Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Windows Recovery Trojaner und dessen Nachwirkungen

Windows Recovery Trojaner und dessen Nachwirkungen


Log-Analyse und Auswertung: Windows Recovery Trojaner und dessen Nachwirkungen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Seite 1 von 2 1 2
Alt 31.05.2011, 12:11   #1
LoopTroopRockers
 
Windows Recovery Trojaner und dessen Nachwirkungen - Standard

Windows Recovery Trojaner und dessen Nachwirkungen


Hallo,

ich habe mir vor kurzem den Recovery Trojaner eingefangen. Ein paar meiner Dateien konnte ich wieder sichtbar machen, mit den anderen Folgen habe ich aber noch zu kämpfen:

1. Thunderbird und weitere Programme sind verschwunden.
2. Ich werde wenn ich Links anklicke auf andere Seiten geleitet.
3. Datei Symbole werden weiss angezeigt.

Uns sicher noch einige andere die mir nicht auffallen.

Der Malwarebytes Log ist im Anhang.
Vielen Dank.
Tamás

Ich hab auch mal die OTL Logfile hochgeladen, falls diese gebraucht wird.

Alt 31.05.2011, 20:27   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows Recovery Trojaner und dessen Nachwirkungen - Standard

Windows Recovery Trojaner und dessen Nachwirkungen


Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.
__________________

__________________
Alt 31.05.2011, 20:39   #3
LoopTroopRockers
 
Windows Recovery Trojaner und dessen Nachwirkungen - Standard

Windows Recovery Trojaner und dessen Nachwirkungen


Hallo Arne! Hier alle gespeicherten Logfiles.

Danke!
Tamás
__________________
Geändert von LoopTroopRockers (31.05.2011 um 21:01 Uhr)

Alt 31.05.2011, 21:09   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows Recovery Trojaner und dessen Nachwirkungen - Standard

Windows Recovery Trojaner und dessen Nachwirkungen


Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
[2011.05.30 16:08:49 | 000,000,152 | ---- | M] () -- C:\ProgramData\~28696312r
[2011.05.30 16:08:49 | 000,000,128 | ---- | M] () -- C:\ProgramData\~28696312
[2011.05.30 16:08:10 | 000,000,344 | ---- | M] () -- C:\ProgramData\28696312
[2011.05.31 13:11:27 | 000,054,016 | ---- | C] () -- C:\Windows\System32\drivers\lefgv.sys
[2011.05.31 10:09:19 | 000,001,056 | ---- | C] () -- C:\Users\Tamás\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scandisk.lnk
:Commands
[purity]
[resethosts]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 31.05.2011, 21:28   #5
LoopTroopRockers
 
Windows Recovery Trojaner und dessen Nachwirkungen - Standard

Windows Recovery Trojaner und dessen Nachwirkungen


Hier die Logfile vom OTL Fix:

Zitat:
========== OTL ==========
C:\ProgramData\~28696312r moved successfully.
C:\ProgramData\~28696312 moved successfully.
C:\ProgramData\28696312 moved successfully.
File C:\Windows\System32\drivers\lefgv.sys not found.
File C:\Users\Tamás\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scandisk.lnk not found.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.23.0 log created on 05312011_222509


Alt 31.05.2011, 21:41   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows Recovery Trojaner und dessen Nachwirkungen - Standard

Windows Recovery Trojaner und dessen Nachwirkungen


Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________
--> Windows Recovery Trojaner und dessen Nachwirkungen

Alt 31.05.2011, 21:54   #7
LoopTroopRockers
 
Windows Recovery Trojaner und dessen Nachwirkungen - Standard

Windows Recovery Trojaner und dessen Nachwirkungen


Das Kaspersky Tool habe ich heruntergeladen, allerdings lässt es sich nicht starten; auch nicht als Admin. Ich werde gefragt ob ich die Ausführung des Programms zulassen möchte, was ich bejahe... und dann passiert nichts mehr

Alt 31.05.2011, 22:06   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows Recovery Trojaner und dessen Nachwirkungen - Standard

Windows Recovery Trojaner und dessen Nachwirkungen


Dann bitte jetzt CF ausführen, den tdsskiller probieren wir danach nochmal.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 31.05.2011, 22:27   #9
LoopTroopRockers
 
Windows Recovery Trojaner und dessen Nachwirkungen - Standard

Windows Recovery Trojaner und dessen Nachwirkungen


Hier die Combofix Logfile:

Combofix Logfile:
Code:
ATTFilter
ComboFix 11-05-31.01 - Tamás 31.05.2011  23:18:49.1.2 - x86
Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.3037.2041 [GMT 2:00]
ausgeführt von:: c:\users\Tamás\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
AV: Lavasoft Ad-Watch Live! Virenschutz *Disabled/Updated* {9FF26384-70D4-CE6B-3ECB-E759A6A40116}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Lavasoft Ad-Watch Live! *Disabled/Updated* {24938260-56EE-C1E5-047B-DC2BDD234BAB}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\cofi.exe
c:\cofi.exe\023.dat
c:\cofi.exe\023v.dat
c:\cofi.exe\023w7.dat
c:\cofi.exe\AppDataFile.cfx
c:\cofi.exe\AppDataFolder.cfx
c:\cofi.exe\appinit.bad
c:\cofi.exe\asp.str
c:\cofi.exe\Assoc.cmd
c:\cofi.exe\ATTRIB.cfxxe
c:\cofi.exe\Auto-RC.cmd
c:\cofi.exe\av.cmd
c:\cofi.exe\av.vbs
c:\cofi.exe\AWF.cmd
c:\cofi.exe\badclsid.c
c:\cofi.exe\Boot-Rk.cmd
c:\cofi.exe\Boot.bat
c:\cofi.exe\BootDrv.vbs
c:\cofi.exe\c.bat
c:\cofi.exe\c.mrk
c:\cofi.exe\Catch-sub.cmd
c:\cofi.exe\catchme.cfxxe
c:\cofi.exe\CCS.bat
c:\cofi.exe\CF-Script.cmd
c:\cofi.exe\CF4673.cfxxe
c:\cofi.exe\CHCP.bat
c:\cofi.exe\clsid.c
c:\cofi.exe\cmd.cfxxe
c:\cofi.exe\Combobatch.bat
c:\cofi.exe\ComboFix-Download.cfxxe
c:\cofi.exe\Create.cmd
c:\cofi.exe\Creg.dat
c:\cofi.exe\CregC.cmd
c:\cofi.exe\CregC.dat
c:\cofi.exe\CSCRIPT.cfxxe
c:\cofi.exe\CSet.cmd
c:\cofi.exe\d-delA.dat
c:\cofi.exe\dd.cfxxe
c:\cofi.exe\ddsDo.sed
c:\cofi.exe\de-DE\ATTRIB.cfxxe.mui
c:\cofi.exe\de-DE\CF4673.cfxxe.mui
c:\cofi.exe\de-DE\cmd.cfxxe.mui
c:\cofi.exe\de-DE\CSCRIPT.cfxxe.mui
c:\cofi.exe\de-DE\PING.cfxxe.mui
c:\cofi.exe\de-DE\REGT.cfxxe.mui
c:\cofi.exe\de-DE\ROUTE.cfxxe.mui
c:\cofi.exe\DelClsid.bat
c:\cofi.exe\DelClsid64.bat
c:\cofi.exe\desktop.ini
c:\cofi.exe\DesktopFile.cfx
c:\cofi.exe\DisclaimED.dat
c:\cofi.exe\DPF.str
c:\cofi.exe\DrvRun.vbs
c:\cofi.exe\dumphive.cfxxe
c:\cofi.exe\embedded.sed
c:\cofi.exe\ERDNT.e_e
c:\cofi.exe\ERDNTDOS.LOC
c:\cofi.exe\ERDNTWIN.LOC
c:\cofi.exe\ERUNT.cfxxe
c:\cofi.exe\erunt.dat
c:\cofi.exe\ERUNT.LOC
c:\cofi.exe\Exe.reg
c:\cofi.exe\extract.cfxxe
c:\cofi.exe\FavoriteFolder.cfx
c:\cofi.exe\FavoritesFile.cfx
c:\cofi.exe\FD-SV.cmd
c:\cofi.exe\ffdefstr.dll
c:\cofi.exe\FileKill.cfxxe
c:\cofi.exe\files.pif
c:\cofi.exe\Fin.dat
c:\cofi.exe\FIND3M.bat
c:\cofi.exe\FIXLSP.bat
c:\cofi.exe\FKMGen.cmd
c:\cofi.exe\ForeignWht
c:\cofi.exe\GetHive.cmd
c:\cofi.exe\grep.cfxxe
c:\cofi.exe\gsar.cfxxe
c:\cofi.exe\handle.cfxxe
c:\cofi.exe\HDPEInfo.cfxxe
c:\cofi.exe\hidec.cfxxe
c:\cofi.exe\history.bat
c:\cofi.exe\hwid.pif
c:\cofi.exe\iexplore.exe
c:\cofi.exe\image001.gif
c:\cofi.exe\Imefile.dat
c:\cofi.exe\Install-RC.cmd
c:\cofi.exe\katch.cmd
c:\cofi.exe\Kill-All.cmd
c:\cofi.exe\kmd.dat
c:\cofi.exe\Lang.bat
c:\cofi.exe\LatestVer
c:\cofi.exe\List-B.bat
c:\cofi.exe\List-C.bat
c:\cofi.exe\List-D.bat
c:\cofi.exe\List.bat
c:\cofi.exe\lnkread.vbs
c:\cofi.exe\LocalAppDataFile.cfx
c:\cofi.exe\LocalAppDataFolder.cfx
c:\cofi.exe\LocalService.dat
c:\cofi.exe\LocalServiceNetworkRestricted.dat
c:\cofi.exe\LocalSettingsFile.cfx
c:\cofi.exe\LocalSystemNetworkRestricted.dat
c:\cofi.exe\mbr.cfxxe
c:\cofi.exe\mbr.chk
c:\cofi.exe\md5sum.pif
c:\cofi.exe\Mirrors
c:\cofi.exe\MoveIt.bat
c:\cofi.exe\mtee.cfxxe
c:\cofi.exe\MtPt00
c:\cofi.exe\MUI
c:\cofi.exe\mynul.dat
c:\cofi.exe\N_\1034
c:\cofi.exe\N_\1109
c:\cofi.exe\N_\133
c:\cofi.exe\N_\13988
c:\cofi.exe\N_\15210
c:\cofi.exe\N_\20082
c:\cofi.exe\N_\20437
c:\cofi.exe\N_\20904
c:\cofi.exe\N_\2338
c:\cofi.exe\N_\24814
c:\cofi.exe\N_\24990
c:\cofi.exe\N_\26650
c:\cofi.exe\N_\31469
c:\cofi.exe\N_\5449
c:\cofi.exe\N_\8342
c:\cofi.exe\N_\8771
c:\cofi.exe\N_\pingtest
c:\cofi.exe\ncmd.com
c:\cofi.exe\ND_.bat
c:\cofi.exe\ND_64.bat
c:\cofi.exe\ndis_combofix.dat
c:\cofi.exe\netsvc.bad.dat
c:\cofi.exe\netsvc.dat
c:\cofi.exe\netsvc.vista.dat
c:\cofi.exe\netsvc.xp.dat
c:\cofi.exe\NetworkService.dat
c:\cofi.exe\NirCmd.cfxxe
c:\cofi.exe\NircmdB.exe
c:\cofi.exe\NirCmdC.cfxxe
c:\cofi.exe\NIRKMD.cfxxe
c:\cofi.exe\NlsLanguageDefault
c:\cofi.exe\NT-OS.cmd
c:\cofi.exe\NULL
c:\cofi.exe\OSid.vbs
c:\cofi.exe\OsVer
c:\cofi.exe\pausep.cfxxe
c:\cofi.exe\PersonalFile.cfx
c:\cofi.exe\PersonalFolder.cfx
c:\cofi.exe\pev.cfxxe
c:\cofi.exe\pevb.cfxxe
c:\cofi.exe\PING.cfxxe
c:\cofi.exe\Policies.dat
c:\cofi.exe\powp.dat
c:\cofi.exe\Prep.inf
c:\cofi.exe\ProfilesFile.cfx
c:\cofi.exe\ProfilesFolder.cfx
c:\cofi.exe\ProgramsFile.cfx
c:\cofi.exe\ProgramsFolder.cfx
c:\cofi.exe\Purity.dat
c:\cofi.exe\PV.cfxxe
c:\cofi.exe\pv.com
c:\cofi.exe\rar_sfx.cmd
c:\cofi.exe\RCLink.dat
c:\cofi.exe\REGDACL.sed
c:\cofi.exe\RegDo.sed
c:\cofi.exe\region.dat
c:\cofi.exe\RegScan.cmd
c:\cofi.exe\RegScan64.cmd
c:\cofi.exe\Resident.txt
c:\cofi.exe\restore_pt.vbs
c:\cofi.exe\Rkey.cmd
c:\cofi.exe\rmbr.cfxxe
c:\cofi.exe\rogues.dat
c:\cofi.exe\ROUTE.cfxxe
c:\cofi.exe\run2.sed
c:\cofi.exe\Rust.str
c:\cofi.exe\s0rt.cfxxe
c:\cofi.exe\safeboot.dat
c:\cofi.exe\safeboot.def.dat
c:\cofi.exe\safeboot.def.vista.dat
c:\cofi.exe\Safeboot.def.w7.dat
c:\cofi.exe\sed.cfxxe
c:\cofi.exe\SetEnvmt.bat
c:\cofi.exe\setpath.cfxxe
c:\cofi.exe\setpath_N.cmd
c:\cofi.exe\SF.exe
c:\cofi.exe\sfx.cmd
c:\cofi.exe\SnapShot.cmd
c:\cofi.exe\SRestore.cmd
c:\cofi.exe\srizbi.md5
c:\cofi.exe\Start_dat
c:\cofi.exe\StartMenuFile.cfx
c:\cofi.exe\StartMenuFolder.cfx
c:\cofi.exe\StartUpFile.cfx
c:\cofi.exe\SuppScan.cmd
c:\cofi.exe\svc_wht.dat
c:\cofi.exe\SvcDrv.vbs
c:\cofi.exe\svchost.dat
c:\cofi.exe\svchost.vista.dat
c:\cofi.exe\svchost.vista.x64.dat
c:\cofi.exe\svchost.w7.dat
c:\cofi.exe\svchost.w7.x64.dat
c:\cofi.exe\swreg.cfxxe
c:\cofi.exe\swsc.cfxxe
c:\cofi.exe\swxcacls.cfxxe
c:\cofi.exe\system_ini.dat
c:\cofi.exe\tail.cfxxe
c:\cofi.exe\temp00
c:\cofi.exe\TemplatesFile.cfx
c:\cofi.exe\TemplatesFolder.cfx
c:\cofi.exe\toolbar.sed
c:\cofi.exe\Update-CF.cmd
c:\cofi.exe\VerCF.bat
c:\cofi.exe\version.txt
c:\cofi.exe\VInfo
c:\cofi.exe\VInfo2
c:\cofi.exe\Vipev.dat
c:\cofi.exe\Vista.krl
c:\cofi.exe\vistaMcode.dat
c:\cofi.exe\vistareg.dat
c:\cofi.exe\vun.dat
c:\cofi.exe\VwinTemp.dacl
c:\cofi.exe\w_sock.dll
c:\cofi.exe\w2k_sock.dll
c:\cofi.exe\w2kreg.dat
c:\cofi.exe\W7.mac
c:\cofi.exe\w7Mcode.dat
c:\cofi.exe\w7reg.dat
c:\cofi.exe\Wmi_rem.vbs
c:\cofi.exe\xpmcode.dat
c:\cofi.exe\xpreg.dat
c:\cofi.exe\XPSBoot.reg
c:\cofi.exe\zDomain.dat
c:\cofi.exe\zhsvc.dat
c:\cofi.exe\zip.cfxxe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-04-28 bis 2011-05-31  ))))))))))))))))))))))))))))))
.
.
2011-05-31 21:23 . 2011-05-31 21:23	--------	d-----w-	c:\users\Tamás\AppData\Local\temp
2011-05-31 21:23 . 2011-05-31 21:23	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-05-31 20:25 . 2011-05-31 20:25	--------	d-----w-	C:\_OTL
2011-05-31 16:55 . 2011-05-31 16:56	--------	d-----w-	c:\program files\Personal Voice Changer Driver
2011-05-31 16:53 . 2011-05-31 16:53	--------	d-----w-	c:\program files\Common Files\fwc
2011-05-31 16:53 . 2011-05-31 16:54	--------	d-----w-	c:\program files\FV
2011-05-31 16:52 . 2011-05-31 16:55	--------	d-----w-	c:\users\Tamás\AppData\Roaming\GetRightToGo
2011-05-31 09:50 . 2011-05-31 09:50	--------	d-----w-	c:\program files\CCleaner
2011-05-31 09:24 . 2011-05-31 09:24	--------	d-----w-	c:\program files\Common Files\Adobe
