Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Maleware durch Gimp2 Plugins? 34 Infizierte Dateien!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.03.2011, 10:11   #1
Blacksheep89
 
Maleware durch Gimp2 Plugins? 34 Infizierte Dateien! - Standard

Maleware durch Gimp2 Plugins? 34 Infizierte Dateien!



Hallo Trojaner Board,

vor ein paar Tagen habe ich gemerkt, wie plötzlich mein Email-Account Passwort, sowie mein EA Passwort geändert wurden.

Ich habe sofort auf einem anderen Rechner alle Passwörter geändert und eine neue Email erstellt und alles darauf eingerichtet.

Dann habe ich einen Scan mit Malewarebytes gemacht, er fand 34 Infizierte Dateien, alle im Gimp2.6 Ordner.
Scheinbar waren diese bei einem Plugin dabei.
Was mich allerdings irritiert ist, dass ich diese Plugins schon sehr lange habe, vorher aber nie was passiert ist.
Kann das vielleicht damit zusammenhängen, dass ich vorher Kaspersky hatte und momentan nur Avira Free, weil ich gerade auf Norton umsteigen will?

Jedenfalls habe ich die Infizierten Dateien mit MBM gelöscht, doch sicher fühle ich mich immernochnicht.
Localhost ist nicht zu erreichen und wenn ich GMER ausführen will hängt es sich, oder sogar den ganzen PC auf.
Catchme meldet 2 Sachen.

Ich wäre bereit wenn garnichts geht eine neue Festplatte zu kaufen, aber da ich am PC auch arbeite habe ich die Sorge, dass bei der Datensicherung die Maleware irgendwie mitkommt.
Dann sich z.B. Rootkits per Autorun selbständig auf USB Sticks oder sogar auf Disks schreiben habe ich bereits gehört.


Jedenfalls wäre es super wenn ihr mir helfen könntet.




Anbei: Logfiles.

Win 7 32 Bit.



PS: War mir nicht sicher wo ich es eröffnen soll, weil ich denke dass es ja auch was mit Kaspersky zu tun hat, wenns falsch ist bitte verschieben.

OK, eigentlich gehört es in den anderen Berecih, "Plagegeister aller Art entfernen" oder so. Dort habe ich keinen Zutritt mehr, aber dort sind Experten, die dir die LOG-Files analysieren können. Vielleicht wird ein Admin bald verschieben.

Nur so viel: Ich an deiner Stelle würde an einen SICHEREN ANDEREN Rechner gehen, von dort alle Passwörter ändern und dann beim infizierten Rechner die Platte formatieren und Windows neu drauf machen. Ansonsten hast du nie wirkliche Sicherheit.

Vermutlich ist irgendeine Spyware oder ein Rootkit drauf. Dass GMER sich aufhängt kommt mir aber schon sehr Verdächtig vor.

Ok, dann bitte verschieben.

Und ja, das find ich auch komisch, also er scannt erst ne kurze Zeit ganz normal, dann hängt er sich auf.

Und gestern hat sich der PC dann abgeschaltet to "prevent damage".

Denke auch dass ich den PC formatieren muss.

Will aber vorher unbedingt noch bestimmte daten sichern ohne dass sich da böse sachen mit schmuggeln

Alt 08.03.2011, 11:23   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Maleware durch Gimp2 Plugins? 34 Infizierte Dateien! - Standard

Maleware durch Gimp2 Plugins? 34 Infizierte Dateien!



Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle davon posten. Du findest diese im Reiter Logdateien in Malwarebytes.
__________________

__________________

Alt 08.03.2011, 20:06   #3
Blacksheep89
 
Maleware durch Gimp2 Plugins? 34 Infizierte Dateien! - Standard

Maleware durch Gimp2 Plugins? 34 Infizierte Dateien!



Also ich hatte keine weiteren gesehen.

Nebenbei:

Ich musste heute eine Systemwiederherstellung machen, sonst wollte Windows nicht starten.

Danach waren auch Malewarebytes etc. weg.

Werde jetzt nochmal einen Scan machen, mal sehen.
__________________

Alt 08.03.2011, 21:15   #4
Blacksheep89
 
Maleware durch Gimp2 Plugins? 34 Infizierte Dateien! - Standard

Maleware durch Gimp2 Plugins? 34 Infizierte Dateien!



Also hab jetzt nochmal Quick Scan gemacht.

Malewarebytes sagt nun ist alles ok, aber ich trau dem braten nicht, vorallem da mein pc momentan öfters mal komische Sachen macht.
Aber GMER klappt nun komischer Weise.

Hat auchschon 1 Trojaner gefunden, zumindest laut googel ist es einer, ich lass nochmal zuende laufen, aber wenn ich das richtig verstehe heißt er ZwSaveKeyEx und ist der ntkrnlpa.exe angehängt.

Geändert von Blacksheep89 (08.03.2011 um 21:35 Uhr)

Alt 08.03.2011, 21:37   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Maleware durch Gimp2 Plugins? 34 Infizierte Dateien! - Standard

Maleware durch Gimp2 Plugins? 34 Infizierte Dateien!



Zitat:
aber wenn ich das richtig verstehe heißt er ZwSaveKeyEx und ist der ntkrnlpa.exe angehängt.
Nur weil was im GMER-Log steht, ist das nicht automatisch ein Trojaner.
mach wegen der Systemwiederherstellung bitte frische Logs mit OTL.

