Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Spam Abuse Email von T-Online - Vieleicht ein Virus eingefangen? (https://www.trojaner-board.de/86492-spam-abuse-email-t-online-vieleicht-virus-eingefangen.html)

BIOTEC 27.05.2010 13:47
Spam Abuse Email von T-Online - Vieleicht ein Virus eingefangen?
 
Hallo liebes Board und liebe Board Profis...

Ich habe heute eine Spam Abuse Email von meinem Provider T-Online bekommen, das über mein Email Postfach Spam verschickt würde!

Ich kann das aber beim besten willen nicht nachvollziehen, da ich dieses Email Konto ausschliesslich nur zum Empfang meiner Rechnung benutze und sonst keinen Zugriff drauf mache. Email verschicke ich nur über gmx und googlemail!

Natürlich hab ich mir dann zuerst mal alles angeguckt und auch nen Scan mit meinem Norton IS 2010 gemacht, was aber erfolglos blieb. Keine Auffälligkeiten zu erkennen!

Dann hab ich mal einen Scan mit HiJackThis gemacht:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:46:44, on 27.05.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\ANIWConnService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Norton Internet Security\Engine\17.7.0.12\ccSvcHst.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\OO Software\Defrag\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\Tunngle\TnglCtrl.exe
C:\Programme\Common Files\VMware\USB\vmware-usbarbitrator.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Norton Internet Security\Engine\17.7.0.12\ccSvcHst.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\D-Link\DWL-G122_DWA-110\AirGCFG.exe
C:\Programme\Silvercrest MTS2118 driver\StartAutorun.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Silvercrest MTS2118 driver\KMConfig.exe
C:\Programme\Silvercrest MTS2118 driver\KMProcess.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox 3 Beta 3\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wieistmeineip.de/start/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\OrbitDownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton Internet Security\Engine\17.7.0.12\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton Internet Security\Engine\17.7.0.12\IPSBHO.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\OrbitDownloader\GrabPro.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Engine\17.7.0.12\coIEPlg.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [D-Link D-Link Wireless G DWL-G122_DWA-110] C:\Programme\D-Link\DWL-G122_DWA-110\AirGCFG.exe
O4 - HKLM\..\Run: [KMCONFIG] C:\Programme\Silvercrest MTS2118 driver\StartAutorun.exe KMConfig.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\OrbitDownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\OrbitDownloader\orbitmxt.dll/204
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Do&wnload by ReGet Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\OrbitDownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\OrbitDownloader\orbitmxt.dll/202
O8 - Extra context menu item: Download A&ll by ReGet Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware workstation\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware workstation\vsocklib.dll
O15 - Trusted Zone: *.windowsupdate.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1248091877062
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: ANIWConn Service (ANIWConnService) - Unknown owner - C:\WINDOWS\system32\ANIWConnService.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: HDD Information Service (HDDSvc) - Unknown owner - P:\Neuer Ordner\HDInspectorPortable\App\HDInspector\HDDSvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NIHardwareService - Unknown owner - C:\Programme\Gemeinsame Dateien\Native Instruments\Hardware\NIHardwareService.exe (file missing)
O23 - Service: Norton Internet Security (NIS) - Symantec Corporation - C:\Programme\Norton Internet Security\Engine\17.7.0.12\ccSvcHst.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Programme\OO Software\Defrag\oodag.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: TunngleService - Tunngle.net GmbH - C:\Programme\Tunngle\TnglCtrl.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware USB Arbitration Service (VMUSBArbService) - VMware, Inc. - C:\Programme\Common Files\VMware\USB\vmware-usbarbitrator.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

--
End of file - 9042 bytes
Ausserdem hier noch das MBAM Log:

Code:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4147

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

27.05.2010 14:35:05
mbam-log-2010-05-27 (14-35-05).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 206883
Laufzeit: 31 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Project64 1.6\MSVCP60D.DLL (Malware.Packer.Gen) -> No action taken.
C:\Programme\Project64 1.6\msvcrtd.dll (Malware.Packer.Gen) -> No action taken.
Die beiden letzten Dateien sind vom Nintendo 64 Emulator. Habe die auch noch über VirusTotal laufen lassen:

Virustotal. MD5: e85a84d98b5d14bd4ae6b6b668296c9d Artemis!E85A84D98B5D Medium Risk Malware

Virustotal. MD5: c2497ed2ee0b3be0bd2c936fd9130d1a Artemis!C2497ED2EE0B

Scheinen beide aber unauffällig zu sein!

