec Shared
2010-09-05 07:58 . 2010-09-05 08:38    --------    d-----w-    c:\windows\system32\drivers\NIS
2010-09-05 07:58 . 2010-09-05 08:43    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton
2010-09-05 07:58 . 2010-09-05 07:58    --------    d-----w-    c:\programme\Norton Internet Security
2010-09-05 07:58 . 2010-09-05 07:58    --------    d-----w-    c:\programme\Windows Sidebar
2010-09-05 07:54 . 2010-09-05 07:54    --------    d-----w-    c:\programme\NortonInstaller
2010-09-05 03:09 . 2010-09-05 04:18    --------    d-----w-    C:\NBRT
2010-09-04 18:21 . 2010-09-05 07:57    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\NortonInstaller
2010-09-04 16:49 . 2010-09-04 16:49    --------    d-----w-    c:\windows\system32\wbem\Repository
2010-09-04 16:49 . 2010-09-04 16:49    --------    d-----w-    c:\programme\Gemeinsame Dateien\Skype
2010-09-04 15:37 . 2010-09-04 15:40    --------    d-s---w-    c:\dokumente und einstellungen\Administrator\Eigene Dateien
2010-09-04 15:27 . 2010-09-04 15:27    --------    d-----w-    c:\dokumente und einstellungen\Administrator\IETldCache
2010-09-04 15:15 . 2010-09-04 15:15    --------    d-----w-    c:\dokumente und einstellungen\xxx\PrivacIE

