Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Achtung! Ihr Computer wurde gesperrt. Windows Security Center!? (https://www.trojaner-board.de/111411-achtung-computer-wurde-gesperrt-windows-security-center.html)

cosinus 23.03.2012 21:27
Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Fly564 27.03.2012 14:13
Das Log von GMER:

Code:
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-03-26 14:28:32
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-7 WDC_WD2500JS-22NCB1 rev.10.02E02
Running: GMER.exe; Driver: C:\DOKUME~1\Admin\LOKALE~1\Temp\afwoafob.sys


---- System - GMER 1.0.15 ----

SSDT            862BB5D0                                                                                      ZwAlertResumeThread
SSDT            862BBA20                                                                                      ZwAlertThread
SSDT            863E7F20                                                                                      ZwAllocateVirtualMemory
SSDT            863ADD08                                                                                      ZwAssignProcessToJobObject
SSDT            863FE288                                                                                      ZwConnectPort
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)    ZwCreateKey [0xAE5F1710]
SSDT            862B9A68                                                                                      ZwCreateMutant
SSDT            864055E0                                                                                      ZwCreateSymbolicLinkObject
SSDT            8630C460                                                                                      ZwCreateThread
SSDT            863ADDC8                                                                                      ZwDebugActiveProcess
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)    ZwDeleteKey [0xAE5F1990]
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)    ZwDeleteValueKey [0xAE5F1EF0]
SSDT            864C63E8                                                                                      ZwDuplicateObject
SSDT            8632B558                                                                                      ZwFreeVirtualMemory
SSDT            862B9B38                                                                                      ZwImpersonateAnonymousToken
SSDT            862C0458                                                                                      ZwImpersonateThread
SSDT            8644B450                                                                                      ZwLoadDriver
SSDT            8639B778                                                                                      ZwMapViewOfSection
SSDT            862B9618                                                                                      ZwOpenEvent
SSDT            863C3B00                                                                                      ZwOpenProcess
SSDT            8645BD88                                                                                      ZwOpenProcessToken
SSDT            862B4DC8                                                                                      ZwOpenSection
SSDT            864000F8                                                                                      ZwOpenThread
SSDT            864B5B58                                                                                      ZwProtectVirtualMemory
SSDT            862BC3B8                                                                                      ZwResumeThread
SSDT            862A0C90                                                                                      ZwSetContextThread
SSDT            862A1858                                                                                      ZwSetInformationProcess
SSDT            862E3568                                                                                      ZwSetSystemInformation
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)    ZwSetValueKey [0xAE5F2140]
SSDT            862B8C90                                                                                      ZwSuspendProcess
SSDT            862BC498                                                                                      ZwSuspendThread
SSDT            86418D48                                                                                      ZwTerminateProcess
SSDT            862B6CE0                                                                                      ZwTerminateThread
SSDT            862B48A8                                                                                      ZwUnmapViewOfSection
SSDT            863242C8                                                                                      ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

.text          ntkrnlpa.exe!ZwCallbackReturn + 2CF4                                                          80504590 4 Bytes  [E8, 63, 4C, 86]
?              SYMDS.SYS                                                                                      Das System kann die angegebene Datei nicht finden. !
?              SYMEFA.SYS                                                                                    Das System kann die angegebene Datei nicht finden. !
.text          C:\WINDOWS\system32\DRIVERS\ati2mtag.sys                                                      section is writeable [0xF6E46000, 0x1C5D38, 0xE8000020]
init            C:\WINDOWS\system32\drivers\Senfilt.sys                                                        entry point in "init" section [0xAE764A80]

