firefoxmgr.exe öffnet mehrmals FireFox!

kira · 28.03.2011, 05:39

Hallo und Herzlich Willkommen!

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat:

"Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
- da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
- also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
Charakteristische Merkmale/Profilinformationen:
- aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
Die Systemprüfung und Bereinigung:
- kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
Innerhalb der Betreuungszeit:
- ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
Die Reihenfolge:
- genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
Ansonsten unsere Forumsregeln:
- Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen

Ich mach dir einen Vorschlag:
Wenn du glaubst zu kennen die Zeitpunkt wo dein System noch einwandfrei funktioniert hat, die Systemwiederherstellung ist einen Versuch Wert!:

- Gibt es einen "relativ einfachen Weg",wenn eine frische Infektion vorliegt, oder mal bestimmte Probleme bekommt man auch gelöst, was man sogleich ausprobieren sollte. Dies bietet Dir die Möglichkeit, Systemänderungen am Computer ohne Auswirkung auf persönliche Dateien, wie z. B. E-Mails, Dokumente oder Fotos, rückgängig zu machen.

Zitat:

-> Systemwiederherstellung
► Bitte wähle das älteste verfügbare Datum für die Wiederherstellung von Windows aus, wo dein Rechner noch einwandfrei funktioniert hat!

Du musst dich als Administrator oder als Benutzer mit Administratorrechten anmelden.
Die Systemwiederherstellung lässt sich unter Windows Vista/XP/7 wie folgt aufrufen:
► Start → Alle Programme → Zubehör → Systemprogramme → Systemwiederherstellung

->Eine Schritt-für-Schritt-Anleitung zum Einsatz der Systemwiederherstellung unter Windows XP
->Systemwiederherstellung unter Windows Vista
->Unter Win 7
► Falls nötig, kannst Du es im abgesicherten Modus auch tun - (Link bitte unbedingt anklicken & lesen!)

Die Systemwiederherstellung ist nur ein "Notlösung", das Problem wird damit nie 100%ig beseitigt, da dem Zeitpunkt des Eindringen des Trojaners nicht mehr feststellen kann. Aber man kann damit die Funktionsfähigkeit eines Computersystems erhöhen.
(Kannst noch immer bis zum heutigen Zeitpunkt rückgängig machen, falls liefert nicht das gewünschte Ergebnis)

► berichte mir auch, ob die SWH funktioniert hat, bzw ob Du das System auf einen früheren Wiederherstellungspunkt zurückstellen können?

1.
lade Dir HijackThis 2.0.4 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

2.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

3.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - bei Win7 wähle Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.
** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B hjtsanlist o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Coverflow

kira · 28.03.2011, 21:21

kein Antwort auf meine Frage erhalten!?:

Zitat:

Zitat von Coverflow

► berichte mir auch, ob die SWH funktioniert hat, bzw ob Du das System auf einen früheren Wiederherstellungspunkt zurückstellen können?

Dein System ist vermutlich von einem Rootkit befallen

►Da eine hundertprozentige Erkennung von Rootkits meist unmöglich ist, ist die beste Methode wäre zur Entfernung die komplette Neuinstallation.

Zitat:

Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Lesestoff: "Hilfe: Ich wurde das Opfer eines Hackerangriffs. Was soll ich tun?" - Säubern eines gefährdeten Systems

Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

1.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

- also lade Dir Gmer herunter und entpacke es auf deinen Desktop
- starte gmer.exe
- [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
- bitte nichts am Pc machen während der Scan läuft!
- klicke auf "Scan", um das Tool zu starten
- wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
- mit "Ok" wird GMER beendet.
- das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
Anleitung:-> GMER - Rootkit Scanner

2.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

Installieren und per Doppelklick starten.
Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
"Komplett Scan durchführen" wählen (überall Haken setzen)
wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung/virus-protect.org

3.
poste erneut - nach der vorgenommenen Reinigungsaktion:
TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

Prevof · 28.03.2011, 22:16

GMER hört ab meinem nicht löschbaren Ordner den ich von meinem 1. Windows XP habe (Mai 2008) auf. Keine Ahnung wieso.

Malwarebytes AntiMalware

Code:

ATTFilter

Folgt noch ...

HiJackThis LogFile

Code:

ATTFilter

Folgt noch ...

EDIT: Durch meinen sinnlosen Ordner den ich seit 2 - 3 Jahren nicht löschen kann, wo noch alle Spiele und Dateien von 2008 - 2009 draufsind, spinnt jeder Vollscan. GMER bricht dort ab und MBAM macht dort nicht weiter (Hab nun nach 10 Minuten auf der gleichen Stelle) abgebrochen. Aber QuickScans funktionieren perfekt (Kein Virusfund) ... Es kommt immer "Zugriff verweigert" ... hab es schon mit allen möglichen Tools probiert, aber nix geht ... nur Unlocker hat ein paar kleine Daten gelöscht!