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 08.03.2011, 21:41   #6
Blacksheep89
 
Maleware durch Gimp2 Plugins? 34 Infizierte Dateien! - Standard

Maleware durch Gimp2 Plugins? 34 Infizierte Dateien!



Job, sobald GMER fertig ist.

Und naja, Google sagt dass es ein Rootkit ist und catchme hat den auch gefunden.

Natürlich steht es nicht fest, aber ich finde das schon verdächtig.



Danke nochmal ^.^

Edit:

Gmer Log:


Code:
ATTFilter
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-03-08 21:52:44
Windows 6.1.7600  Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T1L0-6 Hitachi_HDT725032VLA380 rev.V54OA73A
Running: woc8n5m6.exe; Driver: C:\Users\***\AppData\Local\Temp\kwldypoc.sys


---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwSaveKeyEx + 13BD                                                                    83097589 1 Byte  [06]
.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                             830BC092 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text           C:\Windows\system32\DRIVERS\atikmdag.sys                                                           section is writeable [0x8EC3A000, 0x2D5378, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text           C:\Program Files\Mozilla Firefox\plugin-container.exe[3016] USER32.dll!TrackPopupMenu              76A94B3B 5 Bytes  JMP 6735C35B C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text           C:\Program Files\Mozilla Firefox\firefox.exe[3752] ntdll.dll!LdrLoadDll                            7757F5B5 5 Bytes  JMP 010D13F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc]                    [74202494] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup]               [741E5624] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown]              [741E56E2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree]                     [7420250F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics]           [741F8573] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage]             [741F4D27] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth]            [741F50CE] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight]           [741F51A3] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromHBITMAP]  [741F66D0] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC]            [741F82CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode]       [741F8819] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode]     [741F907A] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI]           [741FE21D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage]               [741F4C59] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipAlloc]                    [74202494] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdiplusStartup]               [741E5624] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdiplusShutdown]              [741E56E2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipFree]                     [7420250F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipDeleteGraphics]           [741F8573] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipDisposeImage]             [741F4D27] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipGetImageWidth]            [741F50CE] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipGetImageHeight]           [741F51A3] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipCreateBitmapFromHBITMAP]  [741F66D0] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipCreateFromHDC]            [741F82CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipSetCompositingMode]       [741F8819] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipSetInterpolationMode]     [741F907A] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipDrawImageRectI]           [741FE21D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipCloneImage]               [741F4C59] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device          \Driver\ACPI_HAL \Device\00000046                                                                  halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                             fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
         
Edit 2: Hab jetzt nur für die letzen 30 Tage gescannt.

Reicht das?

Kann sein dass die Maleware schon viel länger drauf ist oder?

Geändert von Blacksheep89 (08.03.2011 um 22:01 Uhr)

Alt 08.03.2011, 22:21   #7
Blacksheep89
 
Maleware durch Gimp2 Plugins? 34 Infizierte Dateien! - Standard

Maleware durch Gimp2 Plugins? 34 Infizierte Dateien!



So, OTL Scans im anhang:

Alt 09.03.2011, 14:47   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Maleware durch Gimp2 Plugins? 34 Infizierte Dateien! - Standard

Maleware durch Gimp2 Plugins? 34 Infizierte Dateien!



Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
@Alternate Data Stream - 125 bytes -> C:\ProgramData\TEMP:1B22F0EC
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 09.03.2011, 17:42   #9
Blacksheep89
 
Maleware durch Gimp2 Plugins? 34 Infizierte Dateien! - Standard

Maleware durch Gimp2 Plugins? 34 Infizierte Dateien!



Erledigt:

Code:
ATTFilter
All processes killed
========== OTL ==========
ADS C:\ProgramData\TEMP:1B22F0EC deleted successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56504 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Gast
->Temp folder emptied: 175356 bytes
->Temporary Internet Files folder emptied: 23720720 bytes
->Java cache emptied: 86846 bytes
->FireFox cache emptied: 101520862 bytes
->Flash cache emptied: 59844 bytes
 
User: ****
->Temp folder emptied: 190937108 bytes
->Temporary Internet Files folder emptied: 73389607 bytes
->Java cache emptied: 16447103 bytes
->FireFox cache emptied: 65747798 bytes
->Google Chrome cache emptied: 6126175 bytes
->Flash cache emptied: 2425484 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 608 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 458,00 mb
 
 
OTL by OldTimer - Version 3.2.22.3 log created on 03092011_164239

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
         
Allerdings muss ich anmerken, dass der PC nicht richtig herunterfahren wollte und im "Herunterfahren" Bildschirm festhängen geblieben ist, ich habe ihn dann nach einiger Zeit manuell ausgeschaltet.

Geändert von Blacksheep89 (09.03.2011 um 17:52 Uhr)

Alt 09.03.2011, 21:59   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Maleware durch Gimp2 Plugins? 34 Infizierte Dateien! - Standard

Maleware durch Gimp2 Plugins? 34 Infizierte Dateien!



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 09.03.2011, 22:42   #11
Blacksheep89
 
Maleware durch Gimp2 Plugins? 34 Infizierte Dateien! - Standard

Maleware durch Gimp2 Plugins? 34 Infizierte Dateien!



Kann den CCL leider nicht runterladen, werden keine Mirrors angezeigt, weder bei der neuesten, noch bei älteren.

Edit:

Ich dusel, lad ich es halt woanders

Naja, also CCleaner ausführen bevor ich combo fix ausführe.