---- User code sections - GMER 1.0.15 ----

.text          C:\Dokumente und Einstellungen\Admin\Desktop\GMER.exe[228] ntdll.dll!NtTerminateProcess        7C91DE6E 3 Bytes  [FF, 25, 1E]
.text          C:\Dokumente und Einstellungen\Admin\Desktop\GMER.exe[228] ntdll.dll!NtTerminateProcess + 4    7C91DE72 2 Bytes  [0B, 5F]
.text          C:\Dokumente und Einstellungen\Admin\Desktop\GMER.exe[228] kernel32.dll!LoadLibraryExW + C4    7C801BB9 4 Bytes  CALL 003C0001
.text          C:\Dokumente und Einstellungen\Admin\Desktop\GMER.exe[228] kernel32.dll!Process32Next          7C8650C8 6 Bytes  JMP 5F070F5A
.text          C:\WINDOWS\system32\svchost.exe[384] ntdll.dll!NtTerminateProcess                              7C91DE6E 3 Bytes  [FF, 25, 1E]
.text          C:\WINDOWS\system32\svchost.exe[384] ntdll.dll!NtTerminateProcess + 4                          7C91DE72 2 Bytes  [0B, 5F]
.text          C:\WINDOWS\system32\svchost.exe[384] kernel32.dll!LoadLibraryExW + C4                          7C801BB9 4 Bytes  CALL 00DF0001
.text          C:\WINDOWS\system32\svchost.exe[384] kernel32.dll!Process32Next                                7C8650C8 6 Bytes  JMP 5F070F5A
.text          C:\Programme\T-Home\Dialerschutz-Software\DFInject.exe[420] ntdll.dll!NtTerminateProcess      7C91DE6E 3 Bytes  [FF, 25, 1E]
.text          C:\Programme\T-Home\Dialerschutz-Software\DFInject.exe[420] ntdll.dll!NtTerminateProcess + 4  7C91DE72 2 Bytes  [0B, 5F]
.text          C:\Programme\T-Home\Dialerschutz-Software\DFInject.exe[420] kernel32.dll!LoadLibraryExW + C4  7C801BB9 4 Bytes  CALL 00D40001
.text          C:\Programme\T-Home\Dialerschutz-Software\DFInject.exe[420] kernel32.dll!Process32Next        7C8650C8 6 Bytes  JMP 5F070F5A
.text          C:\Programme\Java\jre6\bin\jqs.exe[456] ntdll.dll!NtTerminateProcess                          7C91DE6E 3 Bytes  [FF, 25, 1E]
.text          C:\Programme\Java\jre6\bin\jqs.exe[456] ntdll.dll!NtTerminateProcess + 4                      7C91DE72 2 Bytes  [20, 5F]
.text          C:\Programme\Java\jre6\bin\jqs.exe[456] kernel32.dll!LoadLibraryExW + C4                      7C801BB9 4 Bytes  CALL 01F80001
.text          C:\Programme\Java\jre6\bin\jqs.exe[456] kernel32.dll!Process32Next                            7C8650C8 6 Bytes  JMP 5F190F5A
.text          C:\Programme\Java\jre6\bin\jqs.exe[456] psapi.dll!EnumProcesses                                76BB3A76 6 Bytes  JMP 5F1C0F5A
.text          C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe[556] ntdll.dll!NtTerminateProcess      7C91DE6E 3 Bytes  [FF, 25, 1E]
.text          C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe[556] ntdll.dll!NtTerminateProcess + 4  7C91DE72 2 Bytes  [0B, 5F]
.text          C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe[556] kernel32.dll!LoadLibraryExW + C4  7C801BB9 4 Bytes  CALL 003D0001
.text          C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe[556] kernel32.dll!Process32Next        7C8650C8 6 Bytes  JMP 5F070F5A
.text          C:\WINDOWS\system32\svchost.exe[668] ntdll.dll!NtTerminateProcess                              7C91DE6E 3 Bytes  [FF, 25, 1E]
.text          C:\WINDOWS\system32\svchost.exe[668] ntdll.dll!NtTerminateProcess + 4                          7C91DE72 2 Bytes  [0B, 5F]
.text          C:\WINDOWS\system32\svchost.exe[668] kernel32.dll!LoadLibraryExW + C4                          7C801BB9 4 Bytes  CALL 00DB0001
.text          C:\WINDOWS\system32\svchost.exe[668] kernel32.dll!Process32Next                                7C8650C8 6 Bytes  JMP 5F070F5A
.text          C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe[716] ntdll.dll!NtTerminateProcess      7C91DE6E 3 Bytes  [FF, 25, 1E]
.text          C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe[716] ntdll.dll!NtTerminateProcess + 4  7C91DE72 2 Bytes  [0B, 5F]
.text          C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe[716] kernel32.dll!LoadLibraryExW + C4  7C801BB9 4 Bytes  CALL 01010001
.text          C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe[716] kernel32.dll!Process32Next        7C8650C8 6 Bytes  JMP 5F070F5A
.text          C:\WINDOWS\system32\wdfmgr.exe[824] ntdll.dll!NtTerminateProcess                              7C91DE6E 3 Bytes  [FF, 25, 1E]
.text          C:\WINDOWS\system32\wdfmgr.exe[824] ntdll.dll!NtTerminateProcess + 4                          7C91DE72 2 Bytes  [0B, 5F]
.text          C:\WINDOWS\system32\wdfmgr.exe[824] kernel32.dll!LoadLibraryExW + C4                          7C801BB9 4 Bytes  CALL 00A50001
.text          C:\WINDOWS\system32\wdfmgr.exe[824] kernel32.dll!Process32Next                                7C8650C8 6 Bytes  JMP 5F070F5A
.text          C:\WINDOWS\system32\Ati2evxx.exe[876] ntdll.dll!NtTerminateProcess                            7C91DE6E 3 Bytes  [FF, 25, 1E]
.text          C:\WINDOWS\system32\Ati2evxx.exe[876] ntdll.dll!NtTerminateProcess + 4                        7C91DE72 2 Bytes  [0E, 5F] {PUSH CS; POP EDI}
.text          C:\WINDOWS\system32\Ati2evxx.exe[876] kernel32.dll!LoadLibraryExW + C4                        7C801BB9 4 Bytes  CALL 00D50001
.text          C:\WINDOWS\system32\Ati2evxx.exe[876] kernel32.dll!Process32Next                              7C8650C8 6 Bytes  JMP 5F070F5A