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-16 14:42 . 2008-02-01 15:33    --------    d-----w-    c:\programme\Mozilla Thunderbird
2010-09-15 22:28 . 2006-11-26 17:09    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
2010-09-15 19:18 . 2009-12-17 18:41    --------    d-----w-    c:\programme\SystemRequirementsLab
2010-09-15 17:25 . 2008-02-01 14:30    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\FileZilla
2010-09-15 17:20 . 2009-06-03 12:01    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Skype
2010-09-15 17:20 . 2008-08-18 20:06    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\skypePM
2010-09-14 23:11 . 2009-09-20 18:50    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\vlc
2010-09-13 15:57 . 2007-12-05 20:13    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Winamp
2010-09-13 15:53 . 2007-03-12 18:01    --------    d-----w-    c:\programme\Winamp
2010-09-13 15:53 . 2010-03-25 18:05    --------    d-----w-    c:\programme\Winamp Detect
2010-09-11 15:46 . 2010-07-04 15:31    --------    d-----w-    c:\programme\ICQ7.1
2010-09-11 10:30 . 2008-09-15 17:34    --------    d-----w-    c:\programme\KONAMI
2010-09-11 09:46 . 2010-05-06 21:58    16    ----a-w-    c:\windows\msocreg32.dat
2010-09-08 17:47 . 2005-01-07 18:21    --------    d-----w-    c:\programme\Gemeinsame Dateien\Adobe
2010-09-08 17:25 . 2010-07-06 21:49    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\regid.1986-12.com.adobe
2010-09-05 20:01 . 2004-08-04 12:00    126336    ----a-w-    c:\windows\system32\drivers\ftdisk.sik
2010-09-05 11:15 . 2007-01-03 14:15    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Media Player Classic
2010-09-05 11:02 . 2006-11-03 12:05    --------    d-----w-    c:\programme\Gemeinsame Dateien\Java
2010-09-05 11:02 . 2004-11-18 14:17    --------    d-----w-    c:\programme\Java
2010-09-05 10:58 . 2004-08-04 12:00    94746    ----a-w-    c:\windows\system32\perfc007.dat
2010-09-05 10:58 . 2004-08-04 12:00    502424    ----a-w-    c:\windows\system32\perfh007.dat
2010-09-05 10:46 . 2009-09-23 15:34    --------    d-----w-    c:\programme\CCleaner
2010-09-05 08:35 . 2010-09-05 07:58    805    ----a-w-    c:\windows\system32\drivers\SYMEVENT.INF
2010-09-05 08:35 . 2010-09-05 07:58    7456    ----a-w-    c:\windows\system32\drivers\SYMEVENT.CAT
2010-09-05 08:35 . 2004-11-18 14:14    --------    d-----w-    c:\programme\Symantec
2010-09-05 08:27 . 2010-07-25 20:49    1324    ----a-w-    c:\windows\system32\d3d9caps.dat
2010-09-04 16:49 . 2009-06-03 12:00    --------    d-----r-    c:\programme\Skype
2010-09-04 16:49 . 2006-12-29 19:09    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Skype
2010-09-04 16:48 . 2008-12-04 16:18    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\dvdcss
2010-09-01 17:50 . 2010-05-26 15:00    87    ----a-w-    c:\windows\system32\ssprs.tgz.vir
2010-09-01 17:50 . 2010-05-26 15:00    73    ----a-w-    c:\windows\system32\ssprs.dll.vir
2010-09-01 17:50 . 2010-05-26 15:00    219    ----a-w-    c:\windows\system32\lsprst7.tgz.vir
2010-09-01 17:50 . 2010-05-26 15:00    205    ----a-w-    c:\windows\system32\lsprst7.dll.vir
2010-08-23 18:18 . 2010-01-16 15:54    --------    d-----w-    c:\programme\PokerStars
2010-08-22 14:15 . 2007-04-19 12:47    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\ICQ
2010-08-17 13:17 . 2004-08-04 12:00    58880    ----a-w-    c:\windows\system32\spoolsv.exe
2010-08-07 18:20 . 2010-08-07 18:20    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\DVDVideoSoftIEHelpers
2010-08-07 18:20 . 2010-05-15 15:48    --------    d-----w-    c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-08-07 18:20 . 2009-07-29 19:48    --------    d-----w-    c:\programme\DVDVideoSoft
2010-08-03 21:08 . 2009-07-20 20:19    --------    d-----w-    c:\programme\TrackMania Nations ESWC
2010-08-03 20:29 . 2010-06-21 21:19    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Amazon
2010-08-03 20:26 . 2006-11-30 19:36    70880    -c--a-w-    c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-07-31 17:01 . 2008-11-06 23:31    1    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-07-31 16:31 . 2008-06-07 22:36    --------    d-----w-    c:\programme\phase5
2010-07-24 15:24 . 2010-07-24 15:24    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Antares