Alt 09.03.2011, 23:23   #12
Blacksheep89
 
Maleware durch Gimp2 Plugins? 34 Infizierte Dateien! - Standard

Maleware durch Gimp2 Plugins? 34 Infizierte Dateien!



Code:
ATTFilter
ComboFix 11-03-09.01 - **** 09.03.2011  22:56:47.1.4 - x86
Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.2047.1438 [GMT 1:00]
ausgeführt von:: c:\users\****\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\Install.exe
c:\users\****\AppData\Roaming\EurekaLog
c:\users\****\AppData\Roaming\EurekaLog\CyberGhost\CyberGhost.elf
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-02-09 bis 2011-03-09  ))))))))))))))))))))))))))))))
.
.
2011-03-09 22:04 . 2011-03-09 22:05	--------	d-----w-	c:\users\****\AppData\Local\temp
2011-03-09 22:04 . 2011-03-09 22:04	--------	d-----w-	c:\users\Gast\AppData\Local\temp
2011-03-09 22:04 . 2011-03-09 22:04	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-03-09 21:45 . 2011-03-09 21:45	--------	d-----w-	c:\program files\CCleaner
2011-03-09 15:42 . 2011-03-09 15:42	--------	d-----w-	C:\_OTL
2011-03-09 14:25 . 2010-12-18 05:30	2690560	----a-w-	c:\windows\system32\mstscax.dll
2011-03-09 14:25 . 2010-12-18 05:26	1034240	----a-w-	c:\windows\system32\mstsc.exe
2011-03-09 14:25 . 2011-02-19 05:33	802304	----a-w-	c:\windows\system32\FntCache.dll
2011-03-09 14:25 . 2011-02-19 05:32	1074176	----a-w-	c:\windows\system32\DWrite.dll
2011-03-09 14:25 . 2011-02-19 05:32	739840	----a-w-	c:\windows\system32\d2d1.dll
2011-03-09 14:25 . 2010-12-23 05:28	850432	----a-w-	c:\windows\system32\sbe.dll
2011-03-09 14:25 . 2010-12-23 05:28	642048	----a-w-	c:\windows\system32\CPFilters.dll
2011-03-09 14:25 . 2010-12-23 05:28	534528	----a-w-	c:\windows\system32\EncDec.dll
2011-03-09 14:25 . 2010-12-23 05:24	199680	----a-w-	c:\windows\system32\mpg2splt.ax
2011-03-05 12:57 . 2011-03-05 12:57	--------	d-----w-	c:\users\Gast\AppData\Roaming\Malwarebytes
2011-03-04 17:37 . 2011-03-04 17:37	--------	d-----w-	c:\programdata\Electronic Arts
2011-03-04 17:37 . 2011-03-04 17:37	--------	d-----w-	c:\programdata\EA Core
2011-03-04 17:33 . 2011-03-04 17:33	--------	d-----w-	c:\program files\Electronic Arts
2011-02-27 08:54 . 2011-03-08 15:01	--------	d-----w-	c:\users\Gast\AppData\Local\LogMeIn Hamachi
2011-02-24 14:59 . 2011-02-24 15:47	--------	d-----w-	c:\users\****\AppData\Roaming\TeamViewer
2011-02-23 17:43 . 2010-09-14 06:07	276992	----a-w-	c:\windows\system32\wcncsvc.dll
2011-02-23 13:56 . 2011-01-07 07:31	442880	----a-w-	c:\windows\system32\XpsPrint.dll
2011-02-23 13:56 . 2011-01-07 07:31	288256	----a-w-	c:\windows\system32\XpsGdiConverter.dll
2011-02-18 22:01 . 2011-02-18 22:12	--------	d-----w-	c:\program files\Steamless CounterStrikeSource Pack
2011-02-17 18:49 . 2011-03-08 15:01	--------	d-----w-	c:\users\****\AppData\Roaming\.minecraft
2011-02-17 17:17 . 2011-02-17 17:18	--------	d-----w-	c:\users\****\AppData\Roaming\.minecraft - Kopie (2)
2011-02-13 22:29 . 2011-02-13 22:34	--------	d-----w-	c:\users\****\AppData\Roaming\.minecraft - Kopie
2011-02-09 20:16 . 2011-03-09 20:00	--------	d-----w-	c:\users\****\AppData\Local\LogMeIn Hamachi
2011-02-09 20:16 . 2011-02-09 20:16	--------	d-----w-	c:\program files\LogMeIn Hamachi
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-20 17:09 . 2010-05-11 19:29	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-05-11 19:29	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-12-13 07:39 . 2010-12-24 18:58	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-12-13 07:39 . 2010-12-24 18:58	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2009-07-14 144384]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-12-03 14944136]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2010-02-22 8522272]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
"AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 500208]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-12-13 281768]
"LogMeIn Hamachi Ui"="c:\program files\LogMeIn Hamachi\hamachi-2-ui.exe" [2010-12-06 1910152]
.
c:\users\Gast\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 OMSI download service;Sony Ericsson OMSI download service;c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [2009-04-30 90112]
R3 CGVPNCliSrvc;CyberGhost VPN Client;c:\program files\S.A.D\CyberGhost VPN\CGVPNCliService.exe [2011-02-02 2413704]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-08-18 176128]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-12-13 135336]
S2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\program files\LogMeIn Hamachi\hamachi-2.exe [2010-12-06 1238408]
S2 HssWd;Hotspot Shield Monitoring Service;c:\program files\Hotspot Shield\bin\hsswd.exe [2010-01-08 285744]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - SSMDRV
.
.
------- Zusätzlicher Suchlauf -------
.
Trusted Zone: worldofwarcraft.com\eu.logon
FF - ProfilePath - c:\users\****\AppData\Roaming\Mozilla\Firefox\Profiles\3xnu5lcx.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://google.de/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.1&q=
FF - prefs.js: network.proxy.type - 2
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Greasemonkey: {e4a8a97b-f2ed-450b-b12d-ee082ba24781} - %profile%\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-Octoshape add-in for Adobe Flash Player - c:\users\****\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\octoshape\octoshape.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2011-03-09  23:06:51
ComboFix-quarantined-files.txt  2011-03-09 22:06
.
Vor Suchlauf: 25 Verzeichnis(se), 158.336.831.488 Bytes frei
Nach Suchlauf: 32 Verzeichnis(se), 158.293.037.056 Bytes frei
.
- - End Of File - - A95D855DF35608142018FEC383887E92
         