.text          C:\WINDOWS\system32\Ati2evxx.exe[876] PSAPI.DLL!EnumProcesses                                  76BB3A76 6 Bytes  JMP 5F0A0F5A
.text          C:\WINDOWS\system32\winlogon.exe[952] ntdll.dll!NtTerminateProcess                            7C91DE6E 3 Bytes  [FF, 25, 1E]
.text          C:\WINDOWS\system32\winlogon.exe[952] ntdll.dll!NtTerminateProcess + 4                        7C91DE72 2 Bytes  [26, 5F]
.text          C:\WINDOWS\system32\winlogon.exe[952] kernel32.dll!LoadLibraryExW + C4                        7C801BB9 4 Bytes  CALL 00FC0001
.text          C:\WINDOWS\system32\winlogon.exe[952] kernel32.dll!Process32Next                              7C8650C8 6 Bytes  JMP 5F1F0F5A
.text          C:\WINDOWS\system32\winlogon.exe[952] PSAPI.DLL!EnumProcesses                                  76BB3A76 6 Bytes  JMP 5F220F5A
.text          C:\WINDOWS\system32\services.exe[996] ntdll.dll!NtTerminateProcess                            7C91DE6E 3 Bytes  [FF, 25, 1E]
.text          C:\WINDOWS\system32\services.exe[996] ntdll.dll!NtTerminateProcess + 4                        7C91DE72 2 Bytes  [0E, 5F] {PUSH CS; POP EDI}
.text          C:\WINDOWS\system32\services.exe[996] kernel32.dll!LoadLibraryExW + C4                        7C801BB9 4 Bytes  CALL 00900001
.text          C:\WINDOWS\system32\services.exe[996] kernel32.dll!Process32Next                              7C8650C8 6 Bytes  JMP 5F070F5A
.text          C:\WINDOWS\system32\services.exe[996] PSAPI.DLL!EnumProcesses                                  76BB3A76 6 Bytes  JMP 5F0A0F5A
.text          C:\WINDOWS\system32\lsass.exe[1008] ntdll.dll!NtTerminateProcess                              7C91DE6E 3 Bytes  [FF, 25, 1E]
.text          C:\WINDOWS\system32\lsass.exe[1008] ntdll.dll!NtTerminateProcess + 4                          7C91DE72 2 Bytes  [0B, 5F]
.text          C:\WINDOWS\system32\lsass.exe[1008] kernel32.dll!LoadLibraryExW + C4                          7C801BB9 4 Bytes  CALL 00CB0001
.text          C:\WINDOWS\system32\lsass.exe[1008] kernel32.dll!Process32Next                                7C8650C8 6 Bytes  JMP 5F070F5A
.text          C:\WINDOWS\system32\Ati2evxx.exe[1188] ntdll.dll!NtTerminateProcess                            7C91DE6E 3 Bytes  [FF, 25, 1E]
.text          C:\WINDOWS\system32\Ati2evxx.exe[1188] ntdll.dll!NtTerminateProcess + 4                        7C91DE72 2 Bytes  [0E, 5F] {PUSH CS; POP EDI}
.text          C:\WINDOWS\system32\Ati2evxx.exe[1188] kernel32.dll!LoadLibraryExW + C4                        7C801BB9 4 Bytes  CALL 01000001
.text          C:\WINDOWS\system32\Ati2evxx.exe[1188] kernel32.dll!Process32Next                              7C8650C8 6 Bytes  JMP 5F070F5A
.text          C:\WINDOWS\system32\Ati2evxx.exe[1188] PSAPI.DLL!EnumProcesses                                76BB3A76 6 Bytes  JMP 5F0A0F5A
.text          C:\WINDOWS\system32\svchost.exe[1208] ntdll.dll!NtTerminateProcess                            7C91DE6E 3 Bytes  [FF, 25, 1E]
.text          C:\WINDOWS\system32\svchost.exe[1208] ntdll.dll!NtTerminateProcess + 4                        7C91DE72 2 Bytes  [0B, 5F]
.text          C:\WINDOWS\system32\svchost.exe[1208] kernel32.dll!LoadLibraryExW + C4                        7C801BB9 4 Bytes  CALL 00FE0001
.text          C:\WINDOWS\system32\svchost.exe[1208] kernel32.dll!Process32Next                              7C8650C8 6 Bytes  JMP 5F070F5A
.text          C:\WINDOWS\system32\svchost.exe[1276] ntdll.dll!NtTerminateProcess                            7C91DE6E 3 Bytes  [FF, 25, 1E]
.text          C:\WINDOWS\system32\svchost.exe[1276] ntdll.dll!NtTerminateProcess + 4                        7C91DE72 2 Bytes  [0B, 5F]
.text          C:\WINDOWS\system32\svchost.exe[1276] kernel32.dll!LoadLibraryExW + C4                        7C801BB9 4 Bytes  CALL 00ED0001
.text          C:\WINDOWS\system32\svchost.exe[1276] kernel32.dll!Process32Next                              7C8650C8 6 Bytes  JMP 5F070F5A
.text          C:\WINDOWS\System32\svchost.exe[1452] ntdll.dll!NtTerminateProcess                            7C91DE6E 3 Bytes  [FF, 25, 1E]
.text          C:\WINDOWS\System32\svchost.exe[1452] ntdll.dll!NtTerminateProcess + 4                        7C91DE72 2 Bytes  [26, 5F]
.text          C:\WINDOWS\System32\svchost.exe[1452] kernel32.dll!LoadLibraryExW + C4                        7C801BB9 4 Bytes  CALL 03CB0001
.text          C:\WINDOWS\System32\svchost.exe[1452] kernel32.dll!Process32Next                              7C8650C8 6 Bytes  JMP 5F1F0F5A
.text          C:\WINDOWS\System32\svchost.exe[1452] PSAPI.DLL!EnumProcesses                                  76BB3A76 6 Bytes  JMP 5F220F5A
.text          C:\WINDOWS\system32\svchost.exe[1560] ntdll.dll!NtTerminateProcess                            7C91DE6E 3 Bytes  [FF, 25, 1E]
.text          C:\WINDOWS\system32\svchost.exe[1560] ntdll.dll!NtTerminateProcess + 4                        7C91DE72 2 Bytes  [0B, 5F]
.text          C:\WINDOWS\system32\svchost.exe[1560] kernel32.dll!LoadLibraryExW + C4                        7C801BB9 4 Bytes  CALL 00B50001
.text          C:\WINDOWS\system32\svchost.exe[1560] kernel32.dll!Process32Next                              7C8650C8 6 Bytes  JMP 5F070F5A