2011-05-31 07:51 . 2011-05-09 20:46	6962000	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{A13A2E8D-030A-428B-B7E9-1A916CF3A860}\mpengine.dll
2011-05-30 14:22 . 2011-05-30 14:22	--------	d-----w-	c:\users\Tamás\AppData\Roaming\Malwarebytes
2011-05-30 14:22 . 2010-12-20 16:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-30 14:22 . 2011-05-30 14:22	--------	d-----w-	c:\programdata\Malwarebytes
2011-05-30 14:22 . 2011-05-30 14:22	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-05-30 14:09 . 2011-05-30 14:09	--------	d-----w-	c:\users\Tamás\AppData\Roaming\Avira
2011-05-25 07:36 . 2011-04-22 19:36	26496	----a-w-	c:\windows\system32\drivers\Diskdump.sys
2011-05-19 05:07 . 2011-04-09 05:56	123904	----a-w-	c:\windows\system32\poqexec.exe
2011-05-18 04:47 . 2011-05-18 04:47	404640	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-05-16 17:56 . 2011-05-16 17:56	--------	d-----w-	c:\users\Tamás\AppData\Roaming\pokerth
2011-05-13 13:00 . 2011-05-13 13:00	--------	d-----w-	c:\users\Tamás\AppData\Roaming\Mozilla-Cache
2011-05-13 12:59 . 2011-05-13 12:59	--------	d-----w-	C:\Programs
2011-05-13 10:35 . 2011-05-13 10:35	781272	----a-w-	c:\program files\Mozilla Firefox\mozsqlite3.dll
2011-05-13 10:35 . 2011-05-13 10:35	89048	----a-w-	c:\program files\Mozilla Firefox\libEGL.dll
2011-05-13 10:35 . 2011-05-13 10:35	465880	----a-w-	c:\program files\Mozilla Firefox\libGLESv2.dll
2011-05-13 10:35 . 2011-05-13 10:35	1892184	----a-w-	c:\program files\Mozilla Firefox\d3dx9_42.dll
2011-05-13 10:35 . 2011-05-13 10:35	1874904	----a-w-	c:\program files\Mozilla Firefox\mozjs.dll
2011-05-13 10:35 . 2011-05-13 10:35	15832	----a-w-	c:\program files\Mozilla Firefox\mozalloc.dll
2011-05-13 10:35 . 2011-05-13 10:35	142296	----a-w-	c:\program files\Mozilla Firefox\components\browsercomps.dll
2011-05-13 10:35 . 2011-05-13 10:35	1974616	----a-w-	c:\program files\Mozilla Firefox\D3DCompiler_42.dll
2011-05-11 06:52 . 2011-03-25 03:06	258560	----a-w-	c:\windows\system32\drivers\usbhub.sys
2011-05-11 06:52 . 2011-03-25 03:06	284160	----a-w-	c:\windows\system32\drivers\usbport.sys
2011-05-11 06:52 . 2011-03-25 03:06	75776	----a-w-	c:\windows\system32\drivers\usbccgp.sys
2011-05-11 06:52 . 2011-03-25 03:06	43008	----a-w-	c:\windows\system32\drivers\usbehci.sys
2011-05-11 06:52 . 2011-03-25 03:06	20480	----a-w-	c:\windows\system32\drivers\usbohci.sys
2011-05-11 06:52 . 2011-03-25 03:06	24064	----a-w-	c:\windows\system32\drivers\usbuhci.sys
2011-05-11 06:52 . 2011-03-25 03:06	5888	----a-w-	c:\windows\system32\drivers\usbd.sys
2011-05-11 06:52 . 2011-04-09 06:13	3957632	----a-w-	c:\windows\system32\ntkrnlpa.exe
2011-05-11 06:52 . 2011-04-09 06:13	3901824	----a-w-	c:\windows\system32\ntoskrnl.exe
2011-05-09 09:26 . 2011-05-09 09:26	--------	d-----w-	c:\programdata\Boss Media
2011-05-09 09:26 . 2011-05-09 09:26	--------	d-----w-	c:\users\Tamás\AppData\Local\Boss Media
2011-05-09 09:06 . 2011-05-14 17:04	--------	d-----w-	C:\Poker
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-17 08:33 . 2010-10-28 00:00	137656	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-03-12 11:31 . 2011-04-27 06:42	442880	----a-w-	c:\windows\system32\XpsPrint.dll
2011-03-11 05:44 . 2011-04-27 06:43	146304	----a-w-	c:\windows\system32\drivers\storport.sys
2011-03-11 05:44 . 2011-04-27 06:43	143744	----a-w-	c:\windows\system32\drivers\nvstor.sys
2011-03-11 05:44 . 2011-04-27 06:43	1210240	----a-w-	c:\windows\system32\drivers\ntfs.sys
2011-03-11 05:44 . 2011-04-27 06:43	117120	----a-w-	c:\windows\system32\drivers\nvraid.sys
2011-03-11 05:43 . 2011-04-27 06:43	332160	----a-w-	c:\windows\system32\drivers\iaStorV.sys
2011-03-11 05:43 . 2011-04-27 06:43	80256	----a-w-	c:\windows\system32\drivers\amdsata.sys
2011-03-11 05:43 . 2011-04-27 06:43	22400	----a-w-	c:\windows\system32\drivers\amdxata.sys
2011-03-11 05:40 . 2011-04-15 06:11	1164288	----a-w-	c:\windows\system32\mfc42u.dll
2011-03-11 05:40 . 2011-04-15 06:11	1137664	----a-w-	c:\windows\system32\mfc42.dll
2011-03-11 05:39 . 2011-04-27 06:43	1686016	----a-w-	c:\windows\system32\esent.dll
2011-03-11 05:37 . 2011-04-27 06:43	74240	----a-w-	c:\windows\system32\fsutil.exe
2011-03-10 22:30 . 2008-09-17 14:29	14744	----a-w-	c:\users\Tamás\AppData\Roaming\Microsoft\IdentityCRL\production\ppcrlconfig.dll
2011-03-10 22:30 . 2008-09-17 14:29	14744	----a-w-	c:\users\Tamás\AppData\Roaming\Microsoft\IdentityCRL\production\ppcrlconfig.dll
2011-03-08 05:38 . 2011-04-15 06:21	740864	----a-w-	c:\windows\system32\inetcomm.dll
2011-03-03 05:29 . 2011-04-15 06:10	132608	----a-w-	c:\windows\system32\dnsrslvr.dll
2011-03-03 05:27 . 2011-04-15 06:10	28672	----a-w-	c:\windows\system32\dnscacheugc.exe
2011-03-03 03:31 . 2011-04-15 06:02	2331136	----a-w-	c:\windows\system32\win32k.sys
2011-05-13 10:35 . 2011-05-13 10:35	142296	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768]
"ETDWare"="c:\program files\Elantech\ETDCtrl.exe" [2010-04-13 548744]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-08-25 136216]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-08-25 171032]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-08-25 170520]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
.
c:\users\Tam*s\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2011-05-16 2151128]
R3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys [2011-02-04 15232]
R3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [x]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2010-09-23 64288]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-12-12 691696]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-04-29 136360]
S3 ETD;ELAN PS/2 Port Input Device;c:\windows\system32\DRIVERS\ETD.sys [2010-04-13 109960]
S3 tenCapture;tenCapture;c:\windows\system32\DRIVERS\tenCapture.sys [2007-04-21 9344]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]
.
.
Inhalt des "geplante Tasks" Ordners
.
2011-05-31 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-09-23 09:11]
.
2011-03-05 c:\windows\Tasks\DriverEasy Scheduled Scan.job
- c:\program files\Easeware\DriverEasy\DriverEasy.exe [2010-11-05 19:29]
.
.
------- Zusätzlicher Suchlauf -------
.
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\Tamás\AppData\Roaming\Mozilla\Firefox\Profiles\hsyjdiac.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2431245&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Amazon.de
FF - prefs.js: browser.startup.homepage - google.de
FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?FORM=IEFM1&q=
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
URLSearchHooks-{cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - (no file)
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKCU-Run-NvCplDaemonTool - c:\users\TAMS~1\LPLOAD~1.DLL
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2011-05-31  23:24:52
ComboFix-quarantined-files.txt  2011-05-31 21:24
.
Vor Suchlauf: 13 Verzeichnis(se), 268.421.943.296 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 268.409.622.528 Bytes frei
.
- - End Of File - - 1F81CC7F522F539ECA9B22E846A00BE7
--- --- ---
Alt 01.06.2011, 09:00   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows Recovery Trojaner und dessen Nachwirkungen - Standard