Dazu muss ich sagen, ich hab vor ungefähr 1 Woche schon eine Neuinstallation gemacht. Ich hatte davor Windows XP Professional, nun habe ich Windows XP Home. Auf Windows XP Professional hatte ich keinen einzigen Virus, es war nur ein kleines bisschen zugemüllt - also hat mein Bruder nach 5 Monaten neuinstalliert (Da ich die CD verloren habe, hat mein Bruder irgendwas für mich installiert ... nun hab ich Windows XP Home) ... auf XP Professional hat er den unlöschbaren Ordner übersprungen bei Vollscans.

Ohman ... wieso läuft immer gleich alles schief? ...

Prevof · 29.03.2011, 00:20

Sorry für die ganzen Doppelt und Trippleposts ...

Aufjedenfall hab ich jetzt zugriff auf System Volume Information und auf den nicht löschbaren Ordner ... Ich lasse nun nochmal GMER drüberlaufen (Hoffentlich funktioniert) es ... ungefähr um 7 Uhr früh (Heute) werde ich dann hoffentlich das Logfile von GMER posten können.

Zu deiner Frage: Die Systemwiederherstellung hat wunderbar geklappt. Bloß war mein letzter Restorepoint am 28.3.2011 um 18:41 ...

Prevof · 29.03.2011, 06:48

Und da bin ich ich wieder! :-) Alles hat geklappt!

GMER

Code:

ATTFilter

GMER 1.0.15.15570 - hxxp://www.gmer.net
Rootkit scan 2011-03-29 04:41:23
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 SAMSUNG_SV0813H rev.RJ100-15
Running: gq9v186b.exe; Driver: C:\DOCUME~1\SHESIR~1.SHE\LOCALS~1\Temp\kfdyrkog.sys


---- System - GMER 1.0.15 ----

SSDT            \??\C:\Program Files\Norman\Ngs\Bin\nprosec.sys (Process Security Driver/Norman ASA)                                             ZwCreateEvent [0xB1BB299A]
SSDT            \??\C:\Program Files\Norman\Ngs\Bin\nprosec.sys (Process Security Driver/Norman ASA)                                             ZwCreateFile [0xB1BB23B8]
SSDT            \??\C:\Program Files\Norman\Ngs\Bin\nprosec.sys (Process Security Driver/Norman ASA)                                             ZwCreateProcess [0xB1BB183E]
SSDT            \??\C:\Program Files\Norman\Ngs\Bin\nprosec.sys (Process Security Driver/Norman ASA)                                             ZwCreateProcessEx [0xB1BB186E]
SSDT            \??\C:\Program Files\Norman\Ngs\Bin\nprosec.sys (Process Security Driver/Norman ASA)                                             ZwCreateThread [0xB1BB189E]
SSDT            \??\C:\Program Files\Norman\Ngs\Bin\nprosec.sys (Process Security Driver/Norman ASA)                                             ZwSetSystemInformation [0xB1BB24C2]
SSDT            \??\C:\Program Files\Norman\Ngs\Bin\nprosec.sys (Process Security Driver/Norman ASA)                                             ZwTerminateProcess [0xB1BB20C4]
SSDT            \??\C:\Program Files\Norman\Ngs\Bin\nprosec.sys (Process Security Driver/Norman ASA)                                             ZwWriteVirtualMemory [0xB1BB21B6]

---- Kernel code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\DRIVERS\ati2mtag.sys                                                                                         section is writeable [0xBA235000, 0x1C5D38, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\wscntfy.exe[1208] kernel32.dll!LoadLibraryExW + C4                                                           7C801BB9 4 Bytes  CALL 00CF0001 
.text           C:\Documents and Settings\Shesiressu.SHESIRES-A4F393\My Documents\Downloads\gq9v186b.exe[1456] kernel32.dll!LoadLibraryExW + C4  7C801BB9 4 Bytes  CALL 003D0001 
.text           C:\Documents and Settings\Shesiressu.SHESIRES-A4F393\My Documents\Downloads\gq9v186b.exe[1456] kernel32.dll!FreeLibrary + 15     7C80AC93 4 Bytes  CALL 7170003D 

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                         fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Ich hab mal alle 3 MBAM-Scans genommen, den aktuellen von Heute und 2 Stück vom 25.03.11 ... vielleicht hilft das!

MBAM 29.03.11

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6170

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

29.03.2011 07:29:37
mbam-log-2011-03-29 (07-29-37).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|)
Durchsuchte Objekte: 141617
Laufzeit: 2 Stunde(n), 46 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
d:\programme\multimedia\VLCSetup.exe (Adware.Hotbar) -> Quarantined and deleted successfully.

