| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Backdoor.Tidserv in ftdisk.sikWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
15.09.2010, 20:42
| #1 |
 |  Backdoor.Tidserv in ftdisk.sik Hallo Community, mein Norton Internet Security zeigt mir an, dass in der Datei ftdisk.sik (C:/WINDOWS/system32/drivers/ftdisk.sik) das RootKit Backdoor.Tidserv liegt. Ich krieg's auch nicht weg. Norton meint per Hand entfernen, Norton-Tools finden nix, weil sich der Virus anscheinend sehr, sehr gut tarnt, soviel ich gelesen habe. Hoffe ihr könnt mir helfen!! EDIT: Hier noch HijackThis und Malwarebytes-Logs! Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 21:40:11, on 15.09.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\Drivers\WTSRV.EXE C:\Programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\SyncroSoft\Pos\H2O\cledx.exe C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\RocketDock\RocketDock.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\HiJackThis\Trend Micro\HiJackThis\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton Internet Security\Engine\18.1.0.37\coIEPlg.dll O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton Internet Security\Engine\18.1.0.37\IPSBHO.DLL O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Engine\18.1.0.37\coIEPlg.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1164535483125 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Norton Internet Security (NIS) - Symantec Corporation - C:\Programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\System32\Drivers\WTSRV.EXE -- End of file - 7678 bytes Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4623
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
15.09.2010 21:57:04
mbam-log-2010-09-15 (21-57-04).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 177643
Laufzeit: 5 Minute(n), 12 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.TryMedia) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> No action taken.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\gpupdate.dat (Malware.Trace) -> No action taken.
C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\usernt.dat (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> No action taken.
Geändert von Cy-Music (15.09.2010 um 21:02 Uhr) |
|
16.09.2010, 10:17
| #2 |
| /// Malware-holic   | Backdoor.Tidserv in ftdisk.sik bitte erstelle und poste ein combofix log.
__________________Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
|
16.09.2010, 16:24
| #3 |
| | Backdoor.Tidserv in ftdisk.sik Hallo markusg,
__________________schonmal danke für die Antwort! CF meinte kurz nach Scanbeginn er hätte RootKitAktivitäten festgestellt und müsste neustarten. Nach Klick auf OK, passierte aber nichts mehr, keine Festplattenaktivität, garnichts. Hab also manuell über den Power-Knopf am Rechner neu gestartet. Hoffe, das hat jetzt nichts verfälscht oder so. Jedenfalls hier das Log: Code:
ATTFilter ComboFix 10-09-15.02 - Daniel Baumann 16.09.2010 17:09:13.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1917.1500 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) {804E5358-FFA4-00FC-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00EB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {F33C2C6C-FFA4-00DA-0D24-347CA8A3377C}
AV: Norton Internet Security *On-access scanning disabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\1.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\a.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\b.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\c.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\d.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\e.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\f.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\g.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\h.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\i.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\J.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\k.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\l.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\m.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\n.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\o.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\p.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\q.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\r.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\s.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\t.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\u.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\v.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\w.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\x.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\y.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\z.xml
c:\windows\daemon.dll
c:\windows\jestertb.dll
c:\windows\system32\encapi32.dll
c:\windows\system32\lsprst7.dll
c:\windows\system32\msvcsv60.dll
c:\windows\system32\ssprs.dll
.
((((((((((((((((((((((( Dateien erstellt von 2010-08-16 bis 2010-09-16 ))))))))))))))))))))))))))))))
.
2010-09-15 22:33 . 2010-09-15 22:36 -------- d-----w- c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\NPE
2010-09-15 19:48 . 2010-09-15 19:48 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2010-09-15 19:48 . 2010-09-15 19:48 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-09-15 19:48 . 2010-09-15 19:48 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2010-09-15 19:48 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-15 19:48 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-09-15 19:10 . 2010-09-15 19:10 161296 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2010-09-11 10:35 . 2010-09-11 10:35 388096 ----a-r- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-09-05 15:10 . 2010-09-05 15:10 503808 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\msvcp71.dll
2010-09-05 15:10 . 2010-09-05 15:10 499712 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\jmc.dll
2010-09-05 15:10 . 2010-09-05 15:10 348160 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\msvcr71.dll
2010-09-05 15:10 . 2010-09-05 15:10 61440 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1d8c51e0-n\decora-sse.dll
2010-09-05 15:10 . 2010-09-05 15:10 12800 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1d8c51e0-n\decora-d3d.dll
2010-09-05 11:02 . 2010-07-17 03:00 423656 ----a-w- c:\windows\system32\deployJava1.dll
2010-09-05 10:56 . 2010-09-05 10:56 -------- d-----w- c:\programme\Defraggler
2010-09-05 10:55 . 2010-09-05 10:55 -------- d-----w- c:\programme\Microsoft.NET
2010-09-05 10:46 . 2010-07-20 13:05 81920 ----a-w- c:\windows\system32\igfxCoIn_v5284.dll
2010-09-05 09:41 . 2010-09-05 09:41 -------- d-----w- c:\programme\NT Registry Optimizer
2010-09-05 08:35 . 2010-07-29 03:33 666672 ----a-r- c:\windows\system32\drivers\SymEFA.sys
2010-09-05 08:35 . 2010-07-29 02:54 50096 ----a-r- c:\windows\system32\drivers\srtspx.sys
2010-09-05 08:35 . 2010-07-13 01:20 369072 ----a-r- c:\windows\system32\drivers\symtdi.sys
2010-09-05 08:35 . 2010-06-27 04:05 134704 ----a-r- c:\windows\system32\drivers\Ironx86.sys
2010-09-05 08:35 . 2010-06-13 10:50 339504 ----a-r- c:\windows\system32\drivers\SymDS.sys
2010-09-05 07:58 . 2010-09-05 08:35 60808 ----a-w- c:\windows\system32\S32EVNT1.DLL
2010-09-05 07:58 . 2010-09-05 08:35 126512 ----a-w- c:\windows\system32\drivers\SYMEVENT.SYS
2010-09-05 07:58 . 2010-09-05 08:02 -------- d-----w- c:\programme\Gemeinsame Dateien\Symantec Shared
2010-09-05 07:58 . 2010-09-05 08:38 -------- d-----w- c:\windows\system32\drivers\NIS
2010-09-05 07:58 . 2010-09-05 08:43 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton
2010-09-05 07:58 . 2010-09-05 07:58 -------- d-----w- c:\programme\Norton Internet Security
2010-09-05 07:58 . 2010-09-05 07:58 -------- d-----w- c:\programme\Windows Sidebar
2010-09-05 07:54 . 2010-09-05 07:54 -------- d-----w- c:\programme\NortonInstaller
2010-09-05 03:09 . 2010-09-05 04:18 -------- d-----w- C:\NBRT
2010-09-04 18:21 . 2010-09-05 07:57 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\NortonInstaller
2010-09-04 16:49 . 2010-09-04 16:49 -------- d-----w- c:\windows\system32\wbem\Repository
2010-09-04 16:49 . 2010-09-04 16:49 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2010-09-04 15:37 . 2010-09-04 15:40 -------- d-s---w- c:\dokumente und einstellungen\Administrator\Eigene Dateien
2010-09-04 15:27 . 2010-09-04 15:27 -------- d-----w- c:\dokumente und einstellungen\Administrator\IETldCache
2010-09-04 15:15 . 2010-09-04 15:15 -------- d-----w- c:\dokumente und einstellungen\xxx\PrivacIE
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-16 14:42 . 2008-02-01 15:33 -------- d-----w- c:\programme\Mozilla Thunderbird
2010-09-15 22:28 . 2006-11-26 17:09 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
2010-09-15 19:18 . 2009-12-17 18:41 -------- d-----w- c:\programme\SystemRequirementsLab
2010-09-15 17:25 . 2008-02-01 14:30 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\FileZilla
2010-09-15 17:20 . 2009-06-03 12:01 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Skype
2010-09-15 17:20 . 2008-08-18 20:06 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\skypePM
2010-09-14 23:11 . 2009-09-20 18:50 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\vlc
2010-09-13 15:57 . 2007-12-05 20:13 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Winamp
2010-09-13 15:53 . 2007-03-12 18:01 -------- d-----w- c:\programme\Winamp
2010-09-13 15:53 . 2010-03-25 18:05 -------- d-----w- c:\programme\Winamp Detect
2010-09-11 15:46 . 2010-07-04 15:31 -------- d-----w- c:\programme\ICQ7.1
2010-09-11 10:30 . 2008-09-15 17:34 -------- d-----w- c:\programme\KONAMI
2010-09-11 09:46 . 2010-05-06 21:58 16 ----a-w- c:\windows\msocreg32.dat