OTL hab ich auch versucht, aber der bleibt bei mir bei dem Scannen der Registry Werte Internet Explorer hängen und macht nix mehr.

Könnt ihr anhand der obigen Logs vieleicht was erkennen, was ich da übersehen habe?

Gruss BIOTEC

raman 27.05.2010 13:54
Nutz bitte einmal Gmer und poste den Report. Denke daran vorher Norton zu deaktivieren. Wie sieht es bei dir aus mit Wlan? Wenn du es nutzt, ist es genuegend gesichert? ISt nur ein Rechner an dem Anschluss vorhanden?

BIOTEC 27.05.2010 14:50
Hallo Raman!

Also das WLAN sollte gut gesichert sein...WPA2...ist ein Speedport DSL Router! Ich werde mal das Original WLAN Passwort (Ewig lange Kette von Zahlen) mal in was anderes ändern. Aber ich glaub nicht dran, das in unserem kaff da jemand genug Skill für hätte, da was dran zu rütteln, ausserdem würde ich das ja an den Routerlogs (In/Out) sehen, wenn sich da jemand anderes ausser unseren 2 MACs einloggen tut! Aber man weiss ja nie!

Meine Freundin nutzt das WLAN auch noch mit ihrem Laptop, aber die ist ganz selten mal Online und wenn dann meinsten nur kurz auf WKW (Social Networks). Downloaden tut sie nichts!

Hab jetzt mal GMER laufen lassen und ich muss sagen ich könnt :pukeface:!

Da hab ich doch tatsächlich 2 Treiber drauf, die da echt nicht ins System gehören könnten...siehe GMER Log...oder seh ich das Falsch?
Hab schon im Driver Ordner nachgeguckt...Ordner Optionen hab ich auch auf "ALL SEEING EYE"...^^, aber ich kann diese treiber nirgends sehen oder finden!

Noch was...die Systemwiederherstellung ist schon ewig abgeschaltet, weil ich den Platz dazu nicht hatte, deshalb nehm ich mal von Combofix abstand, weil, wenn der mir da was am System verhaut, dann komm ich nicht mehr an meine Daten ran. Hatte ich schon paar mal bei Tests mit VMWare...nur wenns wirklich nötig ist würde ich auch Combofix laufen lassen und die Wiederherstellung aktivieren!

Und hier kommt das GMER log:

GMER Logfile:
Code:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-05-27 15:49:54
Windows 5.1.2600 Service Pack 3
Running: fh6n7jvh.exe; Driver: C:\DOKUME~1\BIOTEC\LOKALE~1\Temp\kwroyfoc.sys