MBAM 25.03.11 #1

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6044

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

25.03.2011 04:35:24
mbam-log-2011-03-25 (04-35-24).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 64
Laufzeit: 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 22

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
i:\RECYCLER\s-1-8-86-7476612306-2678577016-667686110-3357\kKmccBgp.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\GGlaGABL.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\kBFsHfcX.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\rwypQiBs.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\KMKdrFld.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\PWsGyuvI.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\wOnkQsGN.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\JbndhZAI.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\fpVcRjYu.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\MIvHyfBT.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\VHLpUHuq.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\HMyjRnav.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\pTfBOloB.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\UPQbATlx.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\URbkjMbp.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\ErIWoNxt.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\lXvHKGjO.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\tVXVRvGC.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\CCNCrtFs.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\XFGkurvx.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\kZVqyuFN.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.
i:\RECYCLER\s-2-7-23-7847568666-5710702040-561454430-6582\rQQYBCSt.cpl (Virus.Ramnit) -> Quarantined and deleted successfully.

MBAM 25.03.11 #2

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6170

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

25.03.2011 20:49:06
mbam-log-2011-03-25 (20-49-06).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 204252
Laufzeit: 7 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{5G1B74TU-W5D4-K6EB-RD7P-1YB6A2L0LMV0} (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5G1B74TU-W5D4-K6EB-RD7P-1YB6A2L0LMV0} (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKLM (Trojan.Downloader) -> Value: HKLM -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Trojan.Downloader) -> Value: Policies -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKCU (Trojan.Downloader) -> Value: HKCU -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Trojan.Downloader) -> Value: Policies -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\setup\server.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\shesiressu.shesires-a4f393\local settings\Temp\1788156_server.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\shesiressu.shesires-a4f393\application data\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
c:\documents and settings\shesiressu.shesires-a4f393\local settings\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
c:\documents and settings\shesiressu.shesires-a4f393\local settings\Temp\XxX.xXx (Malware.Trace) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\winlogon.Del (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Prevof · 29.03.2011, 06:54

Und noch der HiJackThis-Log von Heute

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 07:41:05, on 29.03.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Norman\Ngs\Bin\Nprosec.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\FireFox\firefox.exe
C:\Program Files\FireFox\firefox.exe
C:\Documents and Settings\Shesiressu.SHESIRES-A4F393\My Documents\Downloads\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\xdbpqajc\gjpfbass.exe,
O2 - BHO: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll
O2 - BHO: Use the DivX Plus Web Player to watch web videos with less interruptions and smoother playback on supported sites - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Nero Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O3 - Toolbar: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - Startup: gjpfbass.exe
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Documents and Settings\Shesiressu.SHESIRES-A4F393\Application Data\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Norman eLogger Service (eLoggerSvc6) - Norman ASA - C:\Program Files\Norman\Npm\Bin\elogsvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Norman Scheduler Service (Scheduler) - Norman ASA - C:\Program Files\Norman\Npm\Bin\scheduler.exe

--
End of file - 4547 bytes

Noch ganz gut zu wissen ist, dass ich alle Viren höchstwarscheinlich von einem USB-Stick habe. Von meiner Mutter der Laptop ist nämlich auch mit SpyEye und paar anderen Viren verseucht. Mein Bruder hat den verdammtem USB-Stick am PC angesteckt und alles hat seinen Lauf genommen. Alle Viren sind warscheinlich nun auf meinem PC weg, ausser der SpyEye.

Ich hoffe, dieser Virus hat noch keine Daten gestohlen. Sobald er weg ist, werden wir alle Passwörter so weit es geht umändern.

Ich hoffe, ich muss keine Neuinstallation machen, weil meine letzte Neuinstallation wie gesagt vor 5 - 14 Tagen war ... weiß nicht mehr genau wann.

EDIT:

Hab ein Tool gefunden Namens RootReveal. Hab damit mal Files und SSDT gescannt! Vielleicht hilft das dir!

Files

Code:

ATTFilter

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time:		2011/03/29 08:40
Program Version:		Version 1.3.5.0
Windows Version:		Windows XP SP3
==================================================

Hidden/Locked Files
-------------------
Path: C:\hiberfil.sys
Status: Locked to the Windows API!

Path: c:\program files\xdbpqajc\gjpfbass.exe
Status: Allocation size mismatch (API: 90112, Raw: 98304)

Path: c:\documents and settings\shesiressu.shesires-a4f393\start menu\programs\startup\gjpfbass.exe
Status: Allocation size mismatch (API: 90112, Raw: 98304)

Path: c:\documents and settings\shesiressu.shesires-a4f393\application data\mozilla\firefox\profiles\1jeb70vz.default\cookies.sqlite
Status: Allocation size mismatch (API: 217088, Raw: 212992)

Path: c:\documents and settings\shesiressu.shesires-a4f393\application data\mozilla\firefox\profiles\1jeb70vz.default\cookies.sqlite-shm
Status: Allocation size mismatch (API: 4096, Raw: 32768)

Path: c:\documents and settings\shesiressu.shesires-a4f393\application data\mozilla\firefox\profiles\1jeb70vz.default\cookies.sqlite-wal
Status: Allocation size mismatch (API: 16384, Raw: 12288)