.text          C:\Programme\Analog Devices\Core\smax4pnp.exe[1740] ntdll.dll!NtTerminateProcess              7C91DE6E 3 Bytes  [FF, 25, 1E]
.text          C:\Programme\Analog Devices\Core\smax4pnp.exe[1740] ntdll.dll!NtTerminateProcess + 4          7C91DE72 2 Bytes  [0B, 5F]
.text          C:\Programme\Analog Devices\Core\smax4pnp.exe[1740] kernel32.dll!LoadLibraryExW + C4          7C801BB9 4 Bytes  CALL 01630001
.text          C:\Programme\Analog Devices\Core\smax4pnp.exe[1740] kernel32.dll!Process32Next                7C8650C8 6 Bytes  JMP 5F070F5A
.text          C:\WINDOWS\system32\svchost.exe[1744] ntdll.dll!NtTerminateProcess                            7C91DE6E 3 Bytes  [FF, 25, 1E]
.text          C:\WINDOWS\system32\svchost.exe[1744] ntdll.dll!NtTerminateProcess + 4                        7C91DE72 2 Bytes  [0B, 5F]
.text          C:\WINDOWS\system32\svchost.exe[1744] kernel32.dll!LoadLibraryExW + C4                        7C801BB9 4 Bytes  CALL 00EB0001
.text          C:\WINDOWS\system32\svchost.exe[1744] kernel32.dll!Process32Next                              7C8650C8 6 Bytes  JMP 5F070F5A
.text          C:\WINDOWS\system32\spoolsv.exe[1916] ntdll.dll!NtTerminateProcess                            7C91DE6E 3 Bytes  [FF, 25, 1E]
.text          C:\WINDOWS\system32\spoolsv.exe[1916] ntdll.dll!NtTerminateProcess + 4                        7C91DE72 2 Bytes  [0B, 5F]
.text          C:\WINDOWS\system32\spoolsv.exe[1916] kernel32.dll!LoadLibraryExW + C4                        7C801BB9 4 Bytes  CALL 01FF0001
.text          C:\WINDOWS\system32\spoolsv.exe[1916] kernel32.dll!Process32Next                              7C8650C8 6 Bytes  JMP 5F070F5A
.text          C:\WINDOWS\eHome\ehmsas.exe[2196] ntdll.dll!NtTerminateProcess                                7C91DE6E 3 Bytes  [FF, 25, 1E]
.text          C:\WINDOWS\eHome\ehmsas.exe[2196] ntdll.dll!NtTerminateProcess + 4                            7C91DE72 2 Bytes  [0B, 5F]
.text          C:\WINDOWS\eHome\ehmsas.exe[2196] kernel32.dll!LoadLibraryExW + C4                            7C801BB9 4 Bytes  CALL 01010001
.text          C:\WINDOWS\eHome\ehmsas.exe[2196] kernel32.dll!Process32Next                                  7C8650C8 6 Bytes  JMP 5F070F5A
.text          C:\WINDOWS\ehome\ehtray.exe[2936] ntdll.dll!NtTerminateProcess                                7C91DE6E 3 Bytes  [FF, 25, 1E]
.text          C:\WINDOWS\ehome\ehtray.exe[2936] ntdll.dll!NtTerminateProcess + 4                            7C91DE72 2 Bytes  [0B, 5F]
.text          C:\WINDOWS\ehome\ehtray.exe[2936] kernel32.dll!LoadLibraryExW + C4                            7C801BB9 4 Bytes  CALL 01BC0001
.text          C:\WINDOWS\ehome\ehtray.exe[2936] kernel32.dll!Process32Next                                  7C8650C8 6 Bytes  JMP 5F070F5A
.text          C:\WINDOWS\system32\wscntfy.exe[3284] ntdll.dll!NtTerminateProcess                            7C91DE6E 3 Bytes  [FF, 25, 1E]
.text          C:\WINDOWS\system32\wscntfy.exe[3284] ntdll.dll!NtTerminateProcess + 4                        7C91DE72 2 Bytes  [0B, 5F]
.text          C:\WINDOWS\system32\wscntfy.exe[3284] kernel32.dll!LoadLibraryExW + C4                        7C801BB9 4 Bytes  CALL 008F0001
.text          C:\WINDOWS\system32\wscntfy.exe[3284] kernel32.dll!Process32Next                              7C8650C8 6 Bytes  JMP 5F070F5A
.text          C:\WINDOWS\system32\wbem\wmiapsrv.exe[3716] ntdll.dll!NtTerminateProcess                      7C91DE6E 3 Bytes  [FF, 25, 1E]
.text          C:\WINDOWS\system32\wbem\wmiapsrv.exe[3716] ntdll.dll!NtTerminateProcess + 4                  7C91DE72 2 Bytes  [0E, 5F] {PUSH CS; POP EDI}
.text          C:\WINDOWS\system32\wbem\wmiapsrv.exe[3716] kernel32.dll!LoadLibraryExW + C4                  7C801BB9 4 Bytes  CALL 00EC0001
.text          C:\WINDOWS\system32\wbem\wmiapsrv.exe[3716] kernel32.dll!Process32Next                        7C8650C8 6 Bytes  JMP 5F070F5A
.text          C:\WINDOWS\system32\wbem\wmiapsrv.exe[3716] PSAPI.DLL!EnumProcesses                            76BB3A76 6 Bytes  JMP 5F0A0F5A
.text          C:\WINDOWS\Explorer.EXE[3956] ntdll.dll!NtTerminateProcess                                    7C91DE6E 3 Bytes  [FF, 25, 1E]
.text          C:\WINDOWS\Explorer.EXE[3956] ntdll.dll!NtTerminateProcess + 4                                7C91DE72 2 Bytes  [0B, 5F]
.text          C:\WINDOWS\Explorer.EXE[3956] kernel32.dll!LoadLibraryExW + C4                                7C801BB9 4 Bytes  CALL 02900001
.text          C:\WINDOWS\Explorer.EXE[3956] kernel32.dll!Process32Next                                      7C8650C8 6 Bytes  JMP 5F070F5A
.text          C:\WINDOWS\System32\alg.exe[4004] ntdll.dll!NtTerminateProcess                                7C91DE6E 3 Bytes  [FF, 25, 1E]
.text          C:\WINDOWS\System32\alg.exe[4004] ntdll.dll!NtTerminateProcess + 4                            7C91DE72 2 Bytes  [0B, 5F]
.text          C:\WINDOWS\System32\alg.exe[4004] kernel32.dll!LoadLibraryExW + C4                            7C801BB9 4 Bytes  CALL 00D50001
.text          C:\WINDOWS\System32\alg.exe[4004] kernel32.dll!Process32Next                                  7C8650C8 6 Bytes  JMP 5F070F5A