---- System - GMER 1.0.15 ----

SSDT            86C8E7C0                                                                                                              ZwAlertResumeThread
SSDT            86C8D8E0                                                                                                              ZwAlertThread
SSDT            86A399C8                                                                                                              ZwAllocateVirtualMemory
SSDT            86CB78E0                                                                                                              ZwAssignProcessToJobObject
SSDT            86FFF558                                                                                                              ZwConnectPort
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                            ZwCreateKey [0xF40F1210]
SSDT            86DCE730                                                                                                              ZwCreateMutant
SSDT            86EFBAF8                                                                                                              ZwCreateSymbolicLinkObject
SSDT            86EF3BE0                                                                                                              ZwCreateThread
SSDT            86D62CD0                                                                                                              ZwDebugActiveProcess
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                            ZwDeleteKey [0xF40F1490]
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                            ZwDeleteValueKey [0xF40F19F0]
SSDT            86A39B20                                                                                                              ZwDuplicateObject
SSDT            sprc.sys                                                                                                              ZwEnumerateKey [0xF7375DA4]
SSDT            sprc.sys                                                                                                              ZwEnumerateValueKey [0xF7376132]
SSDT            86E27EB0                                                                                                              ZwFreeVirtualMemory
SSDT            86F147D8                                                                                                              ZwImpersonateAnonymousToken
SSDT            86C9A420                                                                                                              ZwImpersonateThread
SSDT            86F1EA30                                                                                                              ZwLoadDriver
SSDT            86F3D218                                                                                                              ZwMapViewOfSection
SSDT            86E653F0                                                                                                              ZwOpenEvent
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                            ZwOpenKey [0xF40F17A0]
SSDT            86D38F80                                                                                                              ZwOpenProcess
SSDT            86F066A8                                                                                                              ZwOpenProcessToken
SSDT            86D4B908                                                                                                              ZwOpenSection
SSDT            86D38EB0                                                                                                              ZwOpenThread
SSDT            86130CA8                                                                                                              ZwProtectVirtualMemory
SSDT            sprc.sys                                                                                                              ZwQueryKey [0xF737620A]
SSDT            sprc.sys                                                                                                              ZwQueryValueKey [0xF737608A]
SSDT            86CD1CA8                                                                                                              ZwResumeThread
SSDT            86D6B608                                                                                                              ZwSetContextThread
SSDT            86137B60                                                                                                              ZwSetInformationProcess
SSDT            86CB73F8                                                                                                              ZwSetSystemInformation
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                            ZwSetValueKey [0xF40F1C40]
SSDT            86D3D908                                                                                                              ZwSuspendProcess
SSDT            86C8ECA8                                                                                                              ZwSuspendThread
SSDT            86D10218                                                                                                              ZwTerminateProcess
SSDT            86CB43F8                                                                                                              ZwTerminateThread
SSDT            86CEBCD0                                                                                                              ZwUnmapViewOfSection
SSDT            86E27F80                                                                                                              ZwWriteVirtualMemory

INT 0x62        ?                                                                                                                    8716CBF8
INT 0x63        ?                                                                                                                    86F65CD0
INT 0x63        ?                                                                                                                    86F65CD0
INT 0x63        ?                                                                                                                    86F65CD0
INT 0x63        ?                                                                                                                    86F65CD0
INT 0x63        ?                                                                                                                    86F65CD0
INT 0x63        ?                                                                                                                    86F65CD0
INT 0x82        ?                                                                                                                    8716CBF8
INT 0x83        ?                                                                                                                    8716CBF8
INT 0xB1        ?                                                                                                                    871DABF8
INT 0xB1        ?                                                                                                                    871DABF8

---- Kernel code sections - GMER 1.0.15 ----

.text          ntkrnlpa.exe!ZwCallbackReturn + 24F0                                                                                  80501D28 4 Bytes  JMP C56886F1
?              sprc.sys                                                                                                              Das System kann die angegebene Datei nicht finden. !
?              SYMDS.SYS                                                                                                            Das System kann die angegebene Datei nicht finden. !
?              SYMEFA.SYS                                                                                                            Das System kann die angegebene Datei nicht finden. !
.text          C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                              section is writeable [0xF6582380, 0x2FF527, 0xE8000020]
.text          USBPORT.SYS!DllUnload                                                                                                F653F8AC 5 Bytes  JMP 86F652B0
.text          ai3uvyi6.SYS                                                                                                          F6490386 35 Bytes  [00, 00, 00, 00, 00, 00, 20, ...]
.text          ai3uvyi6.SYS                                                                                                          F64903AA 24 Bytes  [00, 00, 00, 00, 00, 00, 00, ...]
.text          ai3uvyi6.SYS                                                                                                          F64903C4 3 Bytes  [00, 70, 02] {ADD [EAX+0x2], DH}
.text          ai3uvyi6.SYS                                                                                                          F64903C9 1 Byte  [2E]
.text          ai3uvyi6.SYS                                                                                                          F64903C9 11 Bytes  [2E, 00, 00, 00, 5A, 02, 00, ...]
.text          ...                                                                                                                 
.text          a3wlp9mb.SYS                                                                                                          F6457386 35 Bytes  [00, 00, 00, 00, 00, 00, 20, ...]
.text          a3wlp9mb.SYS                                                                                                          F64573AA 24 Bytes  [00, 00, 00, 00, 00, 00, 00, ...]
.text          a3wlp9mb.SYS                                                                                                          F64573C4 3 Bytes  [00, 80, 02]
.text          a3wlp9mb.SYS                                                                                                          F64573C9 1 Byte  [30]
.text          a3wlp9mb.SYS                                                                                                          F64573C9 11 Bytes  [30, 00, 00, 00, 5E, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESI; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text          ...                                                                                                                 