2010-09-08 17:47 . 2005-01-07 18:21 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-09-08 17:25 . 2010-07-06 21:49 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\regid.1986-12.com.adobe
2010-09-05 20:01 . 2004-08-04 12:00 126336 ----a-w- c:\windows\system32\drivers\ftdisk.sik
2010-09-05 11:15 . 2007-01-03 14:15 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Media Player Classic
2010-09-05 11:02 . 2006-11-03 12:05 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-09-05 11:02 . 2004-11-18 14:17 -------- d-----w- c:\programme\Java
2010-09-05 10:58 . 2004-08-04 12:00 94746 ----a-w- c:\windows\system32\perfc007.dat
2010-09-05 10:58 . 2004-08-04 12:00 502424 ----a-w- c:\windows\system32\perfh007.dat
2010-09-05 10:46 . 2009-09-23 15:34 -------- d-----w- c:\programme\CCleaner
2010-09-05 08:35 . 2010-09-05 07:58 805 ----a-w- c:\windows\system32\drivers\SYMEVENT.INF
2010-09-05 08:35 . 2010-09-05 07:58 7456 ----a-w- c:\windows\system32\drivers\SYMEVENT.CAT
2010-09-05 08:35 . 2004-11-18 14:14 -------- d-----w- c:\programme\Symantec
2010-09-05 08:27 . 2010-07-25 20:49 1324 ----a-w- c:\windows\system32\d3d9caps.dat
2010-09-04 16:49 . 2009-06-03 12:00 -------- d-----r- c:\programme\Skype
2010-09-04 16:49 . 2006-12-29 19:09 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Skype
2010-09-04 16:48 . 2008-12-04 16:18 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\dvdcss
2010-09-01 17:50 . 2010-05-26 15:00 87 ----a-w- c:\windows\system32\ssprs.tgz.vir
2010-09-01 17:50 . 2010-05-26 15:00 73 ----a-w- c:\windows\system32\ssprs.dll.vir
2010-09-01 17:50 . 2010-05-26 15:00 219 ----a-w- c:\windows\system32\lsprst7.tgz.vir
2010-09-01 17:50 . 2010-05-26 15:00 205 ----a-w- c:\windows\system32\lsprst7.dll.vir
2010-08-23 18:18 . 2010-01-16 15:54 -------- d-----w- c:\programme\PokerStars
2010-08-22 14:15 . 2007-04-19 12:47 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\ICQ
2010-08-17 13:17 . 2004-08-04 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe
2010-08-07 18:20 . 2010-08-07 18:20 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\DVDVideoSoftIEHelpers
2010-08-07 18:20 . 2010-05-15 15:48 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-08-07 18:20 . 2009-07-29 19:48 -------- d-----w- c:\programme\DVDVideoSoft
2010-08-03 21:08 . 2009-07-20 20:19 -------- d-----w- c:\programme\TrackMania Nations ESWC
2010-08-03 20:29 . 2010-06-21 21:19 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Amazon
2010-08-03 20:26 . 2006-11-30 19:36 70880 -c--a-w- c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-07-31 17:01 . 2008-11-06 23:31 1 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-07-31 16:31 . 2008-06-07 22:36 -------- d-----w- c:\programme\phase5
2010-07-24 15:24 . 2010-07-24 15:24 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Antares
2010-07-24 15:24 . 2010-07-24 15:24 -------- d-----w- c:\programme\Antares Audio Technologies
2010-07-24 15:24 . 2006-11-06 18:56 -------- d-----w- c:\programme\VstPlugins
2010-07-23 23:47 . 2008-02-01 14:30 -------- d-----w- c:\programme\FileZilla FTP Client
2010-07-22 15:48 . 2004-08-04 12:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2010-07-20 12:58 . 2009-07-13 12:44 4123648 ----a-w- c:\windows\system32\igxpdx32.dll
2010-07-20 12:57 . 2009-07-13 12:44 3482432 ----a-w- c:\windows\system32\igxpdv32.dll
2010-07-20 12:57 . 2009-07-13 12:44 2003584 ----a-w- c:\windows\system32\drivers\igxpmp32.sys
2010-07-20 12:57 . 2009-07-13 12:44 982240 ----a-w- c:\windows\system32\igkrng500.bin
2010-07-20 12:57 . 2009-07-13 12:44 58368 ----a-w- c:\windows\system32\igxprd32.dll
2010-07-20 12:57 . 2009-07-13 12:44 439308 ----a-w- c:\windows\system32\igcompkrng500.bin
2010-07-20 12:57 . 2009-07-13 12:44 182784 ----a-w- c:\windows\system32\igxpgd32.dll
2010-07-20 12:45 . 2009-07-13 12:44 10963456 ----a-w- c:\windows\system32\ig4icd32.dll
2010-07-20 12:37 . 2009-07-13 12:44 129536 ----a-w- c:\windows\system32\igfxtray.exe
2010-07-20 12:37 . 2009-07-13 12:44 194048 ----a-w- c:\windows\system32\igfxpph.dll
2010-07-20 12:36 . 2009-07-13 12:44 163328 ----a-w- c:\windows\system32\hkcmd.exe
2010-07-20 12:36 . 2009-07-13 12:44 138752 ----a-w- c:\windows\system32\igfxpers.exe
2010-07-20 12:36 . 2009-07-13 12:44 23552 ----a-w- c:\windows\system32\igfxexps.dll
2010-07-20 12:36 . 2009-07-13 12:44 172032 ----a-w- c:\windows\system32\igfxext.exe
2010-07-20 12:36 . 2009-07-13 12:44 130048 ----a-w- c:\windows\system32\igfxdo.dll
2010-07-20 12:36 . 2009-07-13 12:44 57344 ----a-w- c:\windows\system32\igfxsrvc.dll
2010-07-20 12:36 . 2009-07-13 12:44 257536 ----a-w- c:\windows\system32\igfxsrvc.exe
2010-07-20 12:36 . 2009-12-17 18:45 3139584 ----a-w- c:\windows\system32\GfxUI.exe
2010-07-20 12:36 . 2009-07-13 12:44 94720 ----a-w- c:\windows\system32\hccutils.dll
2010-07-20 12:36 . 2009-12-17 18:45 121344 ----a-w- c:\windows\system32\gfxSrvc.dll
2010-07-20 12:36 . 2009-12-17 18:45 4096 ----a-w- c:\windows\system32\IGFXDEVLib.dll
2010-07-20 12:36 . 2009-07-13 12:44 214016 ----a-w- c:\windows\system32\igfxdev.dll
2010-07-20 12:35 . 2009-07-13 12:44 828928 ----a-w- c:\windows\system32\igfxress.dll
2010-07-06 21:31 . 2010-07-06 21:31 10134 ----a-r- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{024521CF-C07E-4F8E-8481-0D75695E03AF}\ARPPRODUCTICON.exe
2010-07-06 21:28 . 2010-07-06 21:28 38784 ----a-w- c:\dokumente und einstellungen\Default User.WINDOWS\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-06-30 12:28 . 2004-08-04 12:00 149504 ----a-w- c:\windows\system32\schannel.dll
2010-06-26 16:12 . 2010-06-26 16:12 2568656 ----a-w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\NOS\Adobe_Downloads\install_flash_player.exe
2010-06-24 12:22 . 2004-08-04 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2004-08-04 12:00 1852032 ----a-w- c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2004-08-04 12:00 354304 ----a-w- c:\windows\system32\drivers\srv.sys
2010-06-18 17:44 . 2004-08-04 12:00 293888 ----a-w- c:\windows\system32\winsrv.dll
2009-12-27 18:45 . 2009-12-27 18:45 561 ----a-w- c:\programme\StandaloneRecallCCAssign.f8c
2009-12-27 18:45 . 2009-12-27 18:45 1072 ----a-w- c:\programme\StandaloneRecall.fm8
2001-11-05 07:30 . 2009-02-28 13:54 165376 ------w- c:\programme\UNWISE.EXE
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
2007-05-13 21:08 . 2007-05-13 21:08 5 -csha-w- c:\windows\system32\bcadadfeee_d.dll
2007-05-13 21:06 . 2007-05-13 21:06 5 -csha-w- c:\windows\system32\bcadadfeee_s.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\programme\RocketDock\RocketDock.exe" [2007-09-02 495616]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-12-26 18081280]
"H2O"="c:\programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-12-18 307200]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-13 208952]
"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-04 44032]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-13 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-07-20 129536]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-07-20 163328]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-07-20 138752]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 1 (0x1)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 11 (0xb)
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0sprestrt
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"LexBceS"=2 (0x2)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HotKeysCmds"=c:\windows\system32\hkcmd.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\WINDOWS\\system32\\javaw.exe"=
"c:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\ICQ7.1\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R0 stwlfbus;stwlfbus;c:\windows\system32\drivers\stwlfbus.sys [27.04.2003 12:39 8704]
R0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NIS\1201000.025\SymDS.sys [05.09.2010 10:35 339504]
R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NIS\1201000.025\SymEFA.sys [05.09.2010 10:35 666672]
R1 BHDrvx86;BHDrvx86;c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\BASHDefs\20100901.003\BHDrvx86.sys [01.09.2010 00:57 692272]
R1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NIS\1201000.025\Ironx86.sys [05.09.2010 10:35 134704]
R2 NIS;Norton Internet Security;c:\programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe [05.09.2010 10:35 126904]
R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [19.04.2007 16:23 33792]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [05.09.2010 10:02 102448]
R3 IDSxpx86;IDSxpx86;c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\IPSDefs\20100914.003\IDSXpx86.sys [16.09.2010 16:51 331640]
R3 st3wolf;st3wolf;c:\windows\system32\drivers\st3wolf.sys [27.04.2003 11:43 99360]
S1 as6eio;as6eio;c:\windows\system32\drivers\as6eio.SYS --> c:\windows\system32\drivers\as6eio.SYS [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [24.12.2009 13:52 135664]
S3 cpudrv;cpudrv;c:\programme\SystemRequirementsLab\cpudrv.sys [18.12.2009 10:58 11336]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [03.01.2010 19:57 13224]
S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\drivers\s1018bus.sys [05.10.2009 19:24 86824]
S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\drivers\s1018mdfl.sys [05.10.2009 19:24 15016]
S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\drivers\s1018mdm.sys [05.10.2009 19:24 114728]
S3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s1018mgmt.sys [05.10.2009 19:24 106208]
S3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\drivers\s1018nd5.sys [05.10.2009 19:24 26024]
S3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\drivers\s1018obex.sys [05.10.2009 19:24 104744]
S3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\drivers\s1018unic.sys [05.10.2009 19:24 109864]
S3 SampleScanner;Ultima2000 Scanner;c:\windows\system32\DRIVERS\GT680x.sys --> c:\windows\system32\DRIVERS\GT680x.sys [?]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14.07.2009 01:12 722416]
.