So, auch erledigt.
Hab danach nochmal nen neustart gemacht.

Alt 10.03.2011, 12:49   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Maleware durch Gimp2 Plugins? 34 Infizierte Dateien! - Standard

Maleware durch Gimp2 Plugins? 34 Infizierte Dateien!



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur einige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 10.03.2011, 17:06   #14
Blacksheep89
 
Maleware durch Gimp2 Plugins? 34 Infizierte Dateien! - Standard

Maleware durch Gimp2 Plugins? 34 Infizierte Dateien!



Alles klar:

Code:
ATTFilter
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows 7 Home Premium Edition
Windows Information:		 (build 7600), 32-bit
Base Board Manufacturer:	MICRO-STAR INTERNATIONAL CO.,LTD
BIOS Manufacturer:		American Megatrends Inc.
System Manufacturer:		MICRO-STAR INTERNATIONAL CO.,LTD
System Product Name:		MS-7388
Logical Drives Mask:		0x0000000d

Kernel Drivers (total 185):
  0x83040000 \SystemRoot\system32\ntkrnlpa.exe
  0x83009000 \SystemRoot\system32\halmacpi.dll
  0x80BA6000 \SystemRoot\system32\kdcom.dll
  0x8362C000 \SystemRoot\system32\mcupdate_AuthenticAMD.dll
  0x83637000 \SystemRoot\system32\PSHED.dll
  0x83648000 \SystemRoot\system32\BOOTVID.dll
  0x83650000 \SystemRoot\system32\CLFS.SYS
  0x83692000 \SystemRoot\system32\CI.dll
  0x8373D000 \SystemRoot\system32\drivers\Wdf01000.sys
  0x837AE000 \SystemRoot\system32\drivers\WDFLDR.SYS
  0x89002000 \SystemRoot\system32\DRIVERS\ACPI.sys
  0x8904A000 \SystemRoot\system32\DRIVERS\WMILIB.SYS
  0x89053000 \SystemRoot\system32\DRIVERS\msisadrv.sys
  0x8905B000 \SystemRoot\system32\DRIVERS\pci.sys
  0x89085000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
  0x89090000 \SystemRoot\System32\drivers\partmgr.sys
  0x890A1000 \SystemRoot\system32\DRIVERS\volmgr.sys
  0x890B1000 \SystemRoot\System32\drivers\volmgrx.sys
  0x890FC000 \SystemRoot\system32\DRIVERS\pciide.sys
  0x89103000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
  0x89111000 \SystemRoot\System32\drivers\mountmgr.sys
  0x89127000 \SystemRoot\system32\DRIVERS\atapi.sys
  0x89130000 \SystemRoot\system32\DRIVERS\ataport.SYS
  0x89153000 \SystemRoot\system32\DRIVERS\amdxata.sys
  0x8915C000 \SystemRoot\system32\drivers\fltmgr.sys
  0x89190000 \SystemRoot\system32\drivers\fileinfo.sys
  0x89217000 \SystemRoot\System32\Drivers\Ntfs.sys
  0x89346000 \SystemRoot\System32\Drivers\msrpc.sys
  0x89371000 \SystemRoot\System32\Drivers\ksecdd.sys
  0x89384000 \SystemRoot\System32\Drivers\cng.sys
  0x893E1000 \SystemRoot\System32\drivers\pcw.sys
  0x893EF000 \SystemRoot\System32\Drivers\Fs_Rec.sys
  0x8943D000 \SystemRoot\system32\drivers\ndis.sys
  0x894F4000 \SystemRoot\system32\drivers\NETIO.SYS
  0x89532000 \SystemRoot\System32\Drivers\ksecpkg.sys
  0x8963C000 \SystemRoot\System32\drivers\tcpip.sys
  0x89785000 \SystemRoot\System32\drivers\fwpkclnt.sys
  0x897B6000 \SystemRoot\system32\DRIVERS\volsnap.sys
  0x897F5000 \SystemRoot\System32\Drivers\spldr.sys
  0x89600000 \SystemRoot\System32\drivers\rdyboost.sys
  0x89557000 \SystemRoot\System32\Drivers\mup.sys
  0x8962D000 \SystemRoot\System32\drivers\hwpolicy.sys
  0x89567000 \SystemRoot\System32\DRIVERS\fvevol.sys
  0x89599000 \SystemRoot\system32\DRIVERS\disk.sys
  0x895AA000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
  0x895CF000 \SystemRoot\system32\DRIVERS\AtiPcie.sys
  0x89411000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0x89635000 \SystemRoot\System32\Drivers\Null.SYS
  0x89430000 \SystemRoot\System32\Drivers\Beep.SYS
  0x89200000 \SystemRoot\System32\drivers\vga.sys
  0x891A1000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
  0x891C2000 \SystemRoot\System32\drivers\watchdog.sys
  0x895F8000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0x8920C000 \SystemRoot\system32\drivers\rdpencdd.sys
  0x893F8000 \SystemRoot\system32\drivers\rdprefmp.sys
  0x891CF000 \SystemRoot\System32\Drivers\Msfs.SYS
  0x891DA000 \SystemRoot\System32\Drivers\Npfs.SYS
  0x891E8000 \SystemRoot\system32\DRIVERS\tdx.sys
  0x837BC000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0x8E234000 \SystemRoot\system32\drivers\afd.sys
  0x8E28E000 \SystemRoot\System32\DRIVERS\netbt.sys
  0x8E2C0000 \SystemRoot\system32\DRIVERS\wfplwf.sys
  0x8E2C7000 \SystemRoot\system32\DRIVERS\pacer.sys
  0x8E2E6000 \SystemRoot\system32\DRIVERS\netbios.sys
  0x8E2F4000 \SystemRoot\system32\DRIVERS\serial.sys
  0x8E30E000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0x8E321000 \SystemRoot\system32\DRIVERS\termdd.sys
  0x8E331000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0x8E337000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0x8E378000 \SystemRoot\system32\drivers\nsiproxy.sys
  0x8E382000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0x8E38C000 \SystemRoot\System32\drivers\discache.sys
  0x8E398000 \SystemRoot\System32\Drivers\dfsc.sys
  0x8E3B0000 \SystemRoot\system32\DRIVERS\blbdrive.sys
  0x8E3BE000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0x8E200000 \SystemRoot\system32\DRIVERS\tunnel.sys
  0x8E221000 \SystemRoot\system32\DRIVERS\amdppm.sys
  0x8EC1A000 \SystemRoot\system32\DRIVERS\atikmdag.sys
  0x8F12F000 \SystemRoot\System32\drivers\dxgkrnl.sys
  0x837C7000 \SystemRoot\System32\drivers\dxgmms1.sys
  0x83600000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0x8F23E000 \SystemRoot\system32\DRIVERS\Rt86win7.sys