Path: c:\documents and settings\shesiressu.shesires-a4f393\application data\mozilla\firefox\profiles\1jeb70vz.default\places.sqlite-shm
Status: Allocation size mismatch (API: 4096, Raw: 32768)

Path: c:\documents and settings\shesiressu.shesires-a4f393\application data\mozilla\firefox\profiles\1jeb70vz.default\places.sqlite-wal
Status: Allocation size mismatch (API: 372736, Raw: 380928)

Path: C:\Documents and Settings\Shesiressu.SHESIRES-A4F393\Application Data\Mozilla\Firefox\Profiles\1jeb70vz.default\sessionstore.js
Status: Could not get file information (Error 0xc0000008)

Path: c:\documents and settings\shesiressu.shesires-a4f393\local settings\application data\mozilla\firefox\profiles\1jeb70vz.default\cache\_cache_001_
Status: Size mismatch (API: 1297851, Raw: 1282768)

Path: c:\documents and settings\shesiressu.shesires-a4f393\local settings\application data\mozilla\firefox\profiles\1jeb70vz.default\cache\_cache_002_
Status: Size mismatch (API: 1285014, Raw: 1263771)

Path: c:\documents and settings\shesiressu.shesires-a4f393\local settings\application data\mozilla\firefox\profiles\1jeb70vz.default\cache\_cache_003_
Status: Size mismatch (API: 4577398, Raw: 4498433)

SSDT

Code:

ATTFilter

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time:		2011/03/29 08:41
Program Version:		Version 1.3.5.0
Windows Version:		Windows XP SP3
==================================================

SSDT
-------------------
#: 017	Function Name: NtAllocateVirtualMemory
Status: Not hooked

#: 019	Function Name: NtAssignProcessToJobObject
Status: Not hooked

#: 035	Function Name: NtCreateEvent
Status: Not hooked

#: 037	Function Name: NtCreateFile
Status: Not hooked

#: 047	Function Name: NtCreateProcess
Status: Not hooked

#: 048	Function Name: NtCreateProcessEx
Status: Not hooked

#: 053	Function Name: NtCreateThread
Status: Not hooked

#: 057	Function Name: NtDebugActiveProcess
Status: Not hooked

#: 063	Function Name: NtDeleteKey
Status: Not hooked

#: 065	Function Name: NtDeleteValueKey
Status: Not hooked

#: 068	Function Name: NtDuplicateObject
Status: Not hooked

#: 116	Function Name: NtOpenFile
Status: Not hooked

#: 122	Function Name: NtOpenProcess
Status: Not hooked

#: 125	Function Name: NtOpenSection
Status: Not hooked

#: 128	Function Name: NtOpenThread
Status: Not hooked

#: 137	Function Name: NtProtectVirtualMemory
Status: Not hooked

#: 213	Function Name: NtSetContextThread
Status: Not hooked

#: 240	Function Name: NtSetSystemInformation
Status: Hooked by "C:\Program Files\Norman\Ngs\Bin\nprosec.sys" at address 0xadcaef60

#: 247	Function Name: NtSetValueKey
Status: Not hooked

#: 255	Function Name: NtSystemDebugControl
Status: Hooked by "C:\WINDOWS\System32\drivers\pxrts.sys" at address 0xadcaeaf0

#: 257	Function Name: NtTerminateProcess
Status: Not hooked

#: 258	Function Name: NtTerminateThread
Status: Not hooked

#: 277	Function Name: NtWriteVirtualMemory
Status: Not hooked

#: 283	Function Name: NtQueryPortInformationProcess
Status: Not hooked

#: 282	Function Name: NtWaitForKeyedEvent
Status: Not hooked

#: 281	Function Name: NtReleaseKeyedEvent
Status: Not hooked

#: 280	Function Name: NtOpenKeyedEvent
Status: Not hooked

#: 279	Function Name: NtCreateKeyedEvent
Status: Not hooked

#: 278	Function Name: NtYieldExecution
Status: Not hooked

#: 276	Function Name: NtWriteRequestData
Status: Not hooked

#: 275	Function Name: NtWriteFileGather
Status: Not hooked

#: 274	Function Name: NtWriteFile
Status: Not hooked

#: 273	Function Name: NtWaitLowEventPair
Status: Not hooked

#: 272	Function Name: NtWaitHighEventPair
Status: Not hooked

#: 271	Function Name: NtWaitForSingleObject
Status: Not hooked

#: 270	Function Name: NtWaitForMultipleObjects
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xb1bb299a

#: 269	Function Name: NtWaitForDebugEvent
Status: Not hooked

#: 268	Function Name: NtVdmControl
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xae00c8f0