---- User code sections - GMER 1.0.15 ----

.text          C:\Programme\Tunngle\TnglCtrl.exe[1364] ntdll.dll!DbgBreakPoint                                                      7C91120E 1 Byte  [90]
.text          C:\Programme\Mozilla Firefox 3 Beta 3\firefox.exe[3444] ntdll.dll!RtlValidateUnicodeString + 554                      7C9263BE 10 Bytes  JMP 0241003A
.text          C:\Programme\Mozilla Firefox 3 Beta 3\firefox.exe[3444] WS2_32.dll!connect                                            71A14A07 5 Bytes  JMP 051827A0 C:\Programme\Orbitdownloader\addons\OneClickYouTubeDownloader\components\GrabKernel.dll
.text          C:\Programme\Mozilla Firefox 3 Beta 3\firefox.exe[3444] WS2_32.dll!WSAConnect                                        71A20C81 5 Bytes  JMP 051828D0 C:\Programme\Orbitdownloader\addons\OneClickYouTubeDownloader\components\GrabKernel.dll

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT            atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                    [F735E042] sprc.sys
IAT            atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                            [F735E13E] sprc.sys
IAT            atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                                  [F735E0C0] sprc.sys
IAT            atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                          [F735E800] sprc.sys
IAT            atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                                  [F735E6D6] sprc.sys
IAT            \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                                    [F736DB90] sprc.sys
IAT            \SystemRoot\System32\Drivers\ai3uvyi6.SYS[HAL.dll!KfAcquireSpinLock]                                                  CCCCCCC3
IAT            \SystemRoot\System32\Drivers\ai3uvyi6.SYS[HAL.dll!READ_PORT_UCHAR]                                                    CCCCCCCC
IAT            \SystemRoot\System32\Drivers\ai3uvyi6.SYS[HAL.dll!KeGetCurrentIrql]                                                  CCCCCCCC
IAT            \SystemRoot\System32\Drivers\ai3uvyi6.SYS[HAL.dll!KfRaiseIrql]                                                        CCCCCCCC
IAT            \SystemRoot\System32\Drivers\ai3uvyi6.SYS[HAL.dll!KfLowerIrql]                                                        8BEC8B55
IAT            \SystemRoot\System32\Drivers\ai3uvyi6.SYS[HAL.dll!HalGetInterruptVector]                                              00C73445
IAT            \SystemRoot\System32\Drivers\ai3uvyi6.SYS[HAL.dll!HalTranslateBusAddress]                                            00000000
IAT            \SystemRoot\System32\Drivers\ai3uvyi6.SYS[HAL.dll!KeStallExecutionProcessor]                                          830C458B
IAT            \SystemRoot\System32\Drivers\ai3uvyi6.SYS[HAL.dll!KfReleaseSpinLock]                                                  C0840CEC
IAT            \SystemRoot\System32\Drivers\ai3uvyi6.SYS[HAL.dll!READ_PORT_BUFFER_USHORT]                                            053C0D74
IAT            \SystemRoot\System32\Drivers\ai3uvyi6.SYS[HAL.dll!READ_PORT_USHORT]                                                  57B80974
IAT            \SystemRoot\System32\Drivers\ai3uvyi6.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                          8B000000
IAT            \SystemRoot\System32\Drivers\ai3uvyi6.SYS[HAL.dll!WRITE_PORT_UCHAR]                                                  56C35DE5
IAT            \SystemRoot\System32\Drivers\ai3uvyi6.SYS[WMILIB.SYS!WmiSystemControl]                                                8D51FC4D
IAT            \SystemRoot\System32\Drivers\ai3uvyi6.SYS[WMILIB.SYS!WmiCompleteRequest]                                              8D52FD55
IAT            \SystemRoot\System32\Drivers\a3wlp9mb.SYS[HAL.dll!KfAcquireSpinLock]                                                  18C4830E
IAT            \SystemRoot\System32\Drivers\a3wlp9mb.SYS[HAL.dll!READ_PORT_UCHAR]                                                    1C959E88
IAT            \SystemRoot\System32\Drivers\a3wlp9mb.SYS[HAL.dll!KeGetCurrentIrql]                                                  9E880000
IAT            \SystemRoot\System32\Drivers\a3wlp9mb.SYS[HAL.dll!KfRaiseIrql]                                                        00001CB1
IAT            \SystemRoot\System32\Drivers\a3wlp9mb.SYS[HAL.dll!KfLowerIrql]                                                        0E798366
IAT            \SystemRoot\System32\Drivers\a3wlp9mb.SYS[HAL.dll!HalGetInterruptVector]                                              74AAB000