Inhalt des "geplante Tasks" Ordners
2010-09-15 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-23 03:08]
2010-09-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-24 11:52]
2010-09-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-24 11:52]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\xxx\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: {{71BFC818-0CED-42D6-9C87-5142918957EE} - c:\programme\ICQ7.1\ICQ.exe
FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\baumann\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=
FF - component: c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\coFFPlgn\components\coFFPlgn.dll
FF - component: c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\IPSFFPlgn\components\IPSFFPl.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-connections-per-server - 8
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: nglayout.initialpaint.delay - 300
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.switch.threshold - 650000
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
------- Dateityp-Verknüpfung -------
.
.txt=
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-16 17:13
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A56B088]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xb98ecf28
\Driver\ACPI -> ACPI.sys @ 0xb977ecb8
\Driver\atapi -> 0x8a56b088
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Realtek RTL8168D(P)/8111D(P) PCI-E Gigabit Ethernet NIC #2 -> SendCompleteHandler -> NDIS.sys @ 0xb952fbb0
PacketIndicateHandler -> NDIS.sys @ 0xb953ca21
SendHandler -> NDIS.sys @ 0xb951a87b
Warning: possible MBR rootkit infection !
user & kernel MBR OK
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\NIS]
"ImagePath"="\"c:\programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe\" /s \"NIS\" /m \"c:\programme\Norton Internet Security\Engine\18.1.0.37\diMaster.dll\" /prefetch:1"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1123561945-602609370-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{446BEBFF-0A4E-CE2F-AC7E-C1E8C86F13E0}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"iadbiiibeagnjnadmd"=hex:6a,61,6d,65,62,65,70,67,6f,6e,67,64,6a,6f,61,6c,6f,6d,
6b,69,00,06
"habbgiihkmpljcpi"=hex:6a,61,6d,65,70,64,66,6a,66,65,61,63,61,6e,68,6e,63,63,
68,6a,00,4d
[HKEY_USERS\S-1-5-21-1123561945-602609370-725345543-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:59,2f,a4,60,15,54,71,e3,47,70,a8,23,60,88,03,a4,6c,dd,4d,1e,95,78,36,
7d,71,f3,84,2e,20,4f,d5,99,21,7b,1c,15,6a,95,32,26,32,1f,4f,e0,1c,36,86,f6,\
"??"=hex:5d,2e,bc,00,9b,07,bc,9c,34,34,87,88,c9,ab,ca,0d
[HKEY_LOCAL_MACHINE\software\Classes\Applications\WINWORD.EXE\shell]
@DACL=(02 0000)
@="Open"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10g_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10g_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2010-09-16 17:15:05
ComboFix-quarantined-files.txt 2010-09-16 15:15
Vor Suchlauf: 18 Verzeichnis(se), 135.330.201.600 Bytes frei
Nach Suchlauf: 24 Verzeichnis(se), 135.305.781.248 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /tutag=ggmcvz
- - End Of File - - 147075EF6FAB4E6A16ACB8A84B8D1627
|
|
16.09.2010, 16:32
| #4 |
| /// Malware-holic | Backdoor.Tidserv in ftdisk.sik |
|
16.09.2010, 16:48
| #5 |
| | Backdoor.Tidserv in ftdisk.sik Nachdem Defogger mit Disable fertig war und auf Finished geklickt hab, wurde kein Neustart durchgeführt. Hab dann disabled gelassen und Kaspersky scannen lassen. Dieser wiederum hat nichts gefunden. Der Defogger ist immer noch disabled, soll ich warten bis du das OK zum Re-Enable gibst? Gruß Defogger-Log: Code:
ATTFilter defogger_disable by jpshortstuff (23.02.10.1)
Log created at 17:42 on 16/09/2010 (Name)
Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
Checking for services/drivers...
SPTD -> Already disabled
-=E.O.F=-
Code:
ATTFilter 2010/09/16 17:44:05.0062 TDSS rootkit removing tool 2.4.2.1 Sep 7 2010 14:43:44
2010/09/16 17:44:05.0062 ================================================================================
2010/09/16 17:44:05.0062 SystemInfo:
2010/09/16 17:44:05.0062
2010/09/16 17:44:05.0062 OS Version: 5.1.2600 ServicePack: 3.0
2010/09/16 17:44:05.0062 Product type: Workstation
2010/09/16 17:44:05.0062 ComputerName: xxx
2010/09/16 17:44:05.0062 UserName: xxx
2010/09/16 17:44:05.0062 Windows directory: C:\WINDOWS
2010/09/16 17:44:05.0062 System windows directory: C:\WINDOWS
2010/09/16 17:44:05.0062 Processor architecture: Intel x86
2010/09/16 17:44:05.0062 Number of processors: 2
2010/09/16 17:44:05.0062 Page size: 0x1000
2010/09/16 17:44:05.0062 Boot type: Normal boot
2010/09/16 17:44:05.0062 ================================================================================
2010/09/16 17:44:05.0437 Initialize success
2010/09/16 17:44:10.0906 ================================================================================
2010/09/16 17:44:10.0906 Scan started
2010/09/16 17:44:10.0906 Mode: Manual;
2010/09/16 17:44:10.0906 ================================================================================
2010/09/16 17:44:11.0390 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2010/09/16 17:44:11.0406 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
2010/09/16 17:44:11.0453 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2010/09/16 17:44:11.0484 Afc (fe3ea6e9afc1a78e6edca121e006afb7) C:\WINDOWS\system32\drivers\Afc.sys
2010/09/16 17:44:11.0515 AFD (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
2010/09/16 17:44:11.0593 ALCXSENS (a9355a51698f6901b362ef738b15631d) C:\WINDOWS\system32\drivers\ALCXSENS.SYS
2010/09/16 17:44:11.0609 ALCXWDM (b191753b1aa2e7b11a18d5fde8248aa2) C:\WINDOWS\system32\drivers\ALCXWDM.SYS
2010/09/16 17:44:11.0718 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2010/09/16 17:44:11.0750 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2010/09/16 17:44:11.0781 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2010/09/16 17:44:11.0796 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2010/09/16 17:44:11.0812 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2010/09/16 17:44:11.0953 BHDrvx86 (5138da8715da5f9823b753b6cb36a9a9) C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\BASHDefs\20100901.003\BHDrvx86.sys
2010/09/16 17:44:12.0031 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2010/09/16 17:44:12.0062 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2010/09/16 17:44:12.0078 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2010/09/16 17:44:12.0125 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2010/09/16 17:44:12.0171 CLEDX (b53f9635457b56dcffef750e18aec6cb) C:\WINDOWS\system32\DRIVERS\cledx.sys
2010/09/16 17:44:12.0265 cpudrv (d01f685f8b4598d144b0cce9ff95d8d5) C:\Programme\SystemRequirementsLab\cpudrv.sys
2010/09/16 17:44:12.0328 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2010/09/16 17:44:12.0359 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
2010/09/16 17:44:12.0390 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
2010/09/16 17:44:12.0421 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2010/09/16 17:44:12.0437 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2010/09/16 17:44:12.0468 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2010/09/16 17:44:12.0531 eeCtrl (089296aedb9b72b4916ac959752bdc89) C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys
2010/09/16 17:44:12.0562 EraserUtilRebootDrv (850259334652d392e33ee3412562e583) C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys
2010/09/16 17:44:12.0593 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2010/09/16 17:44:12.0609 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2010/09/16 17:44:12.0640 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
2010/09/16 17:44:12.0671 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
2010/09/16 17:44:12.0718 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2010/09/16 17:44:12.0734 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2010/09/16 17:44:12.0781 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2010/09/16 17:44:12.0812 ggflt (007aea2e06e7cef7372e40c277163959) C:\WINDOWS\system32\DRIVERS\ggflt.sys