2010-07-24 15:24 . 2010-07-24 15:24    --------    d-----w-    c:\programme\Antares Audio Technologies
2010-07-24 15:24 . 2006-11-06 18:56    --------    d-----w-    c:\programme\VstPlugins
2010-07-23 23:47 . 2008-02-01 14:30    --------    d-----w-    c:\programme\FileZilla FTP Client
2010-07-22 15:48 . 2004-08-04 12:00    590848    ----a-w-    c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25    5632    ----a-w-    c:\windows\system32\xpsp4res.dll
2010-07-20 12:58 . 2009-07-13 12:44    4123648    ----a-w-    c:\windows\system32\igxpdx32.dll
2010-07-20 12:57 . 2009-07-13 12:44    3482432    ----a-w-    c:\windows\system32\igxpdv32.dll
2010-07-20 12:57 . 2009-07-13 12:44    2003584    ----a-w-    c:\windows\system32\drivers\igxpmp32.sys
2010-07-20 12:57 . 2009-07-13 12:44    982240    ----a-w-    c:\windows\system32\igkrng500.bin
2010-07-20 12:57 . 2009-07-13 12:44    58368    ----a-w-    c:\windows\system32\igxprd32.dll
2010-07-20 12:57 . 2009-07-13 12:44    439308    ----a-w-    c:\windows\system32\igcompkrng500.bin
2010-07-20 12:57 . 2009-07-13 12:44    182784    ----a-w-    c:\windows\system32\igxpgd32.dll
2010-07-20 12:45 . 2009-07-13 12:44    10963456    ----a-w-    c:\windows\system32\ig4icd32.dll
2010-07-20 12:37 . 2009-07-13 12:44    129536    ----a-w-    c:\windows\system32\igfxtray.exe
2010-07-20 12:37 . 2009-07-13 12:44    194048    ----a-w-    c:\windows\system32\igfxpph.dll
2010-07-20 12:36 . 2009-07-13 12:44    163328    ----a-w-    c:\windows\system32\hkcmd.exe
2010-07-20 12:36 . 2009-07-13 12:44    138752    ----a-w-    c:\windows\system32\igfxpers.exe
2010-07-20 12:36 . 2009-07-13 12:44    23552    ----a-w-    c:\windows\system32\igfxexps.dll
2010-07-20 12:36 . 2009-07-13 12:44    172032    ----a-w-    c:\windows\system32\igfxext.exe
2010-07-20 12:36 . 2009-07-13 12:44    130048    ----a-w-    c:\windows\system32\igfxdo.dll
2010-07-20 12:36 . 2009-07-13 12:44    57344    ----a-w-    c:\windows\system32\igfxsrvc.dll
2010-07-20 12:36 . 2009-07-13 12:44    257536    ----a-w-    c:\windows\system32\igfxsrvc.exe
2010-07-20 12:36 . 2009-12-17 18:45    3139584    ----a-w-    c:\windows\system32\GfxUI.exe
2010-07-20 12:36 . 2009-07-13 12:44    94720    ----a-w-    c:\windows\system32\hccutils.dll
2010-07-20 12:36 . 2009-12-17 18:45    121344    ----a-w-    c:\windows\system32\gfxSrvc.dll
2010-07-20 12:36 . 2009-12-17 18:45    4096    ----a-w-    c:\windows\system32\IGFXDEVLib.dll
2010-07-20 12:36 . 2009-07-13 12:44    214016    ----a-w-    c:\windows\system32\igfxdev.dll
2010-07-20 12:35 . 2009-07-13 12:44    828928    ----a-w-    c:\windows\system32\igfxress.dll
2010-07-06 21:31 . 2010-07-06 21:31    10134    ----a-r-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{024521CF-C07E-4F8E-8481-0D75695E03AF}\ARPPRODUCTICON.exe
2010-07-06 21:28 . 2010-07-06 21:28    38784    ----a-w-    c:\dokumente und einstellungen\Default User.WINDOWS\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-06-30 12:28 . 2004-08-04 12:00    149504    ----a-w-    c:\windows\system32\schannel.dll
2010-06-26 16:12 . 2010-06-26 16:12    2568656    ----a-w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\NOS\Adobe_Downloads\install_flash_player.exe
2010-06-24 12:22 . 2004-08-04 12:00    916480    ----a-w-    c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2004-08-04 12:00    1852032    ----a-w-    c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2004-08-04 12:00    354304    ----a-w-    c:\windows\system32\drivers\srv.sys
2010-06-18 17:44 . 2004-08-04 12:00    293888    ----a-w-    c:\windows\system32\winsrv.dll
2009-12-27 18:45 . 2009-12-27 18:45    561    ----a-w-    c:\programme\StandaloneRecallCCAssign.f8c
2009-12-27 18:45 . 2009-12-27 18:45    1072    ----a-w-    c:\programme\StandaloneRecall.fm8
2001-11-05 07:30 . 2009-02-28 13:54    165376    ------w-    c:\programme\UNWISE.EXE
2009-05-01 21:02 . 2009-05-01 21:02    1044480    ----a-w-    c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02    200704    ----a-w-    c:\programme\mozilla firefox\plugins\ssldivx.dll
2007-05-13 21:08 . 2007-05-13 21:08    5    -csha-w-    c:\windows\system32\bcadadfeee_d.dll
2007-05-13 21:06 . 2007-05-13 21:06    5    -csha-w-    c:\windows\system32\bcadadfeee_s.dll
.