---- Devices - GMER 1.0.15 ----

Device          \Driver\DFInjDrv \Device\DFInjDrv                                                              DFInjDrv32.sys

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                      SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                      SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                      SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                    SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device          \Driver\NdisTapi \Device\NdisTapi                                                              DFSYS.SYS (T-Home Dialerschutz Kernelmode Hook/T-Systems International GmbH)

---- Processes - GMER 1.0.15 ----

Process        C:\Programme\T-Home\Dialerschutz-Software\Defender.exe (*** hidden *** )                      1260                                                                         

---- Files - GMER 1.0.15 ----

File            C:\Dokumente und Einstellungen\Admin\My Private Folder\prvflder.dat                            512 bytes
File            C:\Dokumente und Einstellungen\J***.J***-885F76B0\My Private Folder\Desktop.ini            63 bytes
File            C:\Dokumente und Einstellungen\J***.J***-885F76B0\My Private Folder\prvflder.dat          512 bytes
File            C:\Dokumente und Einstellungen\J***.J***-885F76B0\My Private Folder\Sex                    0 bytes
File            C:\Dokumente und Einstellungen\J***.J***-885F76B0\My Private Folder\Sex\smoke.jpeg        354901 bytes
File            C:\Dokumente und Einstellungen\J***.J***-885F76B0\My Private Folder\Sex\smoke.jpeg.$e_    1024 bytes