  0x8F263000 \SystemRoot\system32\DRIVERS\usbohci.sys
  0x8F26D000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0x8F2B8000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0x8F2C7000 \SystemRoot\system32\DRIVERS\serenum.sys
  0x8F2D1000 \SystemRoot\system32\DRIVERS\fdc.sys
  0x8F2DC000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0x8F2F4000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0x8F301000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
  0x8F30A000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
  0x8F317000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
  0x8F329000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0x8F341000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0x8F34C000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0x8F36E000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0x8F386000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0x8F39D000 \SystemRoot\system32\DRIVERS\rassstp.sys
  0x8F3B4000 \SystemRoot\system32\DRIVERS\tap0901.sys
  0x8F3BB000 \SystemRoot\system32\DRIVERS\hamachi.sys
  0x8F3C0000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0x8F3CD000 \SystemRoot\system32\DRIVERS\swenum.sys
  0x8F200000 \SystemRoot\system32\DRIVERS\ks.sys
  0x8F3CF000 \SystemRoot\system32\DRIVERS\umbus.sys
  0x93C3C000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0x93C80000 \SystemRoot\system32\DRIVERS\flpydisk.sys
  0x93C8A000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0x93C9B000 \SystemRoot\system32\drivers\HdAudio.sys
  0x93CEB000 \SystemRoot\system32\drivers\portcls.sys
  0x93D1A000 \SystemRoot\system32\drivers\drmk.sys
  0x94023000 \SystemRoot\system32\drivers\RTKVHDA.sys
  0x94304000 \SystemRoot\System32\Drivers\crashdmp.sys
  0x94311000 \SystemRoot\System32\Drivers\dump_dumpata.sys
  0x9431C000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0x94325000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
  0x95B90000 \SystemRoot\System32\win32k.sys
  0x94336000 \SystemRoot\System32\drivers\Dxapi.sys
  0x94340000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0x9434B000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0x9435E000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0x94365000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0x94367000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0x94372000 \SystemRoot\system32\DRIVERS\monitor.sys
  0x95DF0000 \SystemRoot\System32\TSDDD.dll
  0x95A20000 \SystemRoot\System32\ATMFD.DLL
  0x95A70000 \SystemRoot\System32\cdd.dll
  0x9437D000 \SystemRoot\system32\drivers\luafv.sys
  0x94398000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0x943AD000 \SystemRoot\system32\drivers\WudfPf.sys
  0x943C7000 \SystemRoot\system32\DRIVERS\lltdio.sys
  0x943D7000 \SystemRoot\system32\DRIVERS\rspndr.sys
  0x93D33000 \SystemRoot\system32\drivers\HTTP.sys
  0x94000000 \SystemRoot\system32\DRIVERS\bowser.sys
  0x943EA000 \SystemRoot\System32\drivers\mpsdrv.sys
  0x93DB8000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0x93C00000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
  0x93DDB000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
  0x9BE19000 \SystemRoot\system32\drivers\peauth.sys
  0x9BEB0000 \SystemRoot\System32\Drivers\secdrv.SYS
  0x9BEBA000 \SystemRoot\System32\DRIVERS\srvnet.sys
  0x9BEDB000 \SystemRoot\System32\drivers\tcpipreg.sys
  0x9BEE8000 \SystemRoot\System32\DRIVERS\srv2.sys
  0x9BF37000 \SystemRoot\System32\DRIVERS\srv.sys
  0x9BFF2000 \SystemRoot\system32\DRIVERS\asyncmac.sys
  0x9BE00000 \??\C:\Users\****\AppData\Local\Temp\kwldypoc.sys
  0x9BF88000 \SystemRoot\System32\Drivers\fastfat.SYS
  0x77610000 \Windows\System32\ntdll.dll
  0x47890000 \Windows\System32\smss.exe
  0x77850000 \Windows\System32\apisetschema.dll
  0x00940000 \Windows\System32\autochk.exe
  0x77770000 \Windows\System32\user32.dll
  0x77560000 \Windows\System32\rpcrt4.dll
  0x77530000 \Windows\System32\imagehlp.dll
  0x773D0000 \Windows\System32\ole32.dll
  0x77380000 \Windows\System32\Wldap32.dll
  0x772B0000 \Windows\System32\msctf.dll
  0x77270000 \Windows\System32\ws2_32.dll
  0x77760000 \Windows\System32\normaliz.dll
  0x77190000 \Windows\System32\kernel32.dll
  0x770F0000 \Windows\System32\usp10.dll
  0x77040000 \Windows\System32\msvcrt.dll
  0x76FB0000 \Windows\System32\oleaut32.dll
  0x76F20000 \Windows\System32\clbcatq.dll
  0x77750000 \Windows\System32\nsi.dll
  0x76F00000 \Windows\System32\imm32.dll
  0x76EA0000 \Windows\System32\difxapi.dll
  0x76250000 \Windows\System32\shell32.dll
  0x76110000 \Windows\System32\urlmon.dll
  0x760F0000 \Windows\System32\sechost.dll
  0x75F50000 \Windows\System32\setupapi.dll
  0x75EB0000 \Windows\System32\advapi32.dll
  0x75CB0000 \Windows\System32\iertutil.dll
  0x75CA0000 \Windows\System32\psapi.dll
  0x75C20000 \Windows\System32\comdlg32.dll
  0x75BC0000 \Windows\System32\shlwapi.dll
  0x75BB0000 \Windows\System32\lpk.dll
  0x75B60000 \Windows\System32\gdi32.dll
  0x75A60000 \Windows\System32\wininet.dll
  0x75A40000 \Windows\System32\devobj.dll
  0x75A10000 \Windows\System32\cfgmgr32.dll
  0x759E0000 \Windows\System32\wintrust.dll
  0x75990000 \Windows\System32\KernelBase.dll
  0x75900000 \Windows\System32\comctl32.dll
  0x757E0000 \Windows\System32\crypt32.dll
  0x757D0000 \Windows\System32\msasn1.dll