#: 267	Function Name: NtUnmapViewOfSection
Status: Not hooked

#: 266	Function Name: NtUnlockVirtualMemory
Status: Not hooked

#: 265	Function Name: NtUnlockFile
Status: Not hooked

#: 264	Function Name: NtUnloadKeyEx
Status: Not hooked

#: 263	Function Name: NtUnloadKey
Status: Not hooked

#: 262	Function Name: NtUnloadDriver
Status: Not hooked

#: 261	Function Name: NtTranslateFilePath
Status: Not hooked

#: 260	Function Name: NtTraceEvent
Status: Not hooked

#: 259	Function Name: NtTestAlert
Status: Not hooked

#: 256	Function Name: NtTerminateJobObject
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xb1bb183e

#: 254	Function Name: NtSuspendThread
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xb1bb186e

#: 253	Function Name: NtSuspendProcess
Status: Not hooked

#: 252	Function Name: NtStopProfile
Status: Not hooked

#: 251	Function Name: NtStartProfile
Status: Not hooked

#: 250	Function Name: NtSignalAndWaitForSingleObject
Status: Not hooked

#: 249	Function Name: NtShutdownSystem
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xadcaeb40

#: 248	Function Name: NtSetVolumeInformationFile
Status: Not hooked

#: 246	Function Name: NtSetUuidSeed
Status: Not hooked

#: 245	Function Name: NtSetTimerResolution
Status: Not hooked

#: 244	Function Name: NtSetTimer
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xadcaef10

#: 243	Function Name: NtSetThreadExecutionState
Status: Not hooked

#: 242	Function Name: NtSetSystemTime
Status: Not hooked

#: 241	Function Name: NtSetSystemPowerState
Status: Not hooked

#: 239	Function Name: NtSetSystemEnvironmentValueEx
Status: Not hooked

#: 238	Function Name: NtSetSystemEnvironmentValue
Status: Not hooked

#: 237	Function Name: NtSetSecurityObject
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xadcae810

#: 236	Function Name: NtSetQuotaInformationFile
Status: Not hooked

#: 235	Function Name: NtSetLowWaitHighEventPair
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xadcae8d0

#: 234	Function Name: NtSetLowEventPair
Status: Not hooked

#: 233	Function Name: NtSetLdtEntries
Status: Not hooked

#: 232	Function Name: NtSetIoCompletion
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xadcaf180