(((((((((((((((((((((((((((((   SnapShot@2010-09-16_15.14.00   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-09-16 16:14 . 2010-09-16 16:14    16384              c:\windows\Temp\Perflib_Perfdata_29c.dat
+ 2010-09-16 16:13 . 2010-09-16 16:13    16384              c:\windows\Temp\Perflib_Perfdata_25c.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\programme\RocketDock\RocketDock.exe" [2007-09-02 495616]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-12-26 18081280]
"H2O"="c:\programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-12-18 307200]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-13 208952]
"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-04 44032]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-13 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-07-20 129536]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-07-20 163328]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-07-20 138752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 11 (0xb)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute    REG_MULTI_SZ       autocheck autochk *\0sprestrt

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"LexBceS"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HotKeysCmds"=c:\windows\system32\hkcmd.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\WINDOWS\\system32\\javaw.exe"=
"c:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\ICQ7.1\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 stwlfbus;stwlfbus;c:\windows\system32\drivers\stwlfbus.sys [27.04.2003 12:39 8704]
R0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NIS\1201000.025\SymDS.sys [05.09.2010 10:35 339504]
R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NIS\1201000.025\SymEFA.sys [05.09.2010 10:35 666672]
R1 BHDrvx86;BHDrvx86;c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\BASHDefs\20100901.003\BHDrvx86.sys [01.09.2010 00:57 692272]
R1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NIS\1201000.025\Ironx86.sys [05.09.2010 10:35 134704]
R2 NIS;Norton Internet Security;c:\programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe [05.09.2010 10:35 126904]
R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [19.04.2007 16:23 33792]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [05.09.2010 10:02 102448]
R3 IDSxpx86;IDSxpx86;c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\IPSDefs\20100914.003\IDSXpx86.sys [16.09.2010 16:51 331640]
R3 st3wolf;st3wolf;c:\windows\system32\drivers\st3wolf.sys [27.04.2003 11:43 99360]
S1 as6eio;as6eio;c:\windows\system32\drivers\as6eio.SYS --> c:\windows\system32\drivers\as6eio.SYS [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [24.12.2009 13:52 135664]
S3 cpudrv;cpudrv;c:\programme\SystemRequirementsLab\cpudrv.sys [18.12.2009 10:58 11336]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [03.01.2010 19:57 13224]
S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\drivers\s1018bus.sys [05.10.2009 19:24 86824]
S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\drivers\s1018mdfl.sys [05.10.2009 19:24 15016]
S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\drivers\s1018mdm.sys [05.10.2009 19:24 114728]
S3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s1018mgmt.sys [05.10.2009 19:24 106208]
S3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\drivers\s1018nd5.sys [05.10.2009 19:24 26024]
S3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\drivers\s1018obex.sys [05.10.2009 19:24 104744]
S3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\drivers\s1018unic.sys [05.10.2009 19:24 109864]
S3 SampleScanner;Ultima2000  Scanner;c:\windows\system32\DRIVERS\GT680x.sys --> c:\windows\system32\DRIVERS\GT680x.sys [?]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14.07.2009 01:12 722416]
.
Inhalt des "geplante Tasks" Ordners

2010-09-15 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-23 03:08]

2010-09-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-24 11:52]

2010-09-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-24 11:52]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\xxx\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: {{71BFC818-0CED-42D6-9C87-5142918957EE} - c:\programme\ICQ7.1\ICQ.exe
FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\xxx\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=
FF - component: c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\coFFPlgn\components\coFFPlgn.dll
FF - component: c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\IPSFFPlgn\components\IPSFFPl.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-connections-per-server - 8
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: nglayout.initialpaint.delay - 300
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.switch.threshold - 650000
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
------- Dateityp-Verknüpfung -------
.
.txt=
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-16 18:18
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A3E1DC8]<< 
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xb98ecf28
\Driver\ACPI -> ACPI.sys @ 0xb977ecb8
\Driver\atapi -> 0x8a3e1dc8
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Realtek RTL8168D(P)/8111D(P) PCI-E Gigabit Ethernet NIC #2 -> SendCompleteHandler -> NDIS.sys @ 0xb952fbb0
 PacketIndicateHandler -> NDIS.sys @ 0xb953ca21
 SendHandler -> NDIS.sys @ 0xb951a87b
Warning: possible MBR rootkit infection !
user & kernel MBR OK 

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\NIS]
"ImagePath"="\"c:\programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe\" /s \"NIS\" /m \"c:\programme\Norton Internet Security\Engine\18.1.0.37\diMaster.dll\" /prefetch:1"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1123561945-602609370-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{446BEBFF-0A4E-CE2F-AC7E-C1E8C86F13E0}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"iadbiiibeagnjnadmd"=hex:6a,61,6d,65,62,65,70,67,6f,6e,67,64,6a,6f,61,6c,6f,6d,
   6b,69,00,06
"habbgiihkmpljcpi"=hex:6a,61,6d,65,70,64,66,6a,66,65,61,63,61,6e,68,6e,63,63,
   68,6a,00,4d