Windows Recovery Trojaner und dessen Nachwirkungen


Probier den tdsskiller bitte jetzt nochmal.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 01.06.2011, 09:09   #11
LoopTroopRockers
 
Windows Recovery Trojaner und dessen Nachwirkungen - Standard

Windows Recovery Trojaner und dessen Nachwirkungen


Der tdskiller will immernoch nicht

Alt 01.06.2011, 10:41   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows Recovery Trojaner und dessen Nachwirkungen - Standard

Windows Recovery Trojaner und dessen Nachwirkungen


Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 01.06.2011, 11:24   #13
LoopTroopRockers
 
Windows Recovery Trojaner und dessen Nachwirkungen - Standard

Windows Recovery Trojaner und dessen Nachwirkungen


GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15640 - hxxp://www.gmer.net
Rootkit scan 2011-06-01 12:07:31
Windows 6.1.7600  Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 ST9320325AS rev.0002SDM1
Running: ydemwxjr.exe; Driver: C:\Users\TAMS~1\AppData\Local\Temp\uxldapow.sys


---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwSaveKeyEx + 13BD                                                                                     82A82569 1 Byte  [06]
.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                                              82AA7092 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
?               System32\Drivers\spin.sys                                                                                           Das System kann den angegebenen Pfad nicht finden. !
.text           USBPORT.SYS!DllUnload                                                                                               91030D18 5 Bytes  JMP 866311D8 