IAT            \SystemRoot\System32\Drivers\a3wlp9mb.SYS[HAL.dll!HalTranslateBusAddress]                                            8986C636
IAT            \SystemRoot\System32\Drivers\a3wlp9mb.SYS[HAL.dll!KeStallExecutionProcessor]                                          1A00001C
IAT            \SystemRoot\System32\Drivers\a3wlp9mb.SYS[HAL.dll!KfReleaseSpinLock]                                                  1C8B86C6
IAT            \SystemRoot\System32\Drivers\a3wlp9mb.SYS[HAL.dll!READ_PORT_BUFFER_USHORT]                                            C6020000
IAT            \SystemRoot\System32\Drivers\a3wlp9mb.SYS[HAL.dll!READ_PORT_USHORT]                                                  001C9686
IAT            \SystemRoot\System32\Drivers\a3wlp9mb.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                          86C60200
IAT            \SystemRoot\System32\Drivers\a3wlp9mb.SYS[HAL.dll!WRITE_PORT_UCHAR]                                                  00001CB2
IAT            \SystemRoot\System32\Drivers\a3wlp9mb.SYS[WMILIB.SYS!WmiSystemControl]                                                8800001C
IAT            \SystemRoot\System32\Drivers\a3wlp9mb.SYS[WMILIB.SYS!WmiCompleteRequest]                                              001CB99E

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                                8716B1F8

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                              SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device          \Driver\sptd \Device\1296792594                                                                                      sprc.sys

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                              VMkbd.sys (VMware keyboard filter driver (32-bit)/VMware, Inc.)

Device          \Driver\usbuhci \Device\USBPDO-0                                                                                      86E951F8
Device          \Driver\usbuhci \Device\USBPDO-0                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbuhci \Device\USBPDO-1                                                                                      86E951F8
Device          \Driver\usbuhci \Device\USBPDO-1                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbuhci \Device\USBPDO-2                                                                                      86E951F8
Device          \Driver\usbuhci \Device\USBPDO-2                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbuhci \Device\USBPDO-3                                                                                      86E951F8
Device          \Driver\usbuhci \Device\USBPDO-3                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbehci \Device\USBPDO-4                                                                                      86E7E500
Device          \Driver\usbehci \Device\USBPDO-4                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                            SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device          \Driver\usbhub \Device\USBPDO-5                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\PCI_PNP3844 \Device\00000062                                                                                  sprc.sys
Device          \Driver\usbhub \Device\USBPDO-6                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\PCI_PNP3844 \Device\00000063                                                                                  sprc.sys
Device          \Driver\Ftdisk \Device\HarddiskVolume1                                                                                871D81F8

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                                                                snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                                                                timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)

Device          \Driver\usbhub \Device\USBPDO-7                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\Ftdisk \Device\HarddiskVolume2                                                                                871D81F8

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2                                                                                snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2                                                                                timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)