#: 231	Function Name: NtSetIntervalProfile
Status: Not hooked

#: 230	Function Name: NtSetInformationToken
Status: Not hooked

#: 229	Function Name: NtSetInformationThread
Status: Not hooked

#: 228	Function Name: NtSetInformationProcess
Status: Not hooked

#: 227	Function Name: NtSetInformationObject
Status: Not hooked

#: 226	Function Name: NtSetInformationKey
Status: Not hooked

#: 225	Function Name: NtSetInformationJobObject
Status: Not hooked

#: 224	Function Name: NtSetInformationFile
Status: Not hooked

#: 223	Function Name: NtSetInformationDebugObject
Status: Not hooked

#: 222	Function Name: NtSetHighWaitLowEventPair
Status: Not hooked

#: 221	Function Name: NtSetHighEventPair
Status: Not hooked

#: 220	Function Name: NtSetEventBoostPriority
Status: Not hooked

#: 219	Function Name: NtSetEvent
Status: Not hooked

#: 218	Function Name: NtSetEaFile
Status: Not hooked

#: 217	Function Name: NtSetDefaultUILanguage
Status: Not hooked

#: 216	Function Name: NtSetDefaultLocale
Status: Not hooked

#: 215	Function Name: NtSetDefaultHardErrorPort
Status: Not hooked

#: 214	Function Name: NtSetDebugFilterState
Status: Not hooked

#: 212	Function Name: NtSetBootOptions
Status: Not hooked

#: 211	Function Name: NtSetBootEntryOrder
Status: Not hooked

#: 210	Function Name: NtSecureConnectPort
Status: Not hooked

#: 209	Function Name: NtSaveMergedKeys
Status: Not hooked

#: 208	Function Name: NtSaveKeyEx
Status: Not hooked

#: 207	Function Name: NtSaveKey
Status: Not hooked

#: 206	Function Name: NtResumeThread
Status: Not hooked

#: 205	Function Name: NtResumeProcess
Status: Not hooked

#: 204	Function Name: NtRestoreKey
Status: Not hooked

#: 203	Function Name: NtResetWriteWatch
Status: Not hooked

#: 202	Function Name: NtResetEvent
Status: Not hooked

#: 201	Function Name: NtRequestWakeupLatency
Status: Not hooked

#: 200	Function Name: NtRequestWaitReplyPort
Status: Not hooked

#: 199	Function Name: NtRequestPort
Status: Not hooked

#: 198	Function Name: NtRequestDeviceWakeup
Status: Not hooked

#: 197	Function Name: NtReplyWaitReplyPort
Status: Not hooked

#: 196	Function Name: NtReplyWaitReceivePortEx
Status: Not hooked

#: 195	Function Name: NtReplyWaitReceivePort
Status: Not hooked

#: 194	Function Name: NtReplyPort
Status: Not hooked

#: 193	Function Name: NtReplaceKey
Status: Not hooked

#: 192	Function Name: NtRenameKey
Status: Not hooked

#: 191	Function Name: NtRemoveProcessDebug
Status: Not hooked

#: 190	Function Name: NtRemoveIoCompletion
Status: Not hooked

#: 189	Function Name: NtReleaseSemaphore
Status: Not hooked

#: 188	Function Name: NtReleaseMutant
Status: Not hooked

#: 187	Function Name: NtRegisterThreadTerminatePort
Status: Not hooked

#: 186	Function Name: NtReadVirtualMemory
Status: Not hooked

#: 185	Function Name: NtReadRequestData
Status: Not hooked

#: 184	Function Name: NtReadFileScatter
Status: Not hooked

#: 183	Function Name: NtReadFile
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xae00c850

#: 182	Function Name: NtRaiseHardError
Status: Not hooked

#: 181	Function Name: NtRaiseException
Status: Not hooked

#: 180	Function Name: NtQueueApcThread
Status: Not hooked

#: 179	Function Name: NtQueryVolumeInformationFile
Status: Not hooked

#: 178	Function Name: NtQueryVirtualMemory
Status: Not hooked

#: 177	Function Name: NtQueryValueKey
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xadcaf490

#: 176	Function Name: NtQueryTimerResolution
Status: Not hooked

#: 175	Function Name: NtQueryTimer
Status: Not hooked

#: 174	Function Name: NtQuerySystemTime
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xadcaecd0

#: 173	Function Name: NtQuerySystemInformation
Status: Not hooked

#: 172	Function Name: NtQuerySystemEnvironmentValueEx
Status: Not hooked

#: 171	Function Name: NtQuerySystemEnvironmentValue
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xadcaf320

#: 170	Function Name: NtQuerySymbolicLinkObject
Status: Not hooked

#: 169	Function Name: NtQuerySemaphore
Status: Not hooked

#: 168	Function Name: NtQuerySecurityObject
Status: Not hooked

#: 167	Function Name: NtQuerySection
Status: Not hooked

#: 166	Function Name: NtQueryQuotaInformationFile
Status: Not hooked

#: 165	Function Name: NtQueryPerformanceCounter
Status: Not hooked

#: 164	Function Name: NtQueryOpenSubKeys
Status: Not hooked

#: 163	Function Name: NtQueryObject
Status: Not hooked

#: 162	Function Name: NtQueryMutant
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xadcaebe0