---- User code sections - GMER 1.0.15 ----

.text           C:\Program Files\Internet Explorer\iexplore.exe[2272] USER32.dll!CreateWindowExW                                    76D30E51 5 Bytes  JMP 6EA38197 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2272] USER32.dll!DialogBoxIndirectParamW                            76D54AA7 5 Bytes  JMP 6EB5FED8 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2272] USER32.dll!DialogBoxParamW                                    76D5564A 5 Bytes  JMP 6E954BA7 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2272] USER32.dll!DialogBoxParamA                                    76D6CF6A 5 Bytes  JMP 6EB5FE75 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2272] USER32.dll!DialogBoxIndirectParamA                            76D6D29C 5 Bytes  JMP 6EB5FF3B C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2272] USER32.dll!MessageBoxIndirectA                                76D7E8C9 5 Bytes  JMP 6EB5FE0A C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2272] USER32.dll!MessageBoxIndirectW                                76D7E9C3 5 Bytes  JMP 6EB5FD9F C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2272] USER32.dll!MessageBoxExA                                      76D7EA29 5 Bytes  JMP 6EB5FD3D C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2272] USER32.dll!MessageBoxExW                                      76D7EA4D 5 Bytes  JMP 6EB5FCDB C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2272] WININET.dll!HttpAddRequestHeadersA                            77389ABA 5 Bytes  JMP 00476B70 
.text           C:\Program Files\Internet Explorer\iexplore.exe[2272] WININET.dll!HttpAddRequestHeadersW                            77390848 5 Bytes  JMP 00476D70 
.text           C:\Program Files\Internet Explorer\iexplore.exe[2272] WS2_32.dll!closesocket                                        77B63BED 5 Bytes  JMP 0040000A 
.text           C:\Program Files\Internet Explorer\iexplore.exe[2272] WS2_32.dll!recv                                               77B647DF 5 Bytes  JMP 003E000A 
.text           C:\Program Files\Internet Explorer\iexplore.exe[2272] WS2_32.dll!connect                                            77B648BE 5 Bytes  JMP 003F000A 
.text           C:\Program Files\Internet Explorer\iexplore.exe[2272] WS2_32.dll!getaddrinfo                                        77B66737 5 Bytes  JMP 004A000A 
.text           C:\Program Files\Internet Explorer\iexplore.exe[2272] WS2_32.dll!send                                               77B6C4C8 3 Bytes  JMP 0042000A 
.text           C:\Program Files\Internet Explorer\iexplore.exe[2272] WS2_32.dll!send + 4                                           77B6C4CC 1 Byte  [88]
.text           C:\Program Files\Internet Explorer\iexplore.exe[2272] WS2_32.dll!gethostbyname                                      77B77133 5 Bytes  JMP 0049000A 
.text           C:\Program Files\Internet Explorer\iexplore.exe[3272] USER32.dll!UnhookWindowsHookEx                                76D2CC7B 5 Bytes  JMP 6EA483A2 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3272] USER32.dll!CallNextHookEx                                     76D2CC8F 5 Bytes  JMP 6EA29D94 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3272] USER32.dll!CreateWindowExW                                    76D30E51 5 Bytes  JMP 6EA38197 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3272] USER32.dll!SetWindowsHookExW                                  76D3210A 5 Bytes  JMP 6E9E463B C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3272] USER32.dll!DialogBoxIndirectParamW                            76D54AA7 5 Bytes  JMP 6EB5FED8 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3272] USER32.dll!DialogBoxParamW                                    76D5564A 5 Bytes  JMP 6E954BA7 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3272] USER32.dll!DialogBoxParamA                                    76D6CF6A 5 Bytes  JMP 6EB5FE75 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3272] USER32.dll!DialogBoxIndirectParamA                            76D6D29C 5 Bytes  JMP 6EB5FF3B C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3272] USER32.dll!MessageBoxIndirectA                                76D7E8C9 5 Bytes  JMP 6EB5FE0A C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3272] USER32.dll!MessageBoxIndirectW                                76D7E9C3 5 Bytes  JMP 6EB5FD9F C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3272] USER32.dll!MessageBoxExA                                      76D7EA29 5 Bytes  JMP 6EB5FD3D C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3272] USER32.dll!MessageBoxExW                                      76D7EA4D 5 Bytes  JMP 6EB5FCDB C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3272] ole32.dll!OleLoadFromStream                                   76F05BF6 5 Bytes  JMP 6EB6022B C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3272] ole32.dll!CoCreateInstance                                    76F5590C 5 Bytes  JMP 6EA38C85 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3272] WININET.dll!HttpAddRequestHeadersA                            77389ABA 5 Bytes  JMP 002B6B70 
.text           C:\Program Files\Internet Explorer\iexplore.exe[3272] WININET.dll!HttpAddRequestHeadersW                            77390848 5 Bytes  JMP 002B6D70 
.text           C:\Program Files\Internet Explorer\iexplore.exe[3272] WS2_32.dll!closesocket                                        77B63BED 5 Bytes  JMP 0059000A 
.text           C:\Program Files\Internet Explorer\iexplore.exe[3272] WS2_32.dll!recv                                               77B647DF 5 Bytes  JMP 0057000A 
.text           C:\Program Files\Internet Explorer\iexplore.exe[3272] WS2_32.dll!connect                                            77B648BE 5 Bytes  JMP 0058000A 
.text           C:\Program Files\Internet Explorer\iexplore.exe[3272] WS2_32.dll!getaddrinfo                                        77B66737 5 Bytes  JMP 005C000A 
.text           C:\Program Files\Internet Explorer\iexplore.exe[3272] WS2_32.dll!send                                               77B6C4C8 5 Bytes  JMP 005A000A 
.text           C:\Program Files\Internet Explorer\iexplore.exe[3272] WS2_32.dll!gethostbyname                                      77B77133 5 Bytes  JMP 005B000A 

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortReadPortUchar]                                            [8B0A5042] \SystemRoot\System32\Drivers\spin.sys
IAT             \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortWritePortUchar]                                           [8B0A56D6] \SystemRoot\System32\Drivers\spin.sys
IAT             \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort]                                    [8B0A5800] \SystemRoot\System32\Drivers\spin.sys
IAT             \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort]                                     [8B0A513E] \SystemRoot\System32\Drivers\spin.sys

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                              853461F8
Device          \Driver\volmgr \Device\VolMgrControl                                                                                853411F8
Device          \Driver\usbuhci \Device\USBPDO-0                                                                                    8663C1F8
Device          \Driver\usbuhci \Device\USBPDO-1                                                                                    8663C1F8
Device          \Driver\usbuhci \Device\USBPDO-2                                                                                    8663C1F8
Device          \Driver\usbehci \Device\USBPDO-3                                                                                    86084500
Device          \Driver\usbuhci \Device\USBPDO-4                                                                                    8663C1F8
Device          \Driver\usbuhci \Device\USBPDO-5                                                                                    8663C1F8
Device          \Driver\usbuhci \Device\USBPDO-6                                                                                    8663C1F8
Device          \Driver\volmgr \Device\HarddiskVolume1                                                                              853411F8

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                              rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

Device          \Driver\usbehci \Device\USBPDO-7                                                                                    86084500
Device          \Driver\volmgr \Device\HarddiskVolume2                                                                              853411F8

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                                              rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

Device          \Driver\cdrom \Device\CdRom0                                                                                        8663B1F8
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0                                                                         853431F8
Device          \Driver\atapi \Device\Ide\IdePort0                                                                                  853431F8
Device          \Driver\atapi \Device\Ide\IdePort1                                                                                  853431F8
Device          \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-1                                                                         853431F8
Device          \Driver\msahci \Device\Ide\PciIde0Channel0                                                                          853441F8
Device          \Driver\msahci \Device\Ide\PciIde0Channel1                                                                          853441F8
Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                             865E71F8
Device          \Driver\ACPI_HAL \Device\0000004c                                                                                   halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
Device          \Driver\NetBT \Device\NetBT_Tcpip_{39A290D2-A698-4B41-A141-407119D44DB0}                                            865E71F8
Device          \Driver\NetBT \Device\NetBT_Tcpip_{62D45DF5-9BB5-47B6-935B-F32C042753BE}                                            865E71F8
Device          \Driver\usbuhci \Device\USBFDO-0                                                                                    8663C1F8
Device          \Driver\NetBT \Device\NetBT_Tcpip_{7C712DA1-1D3C-43DE-9F69-42E8D1566FE1}                                            865E71F8
Device          \Driver\usbuhci \Device\USBFDO-1                                                                                    8663C1F8
Device          \Driver\usbuhci \Device\USBFDO-2                                                                                    8663C1F8
Device          \Driver\usbehci \Device\USBFDO-3                                                                                    86084500
Device          \Driver\usbuhci \Device\USBFDO-4                                                                                    8663C1F8
Device          \Driver\usbuhci \Device\USBFDO-5                                                                                    8663C1F8
Device          \Driver\usbuhci \Device\USBFDO-6                                                                                    8663C1F8
Device          \Driver\usbehci \Device\USBFDO-7                                                                                    86084500

---- Threads - GMER 1.0.15 ----

Thread          System [4:268]                                                                                                      862E2E7A
Thread          System [4:272]                                                                                                      862E5008

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s1                                                                  771343423
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s2                                                                  285507792
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@h0                                                                  1
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                    
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                 C:\Program Files\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                 0x00 0x00 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                 0
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                              0x1A 0xF3 0x28 0x4E ...
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                           
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                        0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                     0x42 0x02 0x78 0xA1 ...
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                      
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                0x97 0x74 0x96 0x75 ...
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                     C:\Program Files\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                     0x00 0x00 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                     0
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                  0x1A 0xF3 0x28 0x4E ...
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)       
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                         0x42 0x02 0x78 0xA1 ...
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                    0x97 0x74 0x96 0x75 ...