---- EOF - GMER 1.0.15 ----

Das Log von OSAM:

Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 15:06:32 on 26.03.2012

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 10.0.2

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"%USB\vid_054c&pid_0155.DeviceDesc%" (ovt519) - "OmniVision Technologies, Inc." - C:\WINDOWS\System32\Drivers\ov519vid.sys
"AFS2k" (AFS2K) - "Oak Technology Inc." - C:\WINDOWS\system32\drivers\AFS2K.sys
"afwoafob" (afwoafob) - ? - C:\DOKUME~1\Admin\LOKALE~1\Temp\afwoafob.sys  (Hidden registry entry, rootkit activity | File not found)
"aswMBR" (aswMBR) - ? - C:\DOKUME~1\Admin\LOKALE~1\Temp\aswMBR.sys  (Hidden registry entry, rootkit activity | File not found)
"ati2mtag" (ati2mtag) - "ATI Technologies Inc." - C:\WINDOWS\System32\DRIVERS\ati2mtag.sys
"BHDrvx86" (BHDrvx86) - "Symantec Corporation" - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_5.0.0.125\Definitions\BASHDefs\20120317.002\BHDrvx86.sys
"catchme" (catchme) - ? - C:\DOKUME~1\Admin\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"EraserUtilRebootDrv" (EraserUtilRebootDrv) - "Symantec Corporation" - C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys
"GEAR ASPI Filter Driver" (GEARAspiWDM) - "GEAR Software Inc." - C:\WINDOWS\System32\DRIVERS\GEARAspiWDM.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"IDSxpx86" (IDSxpx86) - "Symantec Corporation" - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_5.0.0.125\Definitions\IPSDefs\20120324.004\IDSxpx86.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"MHN-Treiber" (MHNDRV) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\mhndrv.sys
"NAVENG" (NAVENG) - "Symantec Corporation" - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_5.0.0.125\Definitions\VirusDefs\20120326.019\NAVENG.SYS
"NAVEX15" (NAVEX15) - "Symantec Corporation" - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_5.0.0.125\Definitions\VirusDefs\20120326.019\NAVEX15.SYS
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"regi" (regi) - "InterVideo" - C:\WINDOWS\system32\drivers\regi.sys
"SANDRA" (SANDRA) - ? - C:\Programme\SiSoftware\SiSoftware Sandra Lite (Testversion) 2012\WNt500x86\Sandra.sys  (File not found)
"Symantec Data Store" (SymDS) - "Symantec Corporation" - C:\WINDOWS\System32\drivers\N360\0502000.00D\SYMDS.SYS
"Symantec Eraser Control driver" (eeCtrl) - "Symantec Corporation" - C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys
"Symantec Extended File Attributes" (SymEFA) - "Symantec Corporation" - C:\WINDOWS\System32\drivers\N360\0502000.00D\SYMEFA.SYS
"Symantec Iron Driver" (SymIRON) - "Symantec Corporation" - C:\WINDOWS\system32\drivers\N360\0502000.00D\Ironx86.SYS
"Symantec Network Dispatch Driver" (SYMTDI) - "Symantec Corporation" - C:\WINDOWS\System32\Drivers\N360\0502000.00D\SYMTDI.SYS
"Symantec Real Time Storage Protection" (SRTSP) - "Symantec Corporation" - C:\WINDOWS\System32\Drivers\N360\0502000.00D\SRTSP.SYS
"Symantec Real Time Storage Protection (PEL)" (SRTSPX) - "Symantec Corporation" - C:\WINDOWS\system32\drivers\N360\0502000.00D\SRTSPX.SYS
"SymEvent" (SymEvent) - "Symantec Corporation" - C:\WINDOWS\system32\Drivers\SYMEVENT.SYS
"T-Home Dialerschutz Hooking Treiber" (DFSYS) - "T-Systems International GmbH" - C:\Programme\T-Home\Dialerschutz-Software\DFSYS.SYS
"T-Home Dialerschutz VoIP Service" (SipIMNDI) - "T-Systems International GmbH" - C:\WINDOWS\System32\DRIVERS\SipIMNDI.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
"WpdUsb" (WpdUsb) - "Microsoft Corporation" - C:\WINDOWS\System32\Drivers\wpdusb.sys