2010/09/16 17:44:12.0843 ggsemc (c73de35960ca75c5ab4ae636b127c64e) C:\WINDOWS\system32\DRIVERS\ggsemc.sys
2010/09/16 17:44:12.0875 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2010/09/16 17:44:12.0906 hamachi (7929a161f9951d173ca9900fe7067391) C:\WINDOWS\system32\DRIVERS\hamachi.sys
2010/09/16 17:44:12.0921 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
2010/09/16 17:44:12.0937 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2010/09/16 17:44:13.0000 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2010/09/16 17:44:13.0062 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2010/09/16 17:44:13.0109 ialm (7df53bb1f78de5dca8ac842868d34b01) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys
2010/09/16 17:44:13.0250 IDSxpx86 (231c3f6d5c520e99924e1e37401a90c4) C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\IPSDefs\20100914.003\IDSxpx86.sys
2010/09/16 17:44:13.0296 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2010/09/16 17:44:13.0406 IntcAzAudAddService (662b65eeb8d070bd1162a7b63859afcf) C:\WINDOWS\system32\drivers\RtkHDAud.sys
2010/09/16 17:44:13.0453 intelppm (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2010/09/16 17:44:13.0500 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2010/09/16 17:44:13.0515 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2010/09/16 17:44:13.0531 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2010/09/16 17:44:13.0546 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2010/09/16 17:44:13.0578 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2010/09/16 17:44:13.0609 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2010/09/16 17:44:13.0640 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2010/09/16 17:44:13.0671 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2010/09/16 17:44:13.0687 kbdhid (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
2010/09/16 17:44:13.0703 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2010/09/16 17:44:13.0750 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2010/09/16 17:44:13.0812 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2010/09/16 17:44:13.0828 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
2010/09/16 17:44:13.0843 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2010/09/16 17:44:13.0875 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2010/09/16 17:44:13.0890 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2010/09/16 17:44:13.0937 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2010/09/16 17:44:14.0000 MRxSmb (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2010/09/16 17:44:14.0031 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2010/09/16 17:44:14.0046 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2010/09/16 17:44:14.0062 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2010/09/16 17:44:14.0078 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2010/09/16 17:44:14.0093 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2010/09/16 17:44:14.0125 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2010/09/16 17:44:14.0234 NAVENG (0953bb24c1e70a99c315f44f15993c17) C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\VirusDefs\20100916.002\NAVENG.SYS
2010/09/16 17:44:14.0281 NAVEX15 (3ddb0bef60b65df6b110c23e17cd67dc) C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\VirusDefs\20100916.002\NAVEX15.SYS
2010/09/16 17:44:14.0312 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2010/09/16 17:44:14.0328 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2010/09/16 17:44:14.0343 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2010/09/16 17:44:14.0359 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2010/09/16 17:44:14.0375 NDProxy (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys
2010/09/16 17:44:14.0406 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2010/09/16 17:44:14.0453 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2010/09/16 17:44:14.0500 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2010/09/16 17:44:14.0531 Nsynas32 (4b4a21e158c039ee0888741bfe1d24e0) C:\WINDOWS\system32\drivers\Nsynas32.sys
2010/09/16 17:44:14.0562 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2010/09/16 17:44:14.0578 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2010/09/16 17:44:14.0609 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2010/09/16 17:44:14.0640 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2010/09/16 17:44:14.0656 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
2010/09/16 17:44:14.0671 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2010/09/16 17:44:14.0718 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2010/09/16 17:44:14.0750 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2010/09/16 17:44:14.0781 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2010/09/16 17:44:14.0812 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
2010/09/16 17:44:14.0906 pfc (444f122e68db44c0589227781f3c8b3f) C:\WINDOWS\system32\drivers\pfc.sys
2010/09/16 17:44:14.0937 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2010/09/16 17:44:14.0953 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2010/09/16 17:44:14.0984 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2010/09/16 17:44:15.0015 PxHelp20 (40fedd328f98245ad201cf5f9f311724) C:\WINDOWS\system32\Drivers\PxHelp20.sys
2010/09/16 17:44:15.0093 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2010/09/16 17:44:15.0093 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2010/09/16 17:44:15.0125 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2010/09/16 17:44:15.0125 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2010/09/16 17:44:15.0187 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2010/09/16 17:44:15.0203 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2010/09/16 17:44:15.0234 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2010/09/16 17:44:15.0265 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
2010/09/16 17:44:15.0328 RTLE8023xp (185641ad7e80bfce0aa545d3ec79d557) C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys
2010/09/16 17:44:15.0359 s1018bus (1c5c2cb892553d2cf3f45a4bb323fcd6) C:\WINDOWS\system32\DRIVERS\s1018bus.sys
2010/09/16 17:44:15.0375 s1018mdfl (38f5ea219593f19b6b3a1b9c169e3b61) C:\WINDOWS\system32\DRIVERS\s1018mdfl.sys
2010/09/16 17:44:15.0406 s1018mdm (666af6b64fc7df92d3ca4819ea91631d) C:\WINDOWS\system32\DRIVERS\s1018mdm.sys
2010/09/16 17:44:15.0421 s1018mgmt (f4ceda6e2ddff2af8bd745615a7ca9c0) C:\WINDOWS\system32\DRIVERS\s1018mgmt.sys
2010/09/16 17:44:15.0453 s1018nd5 (3622d9ff2253dcbe885b10736609a4ca) C:\WINDOWS\system32\DRIVERS\s1018nd5.sys
2010/09/16 17:44:15.0468 s1018obex (49431efda842b474531c29ffae9f5d09) C:\WINDOWS\system32\DRIVERS\s1018obex.sys
2010/09/16 17:44:15.0484 s1018unic (ac6b514cb4474f4c867d7cdc9cd54f05) C:\WINDOWS\system32\DRIVERS\s1018unic.sys
2010/09/16 17:44:15.0531 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2010/09/16 17:44:15.0546 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2010/09/16 17:44:15.0578 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
2010/09/16 17:44:15.0625 sfdrv01 (4c0d673281178cb496011a2e28571fc8) C:\WINDOWS\system32\drivers\sfdrv01.sys
2010/09/16 17:44:15.0640 sfhlp02 (15be2b5e4dc5b8623cf167720682abc9) C:\WINDOWS\system32\drivers\sfhlp02.sys
2010/09/16 17:44:15.0656 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2010/09/16 17:44:15.0703 sfvfs02 (d5a7e09d2c6a702809e49190d52adc9f) C:\WINDOWS\system32\drivers\sfvfs02.sys
2010/09/16 17:44:15.0750 SiS315 (c10865ab0a1fd9f4ec7db70a1b8425d1) C:\WINDOWS\system32\DRIVERS\sisgrp.sys
2010/09/16 17:44:15.0781 SISAGP (61ca562def09a782d26b3e7edec5369a) C:\WINDOWS\system32\DRIVERS\SISAGPX.sys
2010/09/16 17:44:15.0796 SiSkp (96ad556979fb5d5e56141219772a9ec9) C:\WINDOWS\system32\DRIVERS\srvkp.sys
2010/09/16 17:44:15.0828 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2010/09/16 17:44:15.0875 sptd (a80cd850d69d996c832bea37e3a6aa1e) C:\WINDOWS\system32\Drivers\sptd.sys