---- EOF - GMER 1.0.15 ----
--- --- ---
Alt 01.06.2011, 11:24   #14
LoopTroopRockers
 
Windows Recovery Trojaner und dessen Nachwirkungen - Standard

Windows Recovery Trojaner und dessen Nachwirkungen


OSAM Logfile:
Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 12:18:49 on 01.06.2011

OS: Windows 7 Home Premium Edition (Build 7600), 32-bit
Default Browser: Mozilla Corporation Firefox 4.0.1

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Boot Execute]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager )-----
"BootExecute" - ? - C:\Windows\system32\lsdelete.exe  (File found, but it contains no detailed information)

[Common]
-----( %SystemRoot%\Tasks )-----
"Ad-Aware Update (Weekly).job" - "Lavasoft Limited                                                      " - C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe
"DriverEasy Scheduled Scan.job" - "Easeware" - C:\Program Files\Easeware\DriverEasy\DriverEasy.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\Windows\system32\FlashPlayerCPLApp.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"a4aeoanf" (a4aeoanf) - ? - C:\Windows\system32\drivers\a4aeoanf.sys  (Hidden registry entry, rootkit activity | File not found)
"avgntflt" (avgntflt) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\Users\TAMS~1\AppData\Local\Temp\catchme.sys  (File not found)
"cpuz132" (cpuz132) - ? - C:\Users\TAMS~1\AppData\Local\Temp\cpuz132\cpuz132_x32.sys  (File not found)
"Lavasoft helper driver" (Lavasoft Kernexplorer) - ? - C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys  (File found, but it contains no detailed information)
"sptd" (sptd) - "Duplex Secure Ltd." - C:\Windows\System32\Drivers\sptd.sys  (File is exclusively opened, access blocked)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\Windows\System32\DRIVERS\ssmdrv.sys
"tenCapture" (tenCapture) - "Hajo Krabbenhöft" - C:\Windows\System32\DRIVERS\tenCapture.sys
"uxldapow" (uxldapow) - ? - C:\Users\TAMS~1\AppData\Local\Temp\uxldapow.sys  (Hidden registry entry, rootkit activity | File not found)
"ZTE Diagnostic Port" (ZTEusbser6k) - ? - C:\Windows\System32\DRIVERS\ZTEusbser6k.sys  (File not found)
"ZTE Mass Storage Filter Driver" (massfilter) - ? - C:\Windows\System32\drivers\massfilter.sys  (File not found)
"ZTE NMEA Port" (ZTEusbnmea) - ? - C:\Windows\System32\DRIVERS\ZTEusbnmea.sys  (File not found)
"ZTE Proprietary USB Driver" (ZTEusbmdm6k) - ? - C:\Windows\System32\DRIVERS\ZTEusbmdm6k.sys  (File not found)

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL
{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{AE424E85-F6DF-4910-A6A9-438797986431} "OpenOffice.org Property Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\propertyhdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\shlext.dll
{2BE99FD4-A181-4996-BFA9-58C5FFD11F6C} "Windows Live Photo Gallery Autoplay Drop Target" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe
{00F30F64-AC33-42F5-8FD1-5DC2D3FDE06C} "Windows Live Photo Gallery Editor Drop Target" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe
{00F3712A-CA79-45B4-9E4D-D7891E7F8B9D} "Windows Live Photo Gallery Editor Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll
{00F30F90-3E96-453B-AFCD-D71989ECC2C7} "Windows Live Photo Gallery Viewer Autoplay Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll
{00F33137-EE26-412F-8D71-F84E4C2C6625} "Windows Live Photo Gallery Viewer Autoplay Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll
{00F374B7-B390-4884-B372-2FC349F2172B} "Windows Live Photo Gallery Viewer Drop Target" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe
{00F346CB-35A4-465B-8B8F-65A29DBAB1F6} "Windows Live Photo Gallery Viewer Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Program Files\WinRAR\rarext.dll
{06A2568A-CED6-4187-BB20-400B8C02BE5A} "{06A2568A-CED6-4187-BB20-400B8C02BE5A}" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoAcquireWizard.exe

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "{32099AAC-C132-4136-9E9A-4E364A424E17}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{C3F79A2B-B9B4-4A66-B012-3EE46475B072} "MessengerStatsClient Class" - "Microsoft Corporation" - C:\Windows\Downloaded Program Files\MessengerStatsPAClient.dll / hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
{5C255C8A-E604-49b4-9D64-90988571CECB} "{5C255C8A-E604-49b4-9D64-90988571CECB}" - ? -   (File not found | COM-object registry key not found)

[Logon]
-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Users\Tamás\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
"OpenOffice.org 3.3.lnk" - ? - C:\Program Files\OpenOffice.org 3\program\quickstart.exe  (Shortcut exists | File found, but it contains no detailed information | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"msnmsgr" - "Microsoft Corporation" - "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
-----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )-----
"StartupPrograms" - ? - rdpclip  (File not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
"Malwarebytes' Anti-Malware (reboot)" - "Malwarebytes Corporation" - "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"CutePDF Writer Monitor" - ? - C:\Windows\system32\cpwmon2k.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\sched.exe
"Lavasoft Ad-Aware Service" (Lavasoft Ad-Aware Service) - "Lavasoft Limited" - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe

===[ Logfile end ]=========================================[ Logfile end ]===
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Alt 01.06.2011, 11:25   #15
LoopTroopRockers
 
Windows Recovery Trojaner und dessen Nachwirkungen - Standard

Windows Recovery Trojaner und dessen Nachwirkungen


MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows 7 Home Premium Edition
Windows Information: (build 7600), 32-bit
Base Board Manufacturer: ASUSTeK Computer Inc.
BIOS Manufacturer: American Megatrends Inc.
System Manufacturer: ASUSTeK Computer Inc.
System Product Name: K50IJ
Logical Drives Mask: 0x0000000c