Processes (total 52):
       0 System Idle Process
       4 System
     276 C:\Windows\System32\smss.exe
     400 csrss.exe
     472 C:\Windows\System32\wininit.exe
     480 csrss.exe
     520 C:\Windows\System32\services.exe
     536 C:\Windows\System32\lsass.exe
     544 C:\Windows\System32\lsm.exe
     656 C:\Windows\System32\svchost.exe
     704 C:\Windows\System32\winlogon.exe
     816 C:\Windows\System32\svchost.exe
     892 C:\Windows\System32\atiesrxx.exe
     952 C:\Windows\System32\svchost.exe
     988 C:\Windows\System32\svchost.exe
    1036 C:\Windows\System32\svchost.exe
    1176 C:\Windows\System32\svchost.exe
    1268 C:\Windows\System32\atieclxx.exe
    1316 C:\Windows\System32\svchost.exe
    1544 C:\Windows\System32\spoolsv.exe
    1576 C:\Program Files\Avira\AntiVir Desktop\sched.exe
    1596 C:\Windows\System32\svchost.exe
    1712 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    1756 C:\ProgramData\EPSON\EPW!3 SSRP\E_S40ST7.EXE
    1788 C:\ProgramData\EPSON\EPW!3 SSRP\E_S40RP7.EXE
    1820 C:\Windows\System32\svchost.exe
    1848 C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
    1876 C:\Program Files\Hotspot Shield\bin\hsswd.exe
    1916 C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
    1956 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
    1968 C:\Windows\System32\conhost.exe
    2004 C:\Windows\System32\svchost.exe
    1508 C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
    2904 C:\Windows\System32\svchost.exe
    3076 C:\Windows\System32\taskhost.exe
    3152 C:\Windows\System32\dwm.exe
    3204 C:\Windows\explorer.exe
    3300 C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
    3420 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    3476 C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe
    1416 C:\Windows\System32\SearchIndexer.exe
    2560 C:\Program Files\Windows Media Player\wmpnetwk.exe
    3836 C:\Windows\System32\svchost.exe
     672 C:\Program Files\Mozilla Firefox\firefox.exe
    2448 C:\Program Files\Mozilla Firefox\plugin-container.exe
    2328 C:\Windows\System32\SearchProtocolHost.exe
    3168 C:\Windows\System32\SearchFilterHost.exe
    2480 C:\Windows\explorer.exe
    2868 C:\Windows\System32\audiodg.exe
    3628 C:\Users\****\Desktop\MBRCheck.exe
    1720 C:\Windows\System32\conhost.exe
    1172 C:\Windows\System32\dllhost.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00100000  (NTFS)

PhysicalDrive0 Model Number: HitachiHDT725032VLA380, Rev: V54OA73A

      Size  Device Name          MBR Status
  --------------------------------------------
    298 GB  \\.\PhysicalDrive0   Windows 7 MBR code detected
            SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79


Done!
         