[HKEY_USERS\S-1-5-21-1123561945-602609370-725345543-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:59,2f,a4,60,15,54,71,e3,47,70,a8,23,60,88,03,a4,6c,dd,4d,1e,95,78,36,
   7d,71,f3,84,2e,20,4f,d5,99,21,7b,1c,15,6a,95,32,26,32,1f,4f,e0,1c,36,86,f6,\
"??"=hex:5d,2e,bc,00,9b,07,bc,9c,34,34,87,88,c9,ab,ca,0d

[HKEY_LOCAL_MACHINE\software\Classes\Applications\WINWORD.EXE\shell]
@DACL=(02 0000)
@="Open"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10g_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10g_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2010-09-16  18:19:54
ComboFix-quarantined-files.txt  2010-09-16 16:19
ComboFix2.txt  2010-09-16 15:15

Vor Suchlauf: 23 Verzeichnis(se), 135.289.184.256 Bytes frei
Nach Suchlauf: 24 Verzeichnis(se), 135.274.700.800 Bytes frei

- - End Of File - - A7027AFEB2BD7042E98C1AA076F40EA4
         

Alt 16.09.2010, 18:29   #10
markusg
/// Malware-holic
 
Backdoor.Tidserv in ftdisk.sik - Standard

Backdoor.Tidserv in ftdisk.sik



nutze mal gmer.
http://www.trojaner-board.de/74908-a...t-scanner.html

Alt 17.09.2010, 00:05   #11
Cy-Music
 
Backdoor.Tidserv in ftdisk.sik - Standard

Backdoor.Tidserv in ftdisk.sik



GMER lief seit 19:30 Uhr bist grade eben.
Musste es allerdings abbrechen, da ich morgen arbeiten muss und es immer noch nicht fertig war mit scannen.
Gibt's eine Möglichkeit den Scan etwas abzukürzen, so dass er keine 5 oder 6 Stunden läuft? So lange bin ich ja nie am PC!

Alt 17.09.2010, 11:21   #12
markusg
/// Malware-holic
 
Backdoor.Tidserv in ftdisk.sik - Standard

Backdoor.Tidserv in ftdisk.sik



1. atf cleaner:
|MG| ATF Cleaner 3.0.0.2 Download
hake alles an, auch auf dem firefox tap, wähle emty selected, bestätige mit ok.
2. ccleaner, dateien + registry bereinigen:
http://www.trojaner-board.de/51464-a...-ccleaner.html
3. systemwiederherstellung de-und reaktivieren
Windows XP - Die Systemwiederherstellung komplett abschalten
vor dem reaktivieren 5 min warten.
4. wärend GMER läuft, schaltest du alle aktieven programme, auch antivirus aus und trennst die internet verbindung.
vllt bringen diese tipps ne zeitersparniss.

Alt 18.09.2010, 19:57   #13
Cy-Music
 
Backdoor.Tidserv in ftdisk.sik - Standard

Backdoor.Tidserv in ftdisk.sik



Habs mal ausgeführt, wie du es beschrieben hast.
War dann weg vom PC in der Annahme es würde wieder länger dauern.
Als ich wieder kam, war ich am Anmeldebildschirm und als ich mich dann angemeldet hatte, kam die Meldung, dass das System aufgrund eines schwerwiegenden Fehlers neugestartet wurde.
Des weiteren hängt mein PC nach jedem GMER-Scan und lässt sich nicht herunterfahren.
Werde wohl morgen nochmal versuchen zu scannen, hoffe dann geht es, ansonsten müssten wir uns eine Alternative zurechtlegen.

Gruß

Alt 19.09.2010, 20:28   #14
Cy-Music
 
Backdoor.Tidserv in ftdisk.sik - Standard

Backdoor.Tidserv in ftdisk.sik



So, hier endlich mal ein GMER-Log.
Hat lange gedauert.