2010/09/16 17:44:15.0906 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2010/09/16 17:44:15.0953 SRTSP (d0ab8e989935d895f1bed8f607fa0948) C:\WINDOWS\System32\Drivers\NIS\1201000.025\SRTSP.SYS
2010/09/16 17:44:15.0968 SRTSPX (fae9f5558a1f53670e579f9ffb4a67cc) C:\WINDOWS\system32\drivers\NIS\1201000.025\SRTSPX.SYS
2010/09/16 17:44:16.0015 Srv (da852e3e0bf1cea75d756f9866241e57) C:\WINDOWS\system32\DRIVERS\srv.sys
2010/09/16 17:44:16.0031 st3wolf (1e9a652d898cc96038e5e5554f79c49f) C:\WINDOWS\system32\DRIVERS\st3wolf.sys
2010/09/16 17:44:16.0062 stwlfbus (24e09d134304fbc605626fced3e4cb50) C:\WINDOWS\system32\DRIVERS\stwlfbus.sys
2010/09/16 17:44:16.0078 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2010/09/16 17:44:16.0109 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2010/09/16 17:44:16.0296 SymDS (67e83f8c7e80dc898a1d73b38412ba7a) C:\WINDOWS\system32\drivers\NIS\1201000.025\SYMDS.SYS
2010/09/16 17:44:16.0343 SymEFA (3986a8de371e985ba6c82eb8da3b1e98) C:\WINDOWS\system32\drivers\NIS\1201000.025\SYMEFA.SYS
2010/09/16 17:44:16.0375 SymEvent (5c76a63fac8a5580c5a1c4a4ed827782) C:\WINDOWS\system32\Drivers\SYMEVENT.SYS
2010/09/16 17:44:16.0390 SymIRON (8ae632773b5192dce48f4ec8de753863) C:\WINDOWS\system32\drivers\NIS\1201000.025\Ironx86.SYS
2010/09/16 17:44:16.0421 SYMTDI (34ff2368b7914d1b29d16aba865e982d) C:\WINDOWS\system32\drivers\NIS\1201000.025\SYMTDI.SYS
2010/09/16 17:44:16.0468 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2010/09/16 17:44:16.0515 TClass2k (1b3c28d36e669deeb39331255a3feeeb) C:\WINDOWS\system32\DRIVERS\TClass2k.sys
2010/09/16 17:44:16.0562 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2010/09/16 17:44:16.0578 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2010/09/16 17:44:16.0593 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2010/09/16 17:44:16.0625 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2010/09/16 17:44:16.0671 uagp35 (d85938f272d1bcf3db3a31fc0a048928) C:\WINDOWS\system32\DRIVERS\uagp35.sys
2010/09/16 17:44:16.0703 UCTblHid (adfa2e999bd2ddf89187dcbf0e3dd404) C:\WINDOWS\system32\DRIVERS\UCTblHid.sys
2010/09/16 17:44:16.0718 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2010/09/16 17:44:16.0765 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2010/09/16 17:44:16.0796 usbaudio (e919708db44ed8543a7c017953148330) C:\WINDOWS\system32\drivers\usbaudio.sys
2010/09/16 17:44:16.0796 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2010/09/16 17:44:16.0828 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2010/09/16 17:44:16.0843 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2010/09/16 17:44:16.0859 usbohci (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
2010/09/16 17:44:16.0890 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2010/09/16 17:44:16.0906 usbstor (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2010/09/16 17:44:16.0906 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2010/09/16 17:44:16.0937 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2010/09/16 17:44:16.0984 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2010/09/16 17:44:17.0000 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2010/09/16 17:44:17.0015 wceusbsh (2e8ba025d65dd49d15ea66973e2a15df) C:\WINDOWS\system32\DRIVERS\wceusbsh.sys
2010/09/16 17:44:17.0062 Wdf01000 (bbcfeab7e871cddac2d397ee7fa91fdc) C:\WINDOWS\system32\Drivers\wdf01000.sys
2010/09/16 17:44:17.0093 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2010/09/16 17:44:17.0140 WpdUsb (cf4def1bf66f06964dc0d91844239104) C:\WINDOWS\system32\DRIVERS\wpdusb.sys
2010/09/16 17:44:17.0187 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2010/09/16 17:44:17.0203 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2010/09/16 17:44:17.0250 ================================================================================
2010/09/16 17:44:17.0250 Scan finished
2010/09/16 17:44:17.0250 ================================================================================
|
|
16.09.2010, 16:55
| #6 |
| /// Malware-holic | Backdoor.Tidserv in ftdisk.sik kannst du noch mal cf ausprobieren? |
|
16.09.2010, 16:56
| #7 |
| | Backdoor.Tidserv in ftdisk.sik Klar, Defogger dabei disabled lassen? |
|
16.09.2010, 17:00
| #8 |
| /// Malware-holic | Backdoor.Tidserv in ftdisk.sik ja, es steht da, bis angewiesen wird. und dass ist am ende. |
|
16.09.2010, 17:23
| #9 |
| | Backdoor.Tidserv in ftdisk.sik Hatte eben bei Kaspersky noch Defogger-Fenster offen und Norton an. Vielleicht deshalb nichts gefunden worden? Hier das CF-Log: Code:
ATTFilter ComboFix 10-09-15.03 - xxx 16.09.2010 18:14:11.2.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1917.1500 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) {804E5358-FFA4-00FC-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00EB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {F33C2C6C-FFA4-00DA-0D24-347CA8A3377C}
AV: Norton Internet Security *On-access scanning disabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
.
((((((((((((((((((((((( Dateien erstellt von 2010-08-16 bis 2010-09-16 ))))))))))))))))))))))))))))))
.
2010-09-15 22:33 . 2010-09-15 22:36 -------- d-----w- c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\NPE
2010-09-15 19:48 . 2010-09-15 19:48 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2010-09-15 19:48 . 2010-09-15 19:48 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-09-15 19:48 . 2010-09-15 19:48 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2010-09-15 19:48 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-15 19:48 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-09-15 19:10 . 2010-09-15 19:10 161296 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2010-09-11 10:35 . 2010-09-11 10:35 388096 ----a-r- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-09-05 15:10 . 2010-09-05 15:10 503808 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\msvcp71.dll
2010-09-05 15:10 . 2010-09-05 15:10 499712 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\jmc.dll
2010-09-05 15:10 . 2010-09-05 15:10 348160 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\msvcr71.dll
2010-09-05 15:10 . 2010-09-05 15:10 61440 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1d8c51e0-n\decora-sse.dll
2010-09-05 15:10 . 2010-09-05 15:10 12800 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1d8c51e0-n\decora-d3d.dll
2010-09-05 11:02 . 2010-07-17 03:00 423656 ----a-w- c:\windows\system32\deployJava1.dll
2010-09-05 10:56 . 2010-09-05 10:56 -------- d-----w- c:\programme\Defraggler
2010-09-05 10:55 . 2010-09-05 10:55 -------- d-----w- c:\programme\Microsoft.NET
2010-09-05 10:46 . 2010-07-20 13:05 81920 ----a-w- c:\windows\system32\igfxCoIn_v5284.dll
2010-09-05 09:41 . 2010-09-05 09:41 -------- d-----w- c:\programme\NT Registry Optimizer
2010-09-05 08:35 . 2010-07-29 03:33 666672 ----a-r- c:\windows\system32\drivers\SymEFA.sys
2010-09-05 08:35 . 2010-07-29 02:54 50096 ----a-r- c:\windows\system32\drivers\srtspx.sys
2010-09-05 08:35 . 2010-07-13 01:20 369072 ----a-r- c:\windows\system32\drivers\symtdi.sys
2010-09-05 08:35 . 2010-06-27 04:05 134704 ----a-r- c:\windows\system32\drivers\Ironx86.sys
2010-09-05 08:35 . 2010-06-13 10:50 339504 ----a-r- c:\windows\system32\drivers\SymDS.sys
2010-09-05 07:58 . 2010-09-05 08:35 60808 ----a-w- c:\windows\system32\S32EVNT1.DLL
2010-09-05 07:58 . 2010-09-05 08:35 126512 ----a-w- c:\windows\system32\drivers\SYMEVENT.SYS
2010-09-05 07:58 . 2010-09-05 08:02 -------- d-----w- c:\programme\Gemeinsame Dateien\Symantec Shared
2010-09-05 07:58 . 2010-09-05 08:38 -------- d-----w- c:\windows\system32\drivers\NIS
2010-09-05 07:58 . 2010-09-05 08:43 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton
2010-09-05 07:58 . 2010-09-05 07:58 -------- d-----w- c:\programme\Norton Internet Security
2010-09-05 07:58 . 2010-09-05 07:58 -------- d-----w- c:\programme\Windows Sidebar
2010-09-05 07:54 . 2010-09-05 07:54 -------- d-----w- c:\programme\NortonInstaller
2010-09-05 03:09 . 2010-09-05 04:18 -------- d-----w- C:\NBRT
2010-09-04 18:21 . 2010-09-05 07:57 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\NortonInstaller