Gmer:

Code:
ATTFilter
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-03-10 16:44:57
Windows 6.1.7600  Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T1L0-6 Hitachi_HDT725032VLA380 rev.V54OA73A
Running: 1jw9hp18.exe; Driver: C:\Users\****\AppData\Local\Temp\kwldypoc.sys


---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwSaveKeyEx + 13BD                                                                                                              83083589 1 Byte  [06]
.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                                                                       830A8092 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text           C:\Windows\system32\DRIVERS\atikmdag.sys                                                                                                     section is writeable [0x8EC1B000, 0x2D5378, 0xE8000020]
PAGE            spsys.sys!?SPRevision@@3PADA + 4F90                                                                                                          9BFA5000 290 Bytes  [8B, FF, 55, 8B, EC, 33, C0, ...]
PAGE            spsys.sys!?SPRevision@@3PADA + 50B3                                                                                                          9BFA5123 629 Bytes  [05, FA, 9B, FE, 05, 34, 05, ...]
PAGE            spsys.sys!?SPRevision@@3PADA + 5329                                                                                                          9BFA5399 101 Bytes  [6A, 28, 59, A5, 5E, C6, 03, ...]
PAGE            spsys.sys!?SPRevision@@3PADA + 538F                                                                                                          9BFA53FF 148 Bytes  [18, 5D, C2, 14, 00, 8B, FF, ...]
PAGE            spsys.sys!?SPRevision@@3PADA + 543B                                                                                                          9BFA54AB 2228 Bytes  [8B, FF, 55, 8B, EC, FF, 75, ...]
PAGE            ...                                                                                                                                          

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc]                                                              [742F2494] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup]                                                         [742D5624] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown]                                                        [742D56E2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree]                                                               [742F250F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics]                                                     [742E8573] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage]                                                       [742E4D27] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth]                                                      [742E50CE] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight]                                                     [742E51A3] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromHBITMAP]                                            [742E66D0] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC]                                                      [742E82CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode]                                                 [742E8819] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode]                                               [742E907A] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI]                                                     [742EE21D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage]                                                         [742E4C59] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device          \Driver\ACPI_HAL \Device\00000046                                                                                                            halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                                                       fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                                                       rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

---- Threads - GMER 1.0.15 ----

Thread          System [4:3100]                                                                                                                              9BFB2F2E

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\Configuration\SAM041EH9XQB02323_2F_07D8_2D^87585AC7630E6501383E3F73C924A93B@Timestamp  0x1E 0x47 0x9C 0xB1 ...

---- EOF - GMER 1.0.15 ----
         

OSAM:


Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 16:53:58 on 10.03.2011

OS: Windows 7 Home Premium Edition (Build 7600), 32-bit
Default Browser: Mozilla Corporation Firefox 3.6.15

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgntflt" (avgntflt) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\Users\****\AppData\Local\Temp\catchme.sys  (File not found)
"Hamachi Network Interface" (hamachi) - "LogMeIn, Inc." - C:\Windows\System32\DRIVERS\hamachi.sys
"kwldypoc" (kwldypoc) - ? - C:\Users\****\AppData\Local\Temp\kwldypoc.sys  (Hidden registry entry, rootkit activity | File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\Windows\System32\DRIVERS\ssmdrv.sys

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL
{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{911051fa-c21c-4246-b470-070cd8df6dc4} ".cab or .zip files" - ? -   (File not found | COM-object registry key not found)
{1b24a030-9b20-49bc-97ac-1be4426f9e59} "ActiveDirectory Folder" - ? -   (File not found | COM-object registry key not found)
{34449847-FD14-4fc8-A75A-7432F5181EFB} "ActiveDirectory Folder" - ? -   (File not found | COM-object registry key not found)
{0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48} "Contacts folder" - ? -   (File not found | COM-object registry key not found)
{2C2577C2-63A7-40e3-9B7F-586602617ECB} "Explorer Query Band" - ? -   (File not found | COM-object registry key not found)
{00020d75-0000-0000-c000-000000000046} "lnkfile" - ? -   (File not found | COM-object registry key not found)
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{C8494E42-ACDD-4739-B0FB-217361E4894F} "Sam Account Folder" - ? -   (File not found | COM-object registry key not found)
{E29F9716-5C08-4FCD-955A-119FDB5A522D} "Sam Account Folder" - ? -   (File not found | COM-object registry key not found)
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\shlext.dll
{da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" - ? -   (File not found | COM-object registry key not found)
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Program Files\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "{724D43A0-0D85-11D4-9908-00400523E39A}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\Windows\system32\Macromed\Flash\Flash10k.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"ICQ7" - "ICQ, LLC." - C:\Program Files\ICQ7.0\ICQ.exe
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{9421DD08-935F-4701-A9CA-22DF90AC4EA6} "Easy Photo Print" - "SEIKO EPSON CORPORATION / CyCom Technology Corp." - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
{855F3B16-6D32-4FE6-8A56-BBB695989046} "ICQToolBar" - ? - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll  (File not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{9421DD08-935F-4701-A9CA-22DF90AC4EA6} "Easy Photo Print" - "SEIKO EPSON CORPORATION / CyCom Technology Corp." - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
{5C255C8A-E604-49b4-9D64-90988571CECB} "{5C255C8A-E604-49b4-9D64-90988571CECB}" - ? -   (File not found | COM-object registry key not found)