Code:
ATTFilter
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-09-19 20:22:07
Windows 5.1.2600 Service Pack 3
Running: zscfi4o6.exe; Driver: C:\DOKUME~1\xxx\LOKALE~1\Temp\pwldqpog.sys


---- System - GMER 1.0.15 ----

SSDT            8A46F810                                                                                                                            ZwAlertResumeThread
SSDT            8A48D980                                                                                                                            ZwAlertThread
SSDT            89ED4A00                                                                                                                            ZwAllocateVirtualMemory
SSDT            8A5C3318                                                                                                                            ZwAssignProcessToJobObject
SSDT            8A524AC0                                                                                                                            ZwConnectPort
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                                          ZwCreateKey [0xA7B3A720]
SSDT            8A597E90                                                                                                                            ZwCreateMutant
SSDT            8A11EE78                                                                                                                            ZwCreateSymbolicLinkObject
SSDT            8A4E8A60                                                                                                                            ZwCreateThread
SSDT            8A5CA3E8                                                                                                                            ZwDebugActiveProcess
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                                          ZwDeleteKey [0xA7B3A9A0]
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                                          ZwDeleteValueKey [0xA7B3AF00]
SSDT            89E87130                                                                                                                            ZwDuplicateObject
SSDT            8A59C168                                                                                                                            ZwFreeVirtualMemory
SSDT            8A46AB70                                                                                                                            ZwImpersonateAnonymousToken
SSDT            8A46E0F0                                                                                                                            ZwImpersonateThread
SSDT            8A414E30                                                                                                                            ZwLoadDriver
SSDT            89B6F090                                                                                                                            ZwMapViewOfSection
SSDT            8A463520                                                                                                                            ZwOpenEvent
SSDT            8A860FC0                                                                                                                            ZwOpenProcess
SSDT            8A764050                                                                                                                            ZwOpenProcessToken
SSDT            8A4576D0                                                                                                                            ZwOpenSection
SSDT            8A415188                                                                                                                            ZwOpenThread
SSDT            8997FE78                                                                                                                            ZwProtectVirtualMemory
SSDT            8A48D9B8                                                                                                                            ZwResumeThread
SSDT            8A4DE0A8                                                                                                                            ZwSetContextThread
SSDT            8A4F0A20                                                                                                                            ZwSetInformationProcess
SSDT            8A5B8478                                                                                                                            ZwSetSystemInformation
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                                          ZwSetValueKey [0xA7B3B150]
SSDT            8A457FD0                                                                                                                            ZwSuspendProcess
SSDT            8A4B10B0                                                                                                                            ZwSuspendThread
SSDT            8A4EE240                                                                                                                            ZwTerminateProcess
SSDT            8A4B3CD0                                                                                                                            ZwTerminateThread
SSDT            8A6B2050                                                                                                                            ZwUnmapViewOfSection
SSDT            89EF9A00                                                                                                                            ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwCallbackReturn + 2CC8                                                                                                80504564 4 Bytes  CALL DEDAA20C 

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                                            SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                                           SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device          \Driver\Cdrom \Device\CdRom0                                                                                                        8A3F0188
Device          \Driver\Cdrom \Device\CdRom1                                                                                                        8A3F0188
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3                                                                                         8A452E08
Device          \Driver\atapi \Device\Ide\IdePort0                                                                                                  8A452E08
Device          \Driver\atapi \Device\Ide\IdePort1                                                                                                  8A452E08
Device          \Driver\atapi \Device\Ide\IdePort2                                                                                                  8A452E08
Device          \Driver\atapi \Device\Ide\IdePort3                                                                                                  8A452E08
Device          \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-e                                                                                         8A452E08
Device          \Driver\Cdrom \Device\CdRom2                                                                                                        8A3F0188
Device          \Driver\Cdrom \Device\CdRom3                                                                                                        8A3F0188
Device          \Driver\Cdrom \Device\CdRom4                                                                                                        8A3F0188

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                                           SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                                         SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device          \Driver\st3wolf \Device\Scsi\st3wolf1Port4Path0Target2Lun0                                                                          8A16D940
Device          \Driver\st3wolf \Device\Scsi\st3wolf1                                                                                               8A16D940
Device          \Driver\st3wolf \Device\Scsi\st3wolf1Port4Path0Target0Lun0                                                                          8A16D940
Device          \Driver\st3wolf \Device\Scsi\st3wolf1Port4Path0Target3Lun0                                                                          8A16D940
Device          \Driver\st3wolf \Device\Scsi\st3wolf1Port4Path0Target1Lun0                                                                          8A16D940