#: 161	Function Name: NtQueryMultipleValueKey
Status: Not hooked

#: 160	Function Name: NtQueryKey
Status: Not hooked

#: 159	Function Name: NtQueryIoCompletion
Status: Not hooked

#: 158	Function Name: NtQueryIntervalProfile
Status: Not hooked

#: 157	Function Name: NtQueryInstallUILanguage
Status: Not hooked

#: 156	Function Name: NtQueryInformationToken
Status: Not hooked

#: 155	Function Name: NtQueryInformationThread
Status: Not hooked

#: 154	Function Name: NtQueryInformationProcess
Status: Not hooked

#: 153	Function Name: NtQueryInformationPort
Status: Not hooked

#: 152	Function Name: NtQueryInformationJobObject
Status: Not hooked

#: 151	Function Name: NtQueryInformationFile
Status: Not hooked

#: 150	Function Name: NtQueryInformationAtom
Status: Not hooked

#: 149	Function Name: NtQueryFullAttributesFile
Status: Not hooked

#: 148	Function Name: NtQueryEvent
Status: Not hooked

#: 147	Function Name: NtQueryEaFile
Status: Not hooked

#: 146	Function Name: NtQueryDirectoryObject
Status: Not hooked

#: 145	Function Name: NtQueryDirectoryFile
Status: Not hooked

#: 144	Function Name: NtQueryDefaultUILanguage
Status: Not hooked

#: 143	Function Name: NtQueryDefaultLocale
Status: Not hooked

#: 142	Function Name: NtQueryDebugFilterState
Status: Not hooked

#: 141	Function Name: NtQueryBootOptions
Status: Not hooked

#: 140	Function Name: NtQueryBootEntryOrder
Status: Not hooked

#: 139	Function Name: NtQueryAttributesFile
Status: Not hooked

#: 138	Function Name: NtPulseEvent
Status: Not hooked

#: 136	Function Name: NtPrivilegedServiceAuditAlarm
Status: Not hooked

#: 135	Function Name: NtPrivilegeObjectAuditAlarm
Status: Not hooked

#: 134	Function Name: NtPrivilegeCheck
Status: Not hooked

#: 133	Function Name: NtPowerInformation
Status: Not hooked

#: 132	Function Name: NtPlugPlayControl
Status: Not hooked

#: 131	Function Name: NtOpenTimer
Status: Not hooked

#: 130	Function Name: NtOpenThreadTokenEx
Status: Not hooked

#: 129	Function Name: NtOpenThreadToken
Status: Not hooked

#: 127	Function Name: NtOpenSymbolicLinkObject
Status: Not hooked

#: 126	Function Name: NtOpenSemaphore
Status: Not hooked

#: 124	Function Name: NtOpenProcessTokenEx
Status: Not hooked

#: 123	Function Name: NtOpenProcessToken
Status: Not hooked

#: 121	Function Name: NtOpenObjectAuditAlarm
Status: Not hooked

#: 120	Function Name: NtOpenMutant
Status: Not hooked

#: 119	Function Name: NtOpenKey
Status: Not hooked

#: 118	Function Name: NtOpenJobObject
Status: Not hooked

#: 117	Function Name: NtOpenIoCompletion
Status: Not hooked

#: 115	Function Name: NtOpenEventPair
Status: Not hooked

#: 114	Function Name: NtOpenEvent
Status: Not hooked

#: 113	Function Name: NtOpenDirectoryObject
Status: Not hooked

#: 112	Function Name: NtNotifyChangeMultipleKeys
Status: Not hooked

#: 111	Function Name: NtNotifyChangeKey
Status: Not hooked

#: 110	Function Name: NtNotifyChangeDirectoryFile
Status: Not hooked

#: 109	Function Name: NtModifyBootEntry
Status: Not hooked

#: 108	Function Name: NtMapViewOfSection
Status: Not hooked

#: 107	Function Name: NtMapUserPhysicalPagesScatter
Status: Not hooked

#: 106	Function Name: NtMapUserPhysicalPages
Status: Not hooked

#: 105	Function Name: NtMakeTemporaryObject
Status: Not hooked

#: 104	Function Name: NtMakePermanentObject
Status: Not hooked

#: 103	Function Name: NtLockVirtualMemory
Status: Not hooked

#: 102	Function Name: NtLockRegistryKey
Status: Not hooked

#: 101	Function Name: NtLockProductActivationKeys
Status: Not hooked

#: 100	Function Name: NtLockFile
Status: Not hooked

#: 099	Function Name: NtLoadKey2
Status: Not hooked

#: 098	Function Name: NtLoadKey
Status: Not hooked

#: 097	Function Name: NtLoadDriver
Status: Not hooked

#: 096	Function Name: NtListenPort
Status: Not hooked

#: 095	Function Name: NtIsSystemResumeAutomatic
Status: Not hooked

#: 094	Function Name: NtIsProcessInJob
Status: Not hooked

#: 093	Function Name: NtInitiatePowerAction
Status: Not hooked

#: 092	Function Name: NtInitializeRegistry
Status: Not hooked

#: 091	Function Name: NtImpersonateThread
Status: Not hooked

#: 090	Function Name: NtImpersonateClientOfPort
Status: Not hooked

#: 089	Function Name: NtImpersonateAnonymousToken
Status: Not hooked

#: 088	Function Name: NtGetWriteWatch
Status: Not hooked

#: 087	Function Name: NtGetPlugPlayEvent
Status: Not hooked

#: 086	Function Name: NtGetDevicePowerState
Status: Not hooked

#: 085	Function Name: NtGetContextThread
Status: Not hooked

#: 084	Function Name: NtFsControlFile
Status: Not hooked

#: 083	Function Name: NtFreeVirtualMemory
Status: Not hooked

#: 082	Function Name: NtFreeUserPhysicalPages
Status: Not hooked

#: 081	Function Name: NtFlushWriteBuffer
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xadcaeaa0