Kernel Drivers (total 152):
0x82A3F000 \SystemRoot\system32\ntkrnlpa.exe
0x82A08000 \SystemRoot\system32\halmacpi.dll
0x80B9C000 \SystemRoot\system32\kdcom.dll
0x8AE2C000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x8AEA4000 \SystemRoot\system32\PSHED.dll
0x8AEB5000 \SystemRoot\system32\BOOTVID.dll
0x8AEBD000 \SystemRoot\system32\CLFS.SYS
0x8AEFF000 \SystemRoot\system32\CI.dll
0x8B024000 \SystemRoot\system32\drivers\Wdf01000.sys
0x8B095000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x8B0A3000 \SystemRoot\System32\Drivers\spin.sys
0x8B196000 \SystemRoot\System32\Drivers\WMILIB.SYS
0x8B19F000 \SystemRoot\System32\Drivers\SCSIPORT.SYS
0x8AFAA000 \SystemRoot\system32\DRIVERS\ACPI.sys
0x8B1C5000 \SystemRoot\system32\DRIVERS\msisadrv.sys
0x8B1CD000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
0x8AE00000 \SystemRoot\system32\DRIVERS\pci.sys
0x8B1D8000 \SystemRoot\System32\drivers\partmgr.sys
0x8B1E9000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x8B1F1000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x8B000000 \SystemRoot\system32\DRIVERS\volmgr.sys
0x8B21A000 \SystemRoot\System32\drivers\volmgrx.sys
0x8B265000 \SystemRoot\System32\drivers\mountmgr.sys
0x8B27B000 \SystemRoot\system32\DRIVERS\atapi.sys
0x8B284000 \SystemRoot\system32\DRIVERS\ataport.SYS
0x8B2A7000 \SystemRoot\system32\DRIVERS\msahci.sys
0x8B2B1000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
0x8B2BF000 \SystemRoot\system32\drivers\amdxata.sys
0x8B2C8000 \SystemRoot\system32\drivers\fltmgr.sys
0x8B2FC000 \SystemRoot\system32\drivers\fileinfo.sys
0x8B30D000 \SystemRoot\system32\DRIVERS\Lbd.sys
0x8B43D000 \SystemRoot\System32\Drivers\Ntfs.sys
0x8B56C000 \SystemRoot\System32\Drivers\msrpc.sys
0x8B597000 \SystemRoot\System32\Drivers\ksecdd.sys
0x8B31C000 \SystemRoot\System32\Drivers\cng.sys
0x8B5AA000 \SystemRoot\System32\drivers\pcw.sys
0x8B5B8000 \SystemRoot\System32\Drivers\Fs_Rec.sys
0x8B638000 \SystemRoot\system32\drivers\ndis.sys
0x8B6EF000 \SystemRoot\system32\drivers\NETIO.SYS
0x8B72D000 \SystemRoot\System32\Drivers\ksecpkg.sys
0x8B812000 \SystemRoot\System32\drivers\tcpip.sys
0x8B95B000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x8B98C000 \SystemRoot\system32\DRIVERS\volsnap.sys
0x8B9CB000 \SystemRoot\System32\Drivers\spldr.sys
0x8B9D3000 \SystemRoot\System32\drivers\rdyboost.sys
0x8B800000 \SystemRoot\System32\Drivers\mup.sys
0x8B752000 \SystemRoot\System32\drivers\hwpolicy.sys
0x8B75A000 \SystemRoot\System32\DRIVERS\fvevol.sys
0x8B78C000 \SystemRoot\system32\DRIVERS\disk.sys
0x8B79D000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
0x8B600000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x8B61F000 \SystemRoot\System32\Drivers\Null.SYS
0x8B626000 \SystemRoot\System32\Drivers\Beep.SYS
0x8B5C1000 \SystemRoot\System32\drivers\vga.sys
0x8B5CD000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x8B5EE000 \SystemRoot\System32\drivers\watchdog.sys
0x8B62D000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x8B7F5000 \SystemRoot\system32\drivers\rdpencdd.sys
0x8B400000 \SystemRoot\system32\drivers\rdprefmp.sys
0x8B408000 \SystemRoot\System32\Drivers\Msfs.SYS
0x8B413000 \SystemRoot\System32\Drivers\Npfs.SYS
0x8B421000 \SystemRoot\system32\DRIVERS\tdx.sys
0x8B379000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x8B384000 \SystemRoot\system32\drivers\afd.sys
0x90415000 \SystemRoot\System32\DRIVERS\netbt.sys
0x90447000 \SystemRoot\system32\DRIVERS\wfplwf.sys
0x9044E000 \SystemRoot\system32\DRIVERS\pacer.sys
0x9046D000 \SystemRoot\system32\DRIVERS\vwififlt.sys
0x9047E000 \SystemRoot\system32\DRIVERS\netbios.sys
0x9048C000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x9049F000 \SystemRoot\system32\DRIVERS\termdd.sys
0x904AF000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x904B5000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x904F6000 \SystemRoot\system32\drivers\nsiproxy.sys
0x90500000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x9050A000 \SystemRoot\System32\drivers\discache.sys
0x90516000 \SystemRoot\System32\Drivers\dfsc.sys
0x9052E000 \SystemRoot\system32\DRIVERS\blbdrive.sys
0x9053C000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x90562000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x90583000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x91815000 \SystemRoot\system32\DRIVERS\igdkmd32.sys
0x92132000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x90595000 \SystemRoot\System32\drivers\dxgmms1.sys
0x921E9000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0x9100C000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x91057000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x91066000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x91085000 \SystemRoot\system32\DRIVERS\athr.sys
0x911B2000 \SystemRoot\system32\DRIVERS\vwifibus.sys
0x911BC000 \SystemRoot\system32\DRIVERS\L1E62x86.sys
0x911CC000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x911E4000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x905CE000 \SystemRoot\system32\DRIVERS\ETD.sys
0x911F1000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x91000000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0x91004000 \SystemRoot\system32\DRIVERS\ATKACPI.sys
0x91800000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
0x9180D000 \SystemRoot\system32\DRIVERS\tenCapture.sys
0x91424000 \SystemRoot\system32\DRIVERS\portcls.sys
0x91453000 \SystemRoot\system32\DRIVERS\drmk.sys
0x9146C000 \SystemRoot\system32\DRIVERS\ks.sys
0x914A0000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
0x914B2000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x914CA000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x914D5000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x914F7000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x9150F000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x91526000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x9153D000 \SystemRoot\system32\DRIVERS\swenum.sys
0x9153F000 \SystemRoot\system32\DRIVERS\umbus.sys
0x9154D000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x91591000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x915A2000 \SystemRoot\system32\drivers\HdAudio.sys
0x91400000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x91417000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x97250000 \SystemRoot\System32\win32k.sys
0x91419000 \SystemRoot\System32\drivers\Dxapi.sys
0x94408000 \SystemRoot\system32\DRIVERS\snp2uvc.sys
0x945B6000 \SystemRoot\system32\DRIVERS\STREAM.SYS
0x945C4000 \SystemRoot\system32\DRIVERS\sncduvc.SYS
0x945CB000 \SystemRoot\System32\Drivers\crashdmp.sys
0x945D8000 \SystemRoot\System32\Drivers\dump_dumpata.sys
0x945E3000 \SystemRoot\System32\Drivers\dump_msahci.sys
0x945ED000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
0x915F2000 \SystemRoot\system32\DRIVERS\monitor.sys
0x974B0000 \SystemRoot\System32\TSDDD.dll
0x974E0000 \SystemRoot\System32\cdd.dll
0x8B7C2000 \SystemRoot\system32\drivers\luafv.sys
0x90400000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x8B3DE000 \SystemRoot\system32\drivers\WudfPf.sys
0x905EC000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x8CE28000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x8CE6E000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x8CE7E000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x8CE9A000 \SystemRoot\system32\drivers\HTTP.sys
0x8CF1F000 \SystemRoot\system32\DRIVERS\bowser.sys
0x8CF38000 \SystemRoot\System32\drivers\mpsdrv.sys
0x8CF4A000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x8CF6D000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x8CFA8000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x99A03000 \SystemRoot\system32\drivers\peauth.sys
0x99A9A000 \SystemRoot\System32\Drivers\secdrv.SYS
0x99AA4000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x99AC5000 \SystemRoot\System32\drivers\tcpipreg.sys
0x99AD2000 \SystemRoot\System32\DRIVERS\srv2.sys
0x99B21000 \SystemRoot\System32\DRIVERS\srv.sys
0x99BDD000 \SystemRoot\system32\DRIVERS\asyncmac.sys
0x99B73000 \??\C:\Users\TAMS~1\AppData\Local\Temp\uxldapow.sys
0x77BA0000 \Windows\System32\ntdll.dll
0x483C0000 \Windows\System32\smss.exe
0x77DE0000 \Windows\System32\apisetschema.dll