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                                
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                                     0
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                                  0x50 0x35 0xAD 0xC7 ...
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                                     C:\Programme\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)                       
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                                         0xA5 0x50 0x02 0x4E ...
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                                            0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)                  
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                                    0xD0 0xE6 0x8D 0x00 ...
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet)                  
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12                                    0xAE 0x51 0xE9 0xA4 ...
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2 (not active ControlSet)                  
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2@hdf12                                    0xFC 0xED 0xAE 0xD5 ...
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3 (not active ControlSet)                  
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3@hdf12                                    0x35 0x75 0xDA 0xF1 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                                
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                                     0
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                                  0x50 0x35 0xAD 0xC7 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                                     C:\Programme\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)                       
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                                         0xA5 0x50 0x02 0x4E ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                                            0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)                  
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                                    0x24 0xED 0x9C 0x5E ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet)                  
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12                                    0xAE 0x51 0xE9 0xA4 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2 (not active ControlSet)                  
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2@hdf12                                    0xFC 0xED 0xAE 0xD5 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3 (not active ControlSet)                  
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3@hdf12                                    0x35 0x75 0xDA 0xF1 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                                    
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                                 0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                              0x50 0x35 0xAD 0xC7 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                                 C:\Programme\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                                           
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                                     0xA5 0x50 0x02 0x4E ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                                        0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                                0x24 0xED 0x9C 0x5E ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1                                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12                                0xAE 0x51 0xE9 0xA4 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2                                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2@hdf12                                0xFC 0xED 0xAE 0xD5 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3                                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3@hdf12                                0x35 0x75 0xDA 0xF1 ...
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell@                                                                               Open
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New                                                                            
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New@                                                                           &Neu
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\command                                                                    
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\command@                                                                   "C:\Programme\Microsoft Office\Office\WINWORD.EXE" /n
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\command@command                                                            .0!!!gxsf(Ng]qF`H{LsWORDFiles>llT]jI{jf(=1&L[-81-] /n?
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\ddeexec                                                                    
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\ddeexec@                                                                   [REM _DDE_Direct][FileNew("%1")]
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\ddeexec\Application                                                        
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\ddeexec\Application@                                                       WinWord
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\ddeexec\Topic                                                              
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\ddeexec\Topic@                                                             System
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open                                                                           
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open@                                                                          ?&ffnen
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\command                                                                   
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\command@                                                                  "C:\Programme\Microsoft Office\Office\WINWORD.EXE" /n
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\command@command                                                           .0!!!gxsf(Ng]qF`H{LsWORDFiles>llT]jI{jf(=1&L[-81-] /n?
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\ddeexec                                                                   
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\ddeexec@                                                                  [REM _DDE_Direct][FileOpen("%1")]
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\ddeexec\Application                                                       
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\ddeexec\Application@                                                      WinWord
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\ddeexec\Topic                                                             
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\ddeexec\Topic@                                                            System
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print                                                                          
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print@                                                                         &Drucken
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec                                                                  
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec@                                                                 [REM _DDE_Minimize][FileOpen("%1")][t=IsDocumentDirty()][FilePrint 0][SetDocumentDirty t][DocClose]
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec\Application                                                      
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec\Application@                                                     WinWord
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec\ifexec                                                           
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec\ifexec@                                                          [FileOpen("%1")][FilePrint 0][FileExit 2]
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec\Topic                                                            
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec\Topic@                                                           System
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto                                                                        
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec                                                                
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec@                                                               [REM _DDE_Minimize][FileOpen("%1")][FilePrintSetup "%2 on p",.DoNotSetAsSysDefault=1][FilePrint 0][DocClose 2][FilePrintSetup ""]
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec\Application                                                    
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec\Application@                                                   WinWord
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec\ifexec                                                         
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec\ifexec@                                                        [FileOpen("%1")][FilePrintSetup "%2 on p",.DoNotSetAsSysDefault=1][FilePrint 0][FileExit 2]
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec\Topic                                                          
Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec\Topic@                                                         System
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{446BEBFF-0A4E-CE2F-AC7E-C1E8C86F13E0}                     
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{446BEBFF-0A4E-CE2F-AC7E-C1E8C86F13E0}@iadbiiibeagnjnadmd  0x6A 0x61 0x6D 0x65 ...
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{446BEBFF-0A4E-CE2F-AC7E-C1E8C86F13E0}@habbgiihkmpljcpi    0x6A 0x61 0x6D 0x65 ...