2010-09-04 16:49 . 2010-09-04 16:49 -------- d-----w- c:\windows\system32\wbem\Repository
2010-09-04 16:49 . 2010-09-04 16:49 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2010-09-04 15:37 . 2010-09-04 15:40 -------- d-s---w- c:\dokumente und einstellungen\Administrator\Eigene Dateien
2010-09-04 15:27 . 2010-09-04 15:27 -------- d-----w- c:\dokumente und einstellungen\Administrator\IETldCache
2010-09-04 15:15 . 2010-09-04 15:15 -------- d-----w- c:\dokumente und einstellungen\xxx\PrivacIE
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-16 14:42 . 2008-02-01 15:33 -------- d-----w- c:\programme\Mozilla Thunderbird
2010-09-15 22:28 . 2006-11-26 17:09 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
2010-09-15 19:18 . 2009-12-17 18:41 -------- d-----w- c:\programme\SystemRequirementsLab
2010-09-15 17:25 . 2008-02-01 14:30 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\FileZilla
2010-09-15 17:20 . 2009-06-03 12:01 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Skype
2010-09-15 17:20 . 2008-08-18 20:06 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\skypePM
2010-09-14 23:11 . 2009-09-20 18:50 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\vlc
2010-09-13 15:57 . 2007-12-05 20:13 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Winamp
2010-09-13 15:53 . 2007-03-12 18:01 -------- d-----w- c:\programme\Winamp
2010-09-13 15:53 . 2010-03-25 18:05 -------- d-----w- c:\programme\Winamp Detect
2010-09-11 15:46 . 2010-07-04 15:31 -------- d-----w- c:\programme\ICQ7.1
2010-09-11 10:30 . 2008-09-15 17:34 -------- d-----w- c:\programme\KONAMI
2010-09-11 09:46 . 2010-05-06 21:58 16 ----a-w- c:\windows\msocreg32.dat
2010-09-08 17:47 . 2005-01-07 18:21 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-09-08 17:25 . 2010-07-06 21:49 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\regid.1986-12.com.adobe
2010-09-05 20:01 . 2004-08-04 12:00 126336 ----a-w- c:\windows\system32\drivers\ftdisk.sik
2010-09-05 11:15 . 2007-01-03 14:15 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Media Player Classic
2010-09-05 11:02 . 2006-11-03 12:05 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-09-05 11:02 . 2004-11-18 14:17 -------- d-----w- c:\programme\Java
2010-09-05 10:58 . 2004-08-04 12:00 94746 ----a-w- c:\windows\system32\perfc007.dat
2010-09-05 10:58 . 2004-08-04 12:00 502424 ----a-w- c:\windows\system32\perfh007.dat
2010-09-05 10:46 . 2009-09-23 15:34 -------- d-----w- c:\programme\CCleaner
2010-09-05 08:35 . 2010-09-05 07:58 805 ----a-w- c:\windows\system32\drivers\SYMEVENT.INF
2010-09-05 08:35 . 2010-09-05 07:58 7456 ----a-w- c:\windows\system32\drivers\SYMEVENT.CAT
2010-09-05 08:35 . 2004-11-18 14:14 -------- d-----w- c:\programme\Symantec
2010-09-05 08:27 . 2010-07-25 20:49 1324 ----a-w- c:\windows\system32\d3d9caps.dat
2010-09-04 16:49 . 2009-06-03 12:00 -------- d-----r- c:\programme\Skype
2010-09-04 16:49 . 2006-12-29 19:09 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Skype
2010-09-04 16:48 . 2008-12-04 16:18 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\dvdcss
2010-09-01 17:50 . 2010-05-26 15:00 87 ----a-w- c:\windows\system32\ssprs.tgz.vir
2010-09-01 17:50 . 2010-05-26 15:00 73 ----a-w- c:\windows\system32\ssprs.dll.vir
2010-09-01 17:50 . 2010-05-26 15:00 219 ----a-w- c:\windows\system32\lsprst7.tgz.vir
2010-09-01 17:50 . 2010-05-26 15:00 205 ----a-w- c:\windows\system32\lsprst7.dll.vir
2010-08-23 18:18 . 2010-01-16 15:54 -------- d-----w- c:\programme\PokerStars
2010-08-22 14:15 . 2007-04-19 12:47 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\ICQ
2010-08-17 13:17 . 2004-08-04 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe
2010-08-07 18:20 . 2010-08-07 18:20 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\DVDVideoSoftIEHelpers
2010-08-07 18:20 . 2010-05-15 15:48 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-08-07 18:20 . 2009-07-29 19:48 -------- d-----w- c:\programme\DVDVideoSoft
2010-08-03 21:08 . 2009-07-20 20:19 -------- d-----w- c:\programme\TrackMania Nations ESWC
2010-08-03 20:29 . 2010-06-21 21:19 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Amazon
2010-08-03 20:26 . 2006-11-30 19:36 70880 -c--a-w- c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-07-31 17:01 . 2008-11-06 23:31 1 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-07-31 16:31 . 2008-06-07 22:36 -------- d-----w- c:\programme\phase5
2010-07-24 15:24 . 2010-07-24 15:24 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Antares
2010-07-24 15:24 . 2010-07-24 15:24 -------- d-----w- c:\programme\Antares Audio Technologies
2010-07-24 15:24 . 2006-11-06 18:56 -------- d-----w- c:\programme\VstPlugins
2010-07-23 23:47 . 2008-02-01 14:30 -------- d-----w- c:\programme\FileZilla FTP Client
2010-07-22 15:48 . 2004-08-04 12:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2010-07-20 12:58 . 2009-07-13 12:44 4123648 ----a-w- c:\windows\system32\igxpdx32.dll
2010-07-20 12:57 . 2009-07-13 12:44 3482432 ----a-w- c:\windows\system32\igxpdv32.dll
2010-07-20 12:57 . 2009-07-13 12:44 2003584 ----a-w- c:\windows\system32\drivers\igxpmp32.sys
2010-07-20 12:57 . 2009-07-13 12:44 982240 ----a-w- c:\windows\system32\igkrng500.bin
2010-07-20 12:57 . 2009-07-13 12:44 58368 ----a-w- c:\windows\system32\igxprd32.dll
2010-07-20 12:57 . 2009-07-13 12:44 439308 ----a-w- c:\windows\system32\igcompkrng500.bin
2010-07-20 12:57 . 2009-07-13 12:44 182784 ----a-w- c:\windows\system32\igxpgd32.dll
2010-07-20 12:45 . 2009-07-13 12:44 10963456 ----a-w- c:\windows\system32\ig4icd32.dll
2010-07-20 12:37 . 2009-07-13 12:44 129536 ----a-w- c:\windows\system32\igfxtray.exe
2010-07-20 12:37 . 2009-07-13 12:44 194048 ----a-w- c:\windows\system32\igfxpph.dll
2010-07-20 12:36 . 2009-07-13 12:44 163328 ----a-w- c:\windows\system32\hkcmd.exe
2010-07-20 12:36 . 2009-07-13 12:44 138752 ----a-w- c:\windows\system32\igfxpers.exe
2010-07-20 12:36 . 2009-07-13 12:44 23552 ----a-w- c:\windows\system32\igfxexps.dll
2010-07-20 12:36 . 2009-07-13 12:44 172032 ----a-w- c:\windows\system32\igfxext.exe
2010-07-20 12:36 . 2009-07-13 12:44 130048 ----a-w- c:\windows\system32\igfxdo.dll
2010-07-20 12:36 . 2009-07-13 12:44 57344 ----a-w- c:\windows\system32\igfxsrvc.dll
2010-07-20 12:36 . 2009-07-13 12:44 257536 ----a-w- c:\windows\system32\igfxsrvc.exe
2010-07-20 12:36 . 2009-12-17 18:45 3139584 ----a-w- c:\windows\system32\GfxUI.exe
2010-07-20 12:36 . 2009-07-13 12:44 94720 ----a-w- c:\windows\system32\hccutils.dll
2010-07-20 12:36 . 2009-12-17 18:45 121344 ----a-w- c:\windows\system32\gfxSrvc.dll
2010-07-20 12:36 . 2009-12-17 18:45 4096 ----a-w- c:\windows\system32\IGFXDEVLib.dll
2010-07-20 12:36 . 2009-07-13 12:44 214016 ----a-w- c:\windows\system32\igfxdev.dll
2010-07-20 12:35 . 2009-07-13 12:44 828928 ----a-w- c:\windows\system32\igfxress.dll
2010-07-06 21:31 . 2010-07-06 21:31 10134 ----a-r- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{024521CF-C07E-4F8E-8481-0D75695E03AF}\ARPPRODUCTICON.exe
2010-07-06 21:28 . 2010-07-06 21:28 38784 ----a-w- c:\dokumente und einstellungen\Default User.WINDOWS\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-06-30 12:28 . 2004-08-04 12:00 149504 ----a-w- c:\windows\system32\schannel.dll
2010-06-26 16:12 . 2010-06-26 16:12 2568656 ----a-w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\NOS\Adobe_Downloads\install_flash_player.exe
2010-06-24 12:22 . 2004-08-04 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2004-08-04 12:00 1852032 ----a-w- c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2004-08-04 12:00 354304 ----a-w- c:\windows\system32\drivers\srv.sys
2010-06-18 17:44 . 2004-08-04 12:00 293888 ----a-w- c:\windows\system32\winsrv.dll
2009-12-27 18:45 . 2009-12-27 18:45 561 ----a-w- c:\programme\StandaloneRecallCCAssign.f8c
2009-12-27 18:45 . 2009-12-27 18:45 1072 ----a-w- c:\programme\StandaloneRecall.fm8
2001-11-05 07:30 . 2009-02-28 13:54 165376 ------w- c:\programme\UNWISE.EXE
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
2007-05-13 21:08 . 2007-05-13 21:08 5 -csha-w- c:\windows\system32\bcadadfeee_d.dll
2007-05-13 21:06 . 2007-05-13 21:06 5 -csha-w- c:\windows\system32\bcadadfeee_s.dll
.