#: 080	Function Name: NtFlushVirtualMemory
Status: Not hooked

#: 079	Function Name: NtFlushKey
Status: Not hooked

#: 078	Function Name: NtFlushInstructionCache
Status: Not hooked

#: 077	Function Name: NtFlushBuffersFile
Status: Not hooked

#: 076	Function Name: NtFindAtom
Status: Not hooked

#: 075	Function Name: NtFilterToken
Status: Not hooked

#: 074	Function Name: NtExtendSection
Status: Not hooked

#: 073	Function Name: NtEnumerateValueKey
Status: Not hooked

#: 072	Function Name: NtEnumerateSystemEnvironmentValuesEx
Status: Not hooked

#: 071	Function Name: NtEnumerateKey
Status: Not hooked

#: 070	Function Name: NtEnumerateBootEntries
Status: Not hooked

#: 069	Function Name: NtDuplicateToken
Status: Not hooked

#: 067	Function Name: NtDisplayString
Status: Not hooked

#: 066	Function Name: NtDeviceIoControlFile
Status: Not hooked

#: 064	Function Name: NtDeleteObjectAuditAlarm
Status: Not hooked

#: 062	Function Name: NtDeleteFile
Status: Not hooked

#: 061	Function Name: NtDeleteBootEntry
Status: Not hooked

#: 060	Function Name: NtDeleteAtom
Status: Not hooked

#: 059	Function Name: NtDelayExecution
Status: Not hooked

#: 058	Function Name: NtDebugContinue
Status: Not hooked

#: 056	Function Name: NtCreateWaitablePort
Status: Not hooked

#: 055	Function Name: NtCreateToken
Status: Not hooked

#: 054	Function Name: NtCreateTimer
Status: Not hooked

#: 052	Function Name: NtCreateSymbolicLinkObject
Status: Not hooked

#: 051	Function Name: NtCreateSemaphore
Status: Not hooked

#: 050	Function Name: NtCreateSection
Status: Not hooked

#: 049	Function Name: NtCreateProfile
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xb1bb24c2

#: 046	Function Name: NtCreatePort
Status: Not hooked

#: 045	Function Name: NtCreatePagingFile
Status: Not hooked

#: 044	Function Name: NtCreateNamedPipeFile
Status: Not hooked

#: 043	Function Name: NtCreateMutant
Status: Not hooked

#: 042	Function Name: NtCreateMailslotFile
Status: Not hooked

#: 041	Function Name: NtCreateKey
Status: Not hooked

#: 040	Function Name: NtCreateJobSet
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xadcae9b0

#: 039	Function Name: NtCreateJobObject
Status: Not hooked

#: 038	Function Name: NtCreateIoCompletion
Status: Not hooked

#: 036	Function Name: NtCreateEventPair
Status: Not hooked

#: 034	Function Name: NtCreateDirectoryObject
Status: Not hooked

#: 033	Function Name: NtCreateDebugObject
Status: Not hooked

#: 032	Function Name: NtContinue
Status: Not hooked

#: 031	Function Name: NtConnectPort
Status: Not hooked

#: 030	Function Name: NtCompressKey
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xadcaee80

#: 029	Function Name: NtCompleteConnectPort
Status: Not hooked

#: 028	Function Name: NtCompareTokens
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xadcaf630

#: 027	Function Name: NtCompactKeys
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xadcaec80

#: 026	Function Name: NtCloseObjectAuditAlarm
Status: Not hooked

#: 025	Function Name: NtClose
Status: Not hooked

#: 024	Function Name: NtClearEvent
Status: Not hooked

#: 023	Function Name: NtCancelTimer
Status: Not hooked

#: 022	Function Name: NtCancelIoFile
Status: Not hooked

#: 021	Function Name: NtCancelDeviceWakeupRequest
Status: Not hooked

#: 020	Function Name: NtCallbackReturn
Status: Not hooked

#: 018	Function Name: NtAreMappedFilesTheSame
Status: Not hooked

#: 016	Function Name: NtAllocateUuids
Status: Not hooked

#: 015	Function Name: NtAllocateUserPhysicalPages
Status: Not hooked

#: 014	Function Name: NtAllocateLocallyUniqueId
Status: Not hooked

#: 013	Function Name: NtAlertThread
Status: Not hooked

#: 012	Function Name: NtAlertResumeThread
Status: Not hooked

#: 011	Function Name: NtAdjustPrivilegesToken
Status: Not hooked

#: 010	Function Name: NtAdjustGroupsToken
Status: Not hooked

#: 009	Function Name: NtAddBootEntry
Status: Not hooked

#: 008	Function Name: NtAddAtom
Status: Not hooked

#: 007	Function Name: NtAccessCheckByTypeResultListAndAuditAlarmByHandle
Status: Not hooked

#: 006	Function Name: NtAccessCheckByTypeResultListAndAuditAlarm
Status: Hooked by "C:\WINDOWS\system32\ntoskrnl.exe" at address 0xadcaf000

#: 005	Function Name: NtAccessCheckByTypeResultList
Status: Not hooked

#: 004	Function Name: NtAccessCheckByTypeAndAuditAlarm
Status: Not hooked

#: 003	Function Name: NtAccessCheckByType
Status: Not hooked

#: 002	Function Name: NtAccessCheckAndAuditAlarm
Status: Not hooked

#: 001	Function Name: NtAccessCheck
Status: Not hooked

#: 000	Function Name: NtAcceptConnectPort
Status: Not hooked

kira · 29.03.2011, 15:44

Zitat:

Zitat von Prevof

Hab ein Tool gefunden Namens RootReveal. Hab damit mal Files und SSDT gescannt! Vielleicht hilft das dir!

Anscheinend hast Du meinen Text oben nicht gelesen? :-> http://www.trojaner-board.de/96917-f...tml#post633856

Zitat:

Innerhalb der Betreuungszeit:
- ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.

also wenn Du alles besser weißt, wieso fragst Du dann uns hier?

firefoxmgr.exe öffnet mehrmals FireFox!

Plagegeister aller Art und deren Bekämpfung: firefoxmgr.exe öffnet mehrmals FireFox!