[Explorer]
-----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
>{22d6f312-b0f6-11d0-94ab-0080c74c7e95} "Microsoft Windows Media Player" - "Microsoft Corporation" - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{12D51199-0DB5-46FE-A120-47A3D7D937CC} "DVD: Pluggable Protocol" - "Microsoft Corporation" - C:\WINDOWS\system32\msvidctl.dll
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
{91774881-D725-4E58-B298-07617B9B86A8} "Skype IE add-on Pluggable Protocol" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
{CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} "TV: Pluggable Protocol" - "Microsoft Corporation" - C:\WINDOWS\system32\msvidctl.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? -  (File not found | COM-object registry key not found)
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -  (File not found | COM-object registry key not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -  (File not found | COM-object registry key not found)
{78237F62-8EC8-438C-83B0-1DECB4303076} "My Private Folder" - "Microsoft Corporation" - C:\Programme\Microsoft Private Folder 1.0\ShellExt.dll
{B0FAF2DA-13EA-41CA-A62F-850DC01D1C01} "My Private Folder" - "Microsoft Corporation" - C:\Programme\Microsoft Private Folder 1.0\ShellExt.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL
{640167b4-59b0-47a6-b335-a6b3c0695aea} "Portable Media Devices" - "Microsoft Corporation" - C:\WINDOWS\system32\audiodev.dll
{cc86590a-b60a-48e6-996b-41d25ed39a1e} "Portable Media Devices Menu" - "Microsoft Corporation" - C:\WINDOWS\system32\audiodev.dll
{3B153CB3-A551-4fe6-A68B-F5C96650FF39} "Private Folder" - "Microsoft Corporation" - C:\Programme\Microsoft Private Folder 1.0\ShellExt.dll
{A02DEEEB-DD87-4a4f-8F2E-B633A59BA18A} "Private Folder" - "Microsoft Corporation" - C:\Programme\Microsoft Private Folder 1.0\ShellExt.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -  (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll
{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD} "WMP Add To Playlist Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll
{8DD448E6-C188-4aed-AF92-44956194EB1F} "WMP Burn Audio CD Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll
{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C} "WMP Play As Playlist Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -  (File not found | COM-object registry key not found)
<binary data> "Norton Toolbar" - "Symantec Corporation" - C:\Programme\Norton 360\Engine\5.2.0.13\coIEPlg.dll
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{0D41B8C5-2599-4893-8183-00195EC8D5F9} "asusTek_sysctrl Class" - ? - C:\WINDOWS\DOWNLO~1\ASUSTE~1.DLL / hxxp://support.asus.de/common/asusTek_sys_ctrl.cab
{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "Java Plug-in 1.6.0_07" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_29" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_29.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} "Java Plug-in 1.6.0_29" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_29.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_29" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_29.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"ICQ7.7" - "ICQ, LLC." - C:\Programme\ICQ7.7\ICQ.exe
{898EA8C8-E7FF-479B-8935-AEC46303B9E5} "Skype Click to Call" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} "Norton Toolbar" - "Symantec Corporation" - C:\Programme\Norton 360\Engine\5.2.0.13\coIEPlg.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{AE805869-2E5C-4ED4-8F7B-F1F7851A4497} "Skype Browser Helper" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
{6D53EC84-6AAE-4787-AEEE-F4628F01010C} "Symantec Intrusion Prevention" - "Symantec Corporation" - C:\Programme\Norton 360\Engine\5.2.0.13\IPS\IPSBHO.DLL
{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} "Symantec NCO BHO" - "Symantec Corporation" - C:\Programme\Norton 360\Engine\5.2.0.13\coIEPlg.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Zubehör\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Zubehör\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"Skype" - "Skype Technologies S.A." - "C:\Programme\Skype\Phone\Skype.exe" /minimized /regrun
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"T-Home Dialerschutz-Software" - "T-Systems International GmbH" - "C:\Programme\T-Home\Dialerschutz-Software\Defender.exe"

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Ati HotKey Poller" (Ati HotKey Poller) - "ATI Technologies Inc." - C:\WINDOWS\system32\Ati2evxx.exe
"ATI Smart" (ATI Smart) - ? - C:\WINDOWS\system32\ati2sgag.exe  (File not found)
"Dienst für Seriennummern der tragbaren Medien" (WmdmPmSN) - "Microsoft Corporation" - C:\WINDOWS\system32\mspmsnsv.dll
"hpdj" (hpdj) - ? - C:\DOKUME~1\Admin\LOKALE~1\Temp\hpdj.exe -servicerunning=true -uninstall=hp deskjet 5100 series -product=  (File not found)
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"MHN" (MHN) - "Microsoft Corporation" - C:\WINDOWS\System32\mhn.dll
"Norton 360" (N360) - "Symantec Corporation" - C:\Programme\Norton 360\Engine\5.2.0.13\ccSvcHst.exe
"Private Folder Service" (prfldsvc) - ? - C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe  (File found, but it contains no detailed information)
"Skype Updater" (SkypeUpdate) - "Skype Technologies" - C:\Programme\Skype\Updater\Updater.exe
"T-Home Dialerschutz Dienst" (DFSVC) - "T-Systems International GmbH" - C:\Programme\T-Home\Dialerschutz-Software\DFInject.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
"Windows User Mode Driver Framework" (UMWdf) - "Microsoft Corporation" - C:\WINDOWS\system32\wdfmgr.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"AtiExtEvent" - "ATI Technologies Inc." - C:\WINDOWS\system32\Ati2evxx.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Das Log von aswMBR.exe:

Code:
aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-03-26 14:31:24
-----------------------------
14:31:24.953    OS Version: Windows 5.1.2600 Service Pack 3
14:31:24.953    Number of processors: 2 586 0xF06
14:31:24.953    ComputerName: J***-885F76B0  UserName: Admin
14:31:26.484    Initialize success
14:32:14.578    AVAST engine defs: 12032700
14:32:17.796    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-7
14:32:17.796    Disk 0 Vendor: WDC_WD2500JS-22NCB1 10.02E02 Size: 238475MB BusType: 3
14:32:17.859    Disk 0 MBR read successfully
14:32:17.859    Disk 0 MBR scan
14:32:17.890    Disk 0 Windows XP default MBR code
14:32:17.890    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS      238464 MB offset 63
14:32:17.906    Disk 0 scanning sectors +488376000
14:32:18.125    Disk 0 scanning C:\WINDOWS\system32\drivers
14:32:54.984    Service scanning
14:33:09.046    Modules scanning
14:33:45.406    Disk 0 trace - called modules:
14:33:45.437    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
14:33:45.453    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86774ab8]
14:33:45.453    3 CLASSPNP.SYS[f7670fd7] -> nt!IofCallDriver -> \Device\00000077[0x86730f18]
14:33:45.453    5 ACPI.sys[f74e6620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-7[0x866f1d98]
14:33:45.953    AVAST engine scan C:\WINDOWS
14:34:13.328    AVAST engine scan C:\WINDOWS\system32
14:38:12.437    AVAST engine scan C:\WINDOWS\system32\drivers
14:38:43.593    AVAST engine scan C:\Dokumente und Einstellungen\Admin
14:40:04.656    File: C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\temp\_av4_\data\aswar0.dll  **INFECTED** Win32:Malware-gen
14:40:05.968    File: C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\temp\_av4_\data\updldr0.bin  **INFECTED** Win32:Malware-gen
14:40:24.437    AVAST engine scan C:\Dokumente und Einstellungen\All Users
14:41:27.906    Scan finished successfully
14:47:01.109    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Admin\Desktop\MBR.dat"
14:47:01.109    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Admin\Desktop\aswMBR.txt"
Was kann man bisher aus den Scans ablesen? Ist mein Pc noch von dem Anfangsvirus oder generell infiziert? :)

cosinus 27.03.2012 14:34
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Fly564 02.04.2012 14:26
Ok, dann hoffe ich, dass diese Logs bestätigen, dass mein Pc jetzt Virenfrei ist :)

Das Log von Malwarebytes:

Code:
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.04.01.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Admin :: J***-885F76B0 [Administrator]

01.04.2012 14:00:30
Malware

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 326066
Laufzeit: 1 Stunde(n), 8 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
I:\System Volume Information\_restore{74B64487-D0E7-41A3-8889-4BB75FFE3E95}\RP82\A0013322.exe (Malware.Gen) -> Keine Aktion durchgeführt.

(Ende)
Das Log von SUPER-Antispyware:

Code:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 04/01/2012 at 06:12 AM

Application Version : 5.0.1146

Core Rules Database Version : 8402
Trace Rules Database Version: 6214

Scan type      : Complete Scan
Total Scan Time : 05:09:31

Operating System Information
Windows XP Professional 32-bit, Service Pack 3 (Build 5.01.2600)
Administrator

Memory items scanned      : 513
Memory threats detected  : 0
Registry items scanned    : 33616
Registry threats detected : 0
File items scanned        : 54999
File threats detected    : 3

PotentiallyUnwanted.SoftonicDownloader
        E:\SYSTEM VOLUME INFORMATION\_RESTORE{74B64487-D0E7-41A3-8889-4BB75FFE3E95}\RP78\A0012853.EXE

Adware.Tracking Cookie
        media.mtvnservices.com [ C:\DOKUMENTE UND EINSTELLUNGEN\ADMIN\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\TVJTCD27 ]
        media.mtvnservices.com [ C:\DOKUMENTE UND EINSTELLUNGEN\J***.J***-885F76B0\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\HHGSGVAJ ]

cosinus 02.04.2012 14:42
Sieht ok aus, da wurden nur Cookies gefunden. Und Überreste in der SWH (*)
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?


-----
(*) In System Volume Information sind die Dateien für Wiederherstellungspunkte gespeichert.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Fly564 02.04.2012 16:47
Ok, andere Probleme gibt es bisher nicht. Also viele Dank vür die Hilfe! :)

cosinus 02.04.2012 19:50
Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.


Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:

Adobe - Andere Version des Adobe Flash Player installieren

Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:37 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131