---- EOF - GMER 1.0.15 ----
         

Alt 20.09.2010, 10:41   #15
markusg
/// Malware-holic
 
Backdoor.Tidserv in ftdisk.sik - Standard

Backdoor.Tidserv in ftdisk.sik



kannst du mal das esage lab tdss remover tool versuchen
esage lab - resources

Antwort

Themen zu Backdoor.Tidserv in ftdisk.sik
adobe, adware.trymedia, backdoor.tidserv, bho, bonjour, computer, converter, einstellungen, entfernen, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, hängen, internet, internet explorer, intrusion prevention, logfile, mozilla, mp3, opera.exe, pdf, programme, rootkit, security, software, symantec, tablet, trymedia, virus, windows xp



Ähnliche Themen: Backdoor.Tidserv in ftdisk.sik


  1. System bereinigen nach Backdoor.graybird / backdoor.rustock etc.
    Plagegeister aller Art und deren Bekämpfung - 01.04.2013 (5)
  2. Exploit.Script.Generic, Exploit.JS.Pdfka.gfa, Backdoor.Win32.ZAccess.ypw, Backdoor.Win32.ZAccess.yqi, Trojan.Win32.Miner.dw und weitere
    Log-Analyse und Auswertung - 02.10.2012 (7)
  3. Boot.tidserv entfernen
    Log-Analyse und Auswertung - 09.02.2012 (16)
  4. Backdoor.Tidserv auf dem Rechner - vollständig entfernt?
    Plagegeister aller Art und deren Bekämpfung - 15.05.2011 (17)
  5. Https tidserv request
    Plagegeister aller Art und deren Bekämpfung - 11.01.2011 (10)
  6. Brauche Anleitung bei Entfernung von HTTPS TIDSERV REQUEST 2
    Plagegeister aller Art und deren Bekämpfung - 06.11.2010 (7)
  7. Tidserv Request
    Plagegeister aller Art und deren Bekämpfung - 02.11.2010 (30)
  8. Backdoor.Bot / Backdoor.Gootkit / Malware.Trace -> HiJackThis + Malwarebytes logfile
    Log-Analyse und Auswertung - 02.07.2010 (6)
  9. Tidserv Request 2 > svchost.exe, firefox.exe
    Plagegeister aller Art und deren Bekämpfung - 28.06.2010 (16)
  10. Win32/PATCHED.DO in C:\WINDOWS\system32\drivers\ftdisk.sys
    Plagegeister aller Art und deren Bekämpfung - 30.05.2010 (1)
  11. Https Tidserv Request
    Plagegeister aller Art und deren Bekämpfung - 16.04.2010 (7)
  12. Backdoor.Tidserv!inf
    Plagegeister aller Art und deren Bekämpfung - 21.01.2009 (5)
  13. Backdoor.Trojan und Backdoor.Grybird
    Mülltonne - 13.10.2008 (0)
  14. TR/BackDoor.NB
    Plagegeister aller Art und deren Bekämpfung - 26.04.2008 (4)
  15. Backdoor.GrayBird.K (BackDoor-ARR [McAfee]
    Plagegeister aller Art und deren Bekämpfung - 29.07.2007 (1)
  16. W32/Backdoor-CFB
    Plagegeister aller Art und deren Bekämpfung - 08.09.2004 (1)
  17. Backdoor.sd.bot
    Plagegeister aller Art und deren Bekämpfung - 07.05.2004 (2)

Zum Thema Backdoor.Tidserv in ftdisk.sik - Hallo Community, mein Norton Internet Security zeigt mir an, dass in der Datei ftdisk.sik (C:/WINDOWS/system32/drivers/ftdisk.sik) das RootKit Backdoor.Tidserv liegt. Ich krieg's auch nicht weg. Norton meint per Hand entfernen, Norton-Tools - Backdoor.Tidserv in ftdisk.sik...
Archiv
Du betrachtest: Backdoor.Tidserv in ftdisk.sik auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.