((((((((((((((((((((((((((((( SnapShot@2010-09-16_15.14.00 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-09-16 16:14 . 2010-09-16 16:14 16384 c:\windows\Temp\Perflib_Perfdata_29c.dat
+ 2010-09-16 16:13 . 2010-09-16 16:13 16384 c:\windows\Temp\Perflib_Perfdata_25c.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\programme\RocketDock\RocketDock.exe" [2007-09-02 495616]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-12-26 18081280]
"H2O"="c:\programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-12-18 307200]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-13 208952]
"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-04 44032]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-13 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-07-20 129536]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-07-20 163328]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-07-20 138752]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 1 (0x1)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 11 (0xb)
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0sprestrt
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"LexBceS"=2 (0x2)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HotKeysCmds"=c:\windows\system32\hkcmd.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\WINDOWS\\system32\\javaw.exe"=
"c:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\ICQ7.1\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R0 stwlfbus;stwlfbus;c:\windows\system32\drivers\stwlfbus.sys [27.04.2003 12:39 8704]
R0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NIS\1201000.025\SymDS.sys [05.09.2010 10:35 339504]
R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NIS\1201000.025\SymEFA.sys [05.09.2010 10:35 666672]
R1 BHDrvx86;BHDrvx86;c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\BASHDefs\20100901.003\BHDrvx86.sys [01.09.2010 00:57 692272]
R1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NIS\1201000.025\Ironx86.sys [05.09.2010 10:35 134704]
R2 NIS;Norton Internet Security;c:\programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe [05.09.2010 10:35 126904]
R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [19.04.2007 16:23 33792]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [05.09.2010 10:02 102448]
R3 IDSxpx86;IDSxpx86;c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\IPSDefs\20100914.003\IDSXpx86.sys [16.09.2010 16:51 331640]
R3 st3wolf;st3wolf;c:\windows\system32\drivers\st3wolf.sys [27.04.2003 11:43 99360]
S1 as6eio;as6eio;c:\windows\system32\drivers\as6eio.SYS --> c:\windows\system32\drivers\as6eio.SYS [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [24.12.2009 13:52 135664]
S3 cpudrv;cpudrv;c:\programme\SystemRequirementsLab\cpudrv.sys [18.12.2009 10:58 11336]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [03.01.2010 19:57 13224]
S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\drivers\s1018bus.sys [05.10.2009 19:24 86824]
S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\drivers\s1018mdfl.sys [05.10.2009 19:24 15016]
S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\drivers\s1018mdm.sys [05.10.2009 19:24 114728]
S3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s1018mgmt.sys [05.10.2009 19:24 106208]
S3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\drivers\s1018nd5.sys [05.10.2009 19:24 26024]
S3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\drivers\s1018obex.sys [05.10.2009 19:24 104744]
S3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\drivers\s1018unic.sys [05.10.2009 19:24 109864]
S3 SampleScanner;Ultima2000 Scanner;c:\windows\system32\DRIVERS\GT680x.sys --> c:\windows\system32\DRIVERS\GT680x.sys [?]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14.07.2009 01:12 722416]
.
Inhalt des "geplante Tasks" Ordners
2010-09-15 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-23 03:08]
2010-09-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-24 11:52]
2010-09-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-24 11:52]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\xxx\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: {{71BFC818-0CED-42D6-9C87-5142918957EE} - c:\programme\ICQ7.1\ICQ.exe
FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\xxx\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=
FF - component: c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\coFFPlgn\components\coFFPlgn.dll
FF - component: c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\IPSFFPlgn\components\IPSFFPl.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-connections-per-server - 8
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: nglayout.initialpaint.delay - 300
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.switch.threshold - 650000
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
------- Dateityp-Verknüpfung -------
.
.txt=
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-16 18:18
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A3E1DC8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xb98ecf28
\Driver\ACPI -> ACPI.sys @ 0xb977ecb8
\Driver\atapi -> 0x8a3e1dc8
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Realtek RTL8168D(P)/8111D(P) PCI-E Gigabit Ethernet NIC #2 -> SendCompleteHandler -> NDIS.sys @ 0xb952fbb0
PacketIndicateHandler -> NDIS.sys @ 0xb953ca21
SendHandler -> NDIS.sys @ 0xb951a87b
Warning: possible MBR rootkit infection !
user & kernel MBR OK
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\NIS]
"ImagePath"="\"c:\programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe\" /s \"NIS\" /m \"c:\programme\Norton Internet Security\Engine\18.1.0.37\diMaster.dll\" /prefetch:1"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1123561945-602609370-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{446BEBFF-0A4E-CE2F-AC7E-C1E8C86F13E0}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"iadbiiibeagnjnadmd"=hex:6a,61,6d,65,62,65,70,67,6f,6e,67,64,6a,6f,61,6c,6f,6d,
6b,69,00,06
"habbgiihkmpljcpi"=hex:6a,61,6d,65,70,64,66,6a,66,65,61,63,61,6e,68,6e,63,63,
68,6a,00,4d
[HKEY_USERS\S-1-5-21-1123561945-602609370-725345543-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:59,2f,a4,60,15,54,71,e3,47,70,a8,23,60,88,03,a4,6c,dd,4d,1e,95,78,36,
7d,71,f3,84,2e,20,4f,d5,99,21,7b,1c,15,6a,95,32,26,32,1f,4f,e0,1c,36,86,f6,\
"??"=hex:5d,2e,bc,00,9b,07,bc,9c,34,34,87,88,c9,ab,ca,0d
[HKEY_LOCAL_MACHINE\software\Classes\Applications\WINWORD.EXE\shell]
@DACL=(02 0000)
@="Open"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10g_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10g_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2010-09-16 18:19:54
ComboFix-quarantined-files.txt 2010-09-16 16:19
ComboFix2.txt 2010-09-16 15:15
Vor Suchlauf: 23 Verzeichnis(se), 135.289.184.256 Bytes frei
Nach Suchlauf: 24 Verzeichnis(se), 135.274.700.800 Bytes frei
- - End Of File - - A7027AFEB2BD7042E98C1AA076F40EA4
|
|
16.09.2010, 17:29
| #10 |
| /// Malware-holic | Backdoor.Tidserv in ftdisk.sik nutze mal gmer. http://www.trojaner-board.de/74908-a...t-scanner.html |
|
16.09.2010, 23:05
| #11 |
| | Backdoor.Tidserv in ftdisk.sik GMER lief seit 19:30 Uhr bist grade eben. Musste es allerdings abbrechen, da ich morgen arbeiten muss und es immer noch nicht fertig war mit scannen. Gibt's eine Möglichkeit den Scan etwas abzukürzen, so dass er keine 5 oder 6 Stunden läuft? So lange bin ich ja nie am PC! |
|
17.09.2010, 10:21
| #12 |
| /// Malware-holic | Backdoor.Tidserv in ftdisk.sik 1. atf cleaner: |MG| ATF Cleaner 3.0.0.2 Download hake alles an, auch auf dem firefox tap, wähle emty selected, bestätige mit ok. 2. ccleaner, dateien + registry bereinigen: http://www.trojaner-board.de/51464-a...-ccleaner.html 3. systemwiederherstellung de-und reaktivieren Windows XP - Die Systemwiederherstellung komplett abschalten vor dem reaktivieren 5 min warten. 4. wärend GMER läuft, schaltest du alle aktieven programme, auch antivirus aus und trennst die internet verbindung. vllt bringen diese tipps ne zeitersparniss. |
|
18.09.2010, 18:57
| #13 |
| | Backdoor.Tidserv in ftdisk.sik Habs mal ausgeführt, wie du es beschrieben hast. War dann weg vom PC in der Annahme es würde wieder länger dauern. Als ich wieder kam, war ich am Anmeldebildschirm und als ich mich dann angemeldet hatte, kam die Meldung, dass das System aufgrund eines schwerwiegenden Fehlers neugestartet wurde. Des weiteren hängt mein PC nach jedem GMER-Scan und lässt sich nicht herunterfahren. Werde wohl morgen nochmal versuchen zu scannen, hoffe dann geht es, ansonsten müssten wir uns eine Alternative zurechtlegen. Gruß |