Processes (total 51):
0 System Idle Process
4 System
304 C:\Windows\System32\smss.exe
400 csrss.exe
456 C:\Windows\System32\wininit.exe
464 csrss.exe
508 C:\Windows\System32\services.exe
544 C:\Windows\System32\winlogon.exe
556 C:\Windows\System32\lsass.exe
564 C:\Windows\System32\lsm.exe
696 C:\Windows\System32\svchost.exe
796 C:\Windows\System32\svchost.exe
892 C:\Windows\System32\svchost.exe
932 C:\Windows\System32\svchost.exe
964 C:\Windows\System32\svchost.exe
1112 C:\Windows\System32\svchost.exe
1220 C:\Windows\System32\svchost.exe
1412 C:\Windows\System32\spoolsv.exe
1444 C:\Program Files\Avira\AntiVir Desktop\sched.exe
1464 C:\Windows\System32\svchost.exe
1636 C:\Windows\System32\dwm.exe
1648 C:\Windows\System32\taskhost.exe
1732 C:\Windows\explorer.exe
1784 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
1828 C:\Windows\System32\svchost.exe
344 C:\Windows\System32\svchost.exe
336 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
560 C:\Windows\System32\conhost.exe
2272 C:\Program Files\Internet Explorer\iexplore.exe
2328 C:\Program Files\Common Files\Java\Java Update\jusched.exe
2344 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
2356 C:\Program Files\Elantech\ETDCtrl.exe
2364 C:\Windows\System32\igfxtray.exe
2376 C:\Windows\System32\hkcmd.exe
2384 C:\Windows\System32\igfxpers.exe
3004 C:\Windows\System32\SearchIndexer.exe
3272 C:\Program Files\Internet Explorer\iexplore.exe
3608 C:\Program Files\Elantech\ETDCtrlHelper.exe
3652 C:\Program Files\Windows Media Player\wmpnetwk.exe
2100 C:\Windows\System32\svchost.exe
3916 C:\Windows\System32\svchost.exe
3912 C:\Windows\System32\svchost.exe
3616 C:\Program Files\Common Files\Java\Java Update\jucheck.exe
3492 C:\Windows\System32\audiodg.exe
3408 C:\Program Files\Internet Explorer\iexplore.exe
5084 C:\Program Files\Internet Explorer\iexplore.exe
2196 C:\Windows\System32\SearchProtocolHost.exe
5512 C:\Windows\System32\SearchFilterHost.exe
5868 C:\Users\Tamás\Desktop\MBRCheck.exe
632 C:\Windows\System32\conhost.exe
5828 C:\Windows\System32\dllhost.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`06500000 (NTFS)

PhysicalDrive0 Model Number: ST9320325AS, Rev: 0002SDM1

Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 Windows 7 MBR code detected
SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79


Done!

Antwort
Seite 1 von 2 1 2

Themen zu Windows Recovery Trojaner und dessen Nachwirkungen
andere, anderen, dateien, folge, folgen, gen, klicke, konnte, kurzem, links, log, malwarebytes, malwarebytes log, nachwirkungen, programme, recovery, seite, seiten, sichtbar, symbole, thunderbird, troja, trojaner, windows, windows recovery


« Fehlermeldung Festplatte Ram Beschädigt | Trojaner plus Fakemeldungen »


Ähnliche Themen: Windows Recovery Trojaner und dessen Nachwirkungen


  1. Windows 8.1 vermutlich Yahoo Smartbar Nachwirkungen
    Log-Analyse und Auswertung - 19.09.2014 (11)
  2. Antivirus Security Pro und dessen Nachwirkungen
    Plagegeister aller Art und deren Bekämpfung - 26.10.2013 (13)
  3. GVU Trojaner - Nachwirkungen
    Log-Analyse und Auswertung - 24.08.2012 (4)
  4. BKA Trojaner - Entfernung mit Nachwirkungen (keine Pop-Ups beim Rechtsklick auf dem Desktop)
    Plagegeister aller Art und deren Bekämpfung - 14.03.2012 (3)
  5. Windows Recovery + Trojaner
    Log-Analyse und Auswertung - 05.06.2011 (1)
  6. Windows Vista Recovery - Virus (Trojaner)
    Plagegeister aller Art und deren Bekämpfung - 03.06.2011 (7)
  7. Windows Recovery Trojaner und weitere Probleme
    Log-Analyse und Auswertung - 01.06.2011 (3)
  8. Windows 7 Recovery Trojaner
    Log-Analyse und Auswertung - 27.05.2011 (30)
  9. windows recovery trojaner
    Log-Analyse und Auswertung - 14.05.2011 (43)
  10. Windows Recovery Trojaner - Malewarebytes durchgeführt was nun?
    Log-Analyse und Auswertung - 11.05.2011 (29)
  11. Trojaner eingefangen: Windows Recovery
    Log-Analyse und Auswertung - 10.05.2011 (20)
  12. Windows Recovery Trojaner eingefangen
    Log-Analyse und Auswertung - 08.05.2011 (1)
  13. Trojaner Fake.AV / Windows Recovery?
    Plagegeister aller Art und deren Bekämpfung - 30.04.2011 (10)
  14. Windows recovery trojaner weg?
    Log-Analyse und Auswertung - 28.04.2011 (18)
  15. windows recovery trojaner
    Log-Analyse und Auswertung - 22.04.2011 (1)
  16. Trojaner oder die Nachwirkungen?
    Plagegeister aller Art und deren Bekämpfung - 30.07.2010 (3)
  17. Problem mit Trojaner - und evtl. Nachwirkungen
    Plagegeister aller Art und deren Bekämpfung - 07.11.2008 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Windows Recovery Trojaner und dessen Nachwirkungen - Hallo, ich habe mir vor kurzem den Recovery Trojaner eingefangen. Ein paar meiner Dateien konnte ich wieder sichtbar machen, mit den anderen Folgen habe ich aber noch zu kämpfen: 1. - Windows Recovery Trojaner und dessen Nachwirkungen...
Archiv
Du betrachtest: Windows Recovery Trojaner und dessen Nachwirkungen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129