[Logon]
-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Users\****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"Skype" - "Skype Technologies S.A." - "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
-----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )-----
"StartupPrograms" - ? - rdpclip  (File not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"AdobeAAMUpdater-1.0" - "Adobe Systems Incorporated" - "C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"
"avgnt" - "Avira GmbH" - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
"LogMeIn Hamachi Ui" - "LogMeIn Inc." - "C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\sched.exe
"CyberGhost VPN Client" (CGVPNCliSrvc) - "mobile concepts GmbH" - C:\Program Files\S.A.D\CyberGhost VPN\CGVPNCliService.exe
"Hotspot Shield Monitoring Service" (HssWd) - ? - C:\Program Files\Hotspot Shield\bin\hsswd.exe  (File found, but it contains no detailed information)
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
"LogMeIn Hamachi 2.0 Tunneling Engine" (Hamachi2Svc) - "LogMeIn Inc." - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"SBSD Security Center Service" (SBSDWSCService) - "Safer Networking Ltd." - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
"Sony Ericsson OMSI download service" (OMSI download service) - ? - C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe  (File found, but it contains no detailed information)
"Steam Client Service" (Steam Client Service) - "Valve Corporation" - C:\Program Files\Common Files\Steam\SteamService.exe
"Windows Presentation Foundation Font Cache 4.0.0.0" (WPFFontCache_v0400) - ? - C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru
         



PS: Diesmal hat GMER ziemlich lang gebraucht, immerhin hats beim 1. versuch geklappt.

Alt 10.03.2011, 17:54   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Maleware durch Gimp2 Plugins? 34 Infizierte Dateien! - Standard

Maleware durch Gimp2 Plugins? 34 Infizierte Dateien!



Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Maleware durch Gimp2 Plugins? 34 Infizierte Dateien!
autorun, avira, bereit, dateien, daten sichern, datensicherung, festplatte, free, gelöscht, gmer, hängen, hängt, infizierte, infizierte dateien, kaspersky, log-files, maleware, neue, neue festplatte, nicht sicher, norton, passwort, passwort geändert, passwörter, rechner, rootkits, scan, selbständig, super, tan, trojaner, trojaner board, usb, ändern



Ähnliche Themen: Maleware durch Gimp2 Plugins? 34 Infizierte Dateien!


  1. Infizierte Dateien im Browser!
    Plagegeister aller Art und deren Bekämpfung - 29.01.2015 (9)
  2. Megalo durch Paint.net Plugins
    Plagegeister aller Art und deren Bekämpfung - 22.12.2014 (20)
  3. 3 infizierte Dateien entdeckt
    Log-Analyse und Auswertung - 27.01.2014 (17)
  4. PUP.Optional.... 23 Infizierte Dateien
    Plagegeister aller Art und deren Bekämpfung - 29.10.2013 (3)
  5. PUP.Optional. ........ ca. 800 infizierte Dateien
    Plagegeister aller Art und deren Bekämpfung - 28.10.2013 (17)
  6. 21 Infizierte Dateien bei Malwarebytes
    Plagegeister aller Art und deren Bekämpfung - 09.10.2013 (3)
  7. Infizierte Dateien
    Plagegeister aller Art und deren Bekämpfung - 11.09.2013 (11)
  8. 2 infizierte Dateien bei MBam
    Log-Analyse und Auswertung - 26.02.2013 (3)
  9. Infizierte Dateien gefährlich?
    Log-Analyse und Auswertung - 19.12.2012 (3)
  10. Infizierte Dateien
    Log-Analyse und Auswertung - 19.12.2012 (2)
  11. WIN7 64 Bit GIMP2.8 funktioniert nicht mehr
    Alles rund um Windows - 21.06.2012 (2)
  12. 10 infizierte Dateien
    Plagegeister aller Art und deren Bekämpfung - 26.10.2011 (3)
  13. 17 infizierte dateien +logfile
    Log-Analyse und Auswertung - 15.05.2010 (17)
  14. 17 infizierte dateien +logfile
    Log-Analyse und Auswertung - 14.05.2010 (1)
  15. 3 Infizierte Dateien gefunden...
    Plagegeister aller Art und deren Bekämpfung - 07.03.2010 (5)
  16. Verdacht auf infizierte DLL-Dateien
    Log-Analyse und Auswertung - 17.06.2008 (0)
  17. Infizierte Dateien löschen
    Log-Analyse und Auswertung - 27.10.2004 (2)

Zum Thema Maleware durch Gimp2 Plugins? 34 Infizierte Dateien! - Hallo Trojaner Board, vor ein paar Tagen habe ich gemerkt, wie plötzlich mein Email-Account Passwort, sowie mein EA Passwort geändert wurden. Ich habe sofort auf einem anderen Rechner alle Passwörter - Maleware durch Gimp2 Plugins? 34 Infizierte Dateien!...
Archiv
Du betrachtest: Maleware durch Gimp2 Plugins? 34 Infizierte Dateien! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.