|
19.09.2010, 19:28
| #14 |
| | Backdoor.Tidserv in ftdisk.sik So, hier endlich mal ein GMER-Log. Hat lange gedauert. Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-09-19 20:22:07
Windows 5.1.2600 Service Pack 3
Running: zscfi4o6.exe; Driver: C:\DOKUME~1\xxx\LOKALE~1\Temp\pwldqpog.sys
---- System - GMER 1.0.15 ----
SSDT 8A46F810 ZwAlertResumeThread
SSDT 8A48D980 ZwAlertThread
SSDT 89ED4A00 ZwAllocateVirtualMemory
SSDT 8A5C3318 ZwAssignProcessToJobObject
SSDT 8A524AC0 ZwConnectPort
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwCreateKey [0xA7B3A720]
SSDT 8A597E90 ZwCreateMutant
SSDT 8A11EE78 ZwCreateSymbolicLinkObject
SSDT 8A4E8A60 ZwCreateThread
SSDT 8A5CA3E8 ZwDebugActiveProcess
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteKey [0xA7B3A9A0]
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteValueKey [0xA7B3AF00]
SSDT 89E87130 ZwDuplicateObject
SSDT 8A59C168 ZwFreeVirtualMemory
SSDT 8A46AB70 ZwImpersonateAnonymousToken
SSDT 8A46E0F0 ZwImpersonateThread
SSDT 8A414E30 ZwLoadDriver
SSDT 89B6F090 ZwMapViewOfSection
SSDT 8A463520 ZwOpenEvent
SSDT 8A860FC0 ZwOpenProcess
SSDT 8A764050 ZwOpenProcessToken
SSDT 8A4576D0 ZwOpenSection
SSDT 8A415188 ZwOpenThread
SSDT 8997FE78 ZwProtectVirtualMemory
SSDT 8A48D9B8 ZwResumeThread
SSDT 8A4DE0A8 ZwSetContextThread
SSDT 8A4F0A20 ZwSetInformationProcess
SSDT 8A5B8478 ZwSetSystemInformation
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwSetValueKey [0xA7B3B150]
SSDT 8A457FD0 ZwSuspendProcess
SSDT 8A4B10B0 ZwSuspendThread
SSDT 8A4EE240 ZwTerminateProcess
SSDT 8A4B3CD0 ZwTerminateThread
SSDT 8A6B2050 ZwUnmapViewOfSection
SSDT 89EF9A00 ZwWriteVirtualMemory
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwCallbackReturn + 2CC8 80504564 4 Bytes CALL DEDAA20C
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
Device \Driver\Cdrom \Device\CdRom0 8A3F0188
Device \Driver\Cdrom \Device\CdRom1 8A3F0188
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 8A452E08
Device \Driver\atapi \Device\Ide\IdePort0 8A452E08
Device \Driver\atapi \Device\Ide\IdePort1 8A452E08
Device \Driver\atapi \Device\Ide\IdePort2 8A452E08
Device \Driver\atapi \Device\Ide\IdePort3 8A452E08
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-e 8A452E08
Device \Driver\Cdrom \Device\CdRom2 8A3F0188
Device \Driver\Cdrom \Device\CdRom3 8A3F0188
Device \Driver\Cdrom \Device\CdRom4 8A3F0188
AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
Device \Driver\st3wolf \Device\Scsi\st3wolf1Port4Path0Target2Lun0 8A16D940
Device \Driver\st3wolf \Device\Scsi\st3wolf1 8A16D940
Device \Driver\st3wolf \Device\Scsi\st3wolf1Port4Path0Target0Lun0 8A16D940
Device \Driver\st3wolf \Device\Scsi\st3wolf1Port4Path0Target3Lun0 8A16D940
Device \Driver\st3wolf \Device\Scsi\st3wolf1Port4Path0Target1Lun0 8A16D940
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x50 0x35 0xAD 0xC7 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xA5 0x50 0x02 0x4E ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xD0 0xE6 0x8D 0x00 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0xAE 0x51 0xE9 0xA4 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2@hdf12 0xFC 0xED 0xAE 0xD5 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3@hdf12 0x35 0x75 0xDA 0xF1 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x50 0x35 0xAD 0xC7 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xA5 0x50 0x02 0x4E ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x24 0xED 0x9C 0x5E ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0xAE 0x51 0xE9 0xA4 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2@hdf12 0xFC 0xED 0xAE 0xD5 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3@hdf12 0x35 0x75 0xDA 0xF1 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x50 0x35 0xAD 0xC7 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xA5 0x50 0x02 0x4E ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x24 0xED 0x9C 0x5E ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0xAE 0x51 0xE9 0xA4 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2@hdf12 0xFC 0xED 0xAE 0xD5 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3@hdf12 0x35 0x75 0xDA 0xF1 ...
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell@ Open
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New@ &Neu
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\command
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\command@ "C:\Programme\Microsoft Office\Office\WINWORD.EXE" /n
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\command@command .0!!!gxsf(Ng]qF`H{LsWORDFiles>llT]jI{jf(=1&L[-81-] /n?
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\ddeexec
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\ddeexec@ [REM _DDE_Direct][FileNew("%1")]
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\ddeexec\Application
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\ddeexec\Application@ WinWord
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\ddeexec\Topic
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\ddeexec\Topic@ System
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open@ ?&ffnen
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\command
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\command@ "C:\Programme\Microsoft Office\Office\WINWORD.EXE" /n
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\command@command .0!!!gxsf(Ng]qF`H{LsWORDFiles>llT]jI{jf(=1&L[-81-] /n?
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\ddeexec
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\ddeexec@ [REM _DDE_Direct][FileOpen("%1")]
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\ddeexec\Application
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\ddeexec\Application@ WinWord
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\ddeexec\Topic
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\ddeexec\Topic@ System
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print@ &Drucken
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec@ [REM _DDE_Minimize][FileOpen("%1")][t=IsDocumentDirty()][FilePrint 0][SetDocumentDirty t][DocClose]
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec\Application
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec\Application@ WinWord
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec\ifexec
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec\ifexec@ [FileOpen("%1")][FilePrint 0][FileExit 2]
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec\Topic
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec\Topic@ System
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec@ [REM _DDE_Minimize][FileOpen("%1")][FilePrintSetup "%2 on p",.DoNotSetAsSysDefault=1][FilePrint 0][DocClose 2][FilePrintSetup ""]
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec\Application
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec\Application@ WinWord
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec\ifexec
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec\ifexec@ [FileOpen("%1")][FilePrintSetup "%2 on p",.DoNotSetAsSysDefault=1][FilePrint 0][FileExit 2]
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec\Topic
Reg HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec\Topic@ System
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{446BEBFF-0A4E-CE2F-AC7E-C1E8C86F13E0}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{446BEBFF-0A4E-CE2F-AC7E-C1E8C86F13E0}@iadbiiibeagnjnadmd 0x6A 0x61 0x6D 0x65 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{446BEBFF-0A4E-CE2F-AC7E-C1E8C86F13E0}@habbgiihkmpljcpi 0x6A 0x61 0x6D 0x65 ...
---- EOF - GMER 1.0.15 ----
|
|
20.09.2010, 09:41
| #15 |
| /// Malware-holic | Backdoor.Tidserv in ftdisk.sik kannst du mal das esage lab tdss remover tool versuchen esage lab - resources |
|
| Themen zu Backdoor.Tidserv in ftdisk.sik |
| adobe, adware.trymedia, backdoor.tidserv, bho, bonjour, computer, converter, einstellungen, entfernen, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, hängen, internet, internet explorer, intrusion prevention, logfile, mozilla, mp3, opera.exe, pdf, plug-in, programme, rootkit, security, software, symantec, tablet, trymedia, virus, windows xp |
Hybrid-Darstellung