Device          \Driver\Cdrom \Device\CdRom0                                                                                          86F831F8
Device          \Driver\NetBT \Device\NetBT_Tcpip_{A913E30A-C618-44D2-B00D-085CDCEE4BB0}                                              86DC8500
Device          \Driver\Cdrom \Device\CdRom1                                                                                          86F831F8
Device          \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-11                                                                          [F72D6B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3                                                                          [F72D6B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdePort0                                                                                    [F72D6B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdePort1                                                                                    [F72D6B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdePort2                                                                                    [F72D6B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdePort3                                                                                    [F72D6B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdeDeviceP3T1L0-19                                                                          [F72D6B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\sptd \Device\1296636344                                                                                      sprc.sys
Device          \Driver\Cdrom \Device\CdRom2                                                                                          86F831F8
Device          \Driver\usbhub \Device\00000080                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\Cdrom \Device\CdRom3                                                                                          86F831F8
Device          \Driver\usbhub \Device\00000081                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbhub \Device\00000082                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                              86DC8500
Device          \Driver\usbhub \Device\00000083                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\NetBT \Device\NetbiosSmb                                                                                      86DC8500

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                            SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                          SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device          \Driver\usbuhci \Device\USBFDO-0                                                                                      86E951F8
Device          \Driver\usbuhci \Device\USBFDO-0                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbuhci \Device\USBFDO-1                                                                                      86E951F8
Device          \Driver\usbuhci \Device\USBFDO-1                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                    86CD0500
Device          \Driver\usbuhci \Device\USBFDO-2                                                                                      86E951F8
Device          \Driver\usbuhci \Device\USBFDO-2                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                          86CD0500
Device          \Driver\usbuhci \Device\USBFDO-3                                                                                      86E951F8
Device          \Driver\usbuhci \Device\USBFDO-3                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\NetBT \Device\NetBT_Tcpip_{836C20B2-827B-47F9-8F06-268B9555C686}                                              86DC8500
Device          \Driver\usbehci \Device\USBFDO-4                                                                                      86E7E500
Device          \Driver\usbehci \Device\USBFDO-4                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\Ftdisk \Device\FtControl                                                                                      871D81F8
Device          \Driver\usbhub \Device\0000007e                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\NetBT \Device\NetBT_Tcpip_{1B263E8E-8F12-4A2F-9DB6-7A47711E3DCA}                                              86DC8500
Device          \Driver\usbhub \Device\0000007f                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\a3wlp9mb \Device\Scsi\a3wlp9mb1Port4Path0Target0Lun0                                                          86DAE1F8
Device          \Driver\ai3uvyi6 \Device\Scsi\ai3uvyi61                                                                              86F79500
Device          \Driver\a3wlp9mb \Device\Scsi\a3wlp9mb1                                                                              86DAE1F8
Device          \Driver\ai3uvyi6 \Device\Scsi\ai3uvyi61Port5Path0Target0Lun0                                                          86F79500
Device          \FileSystem\Cdfs \Cdfs                                                                                                85F091F8

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)                 
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                      C:\Programme\Alcohol Soft\Alcohol 120\
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                 
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                      0
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                    0xFF 0x03 0x2A 0x9A ...
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                      0xB4 0x6D 0x90 0x02 ...
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                      C:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)       
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                              0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                          0x31 0x10 0x9F 0x32 ...
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)   
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                      0x14 0x09 0x96 0x66 ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)                 
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                      C:\Programme\Alcohol Soft\Alcohol 120\
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                 
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                      0
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                    0xFF 0x03 0x2A 0x9A ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                      0xB4 0x6D 0x90 0x02 ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                      C:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)       
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                              0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                          0x31 0x10 0x9F 0x32 ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)   
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                      0x55 0xE6 0xC4 0x6E ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)                 
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                      C:\Programme\Alcohol Soft\Alcohol 120\
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                 
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                      0
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                    0xFF 0x03 0x2A 0x9A ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                      0xB4 0x6D 0x90 0x02 ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                      C:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)       
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                              0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                          0x31 0x10 0x9F 0x32 ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)   
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                      0x55 0xE6 0xC4 0x6E ...
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)                 
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                      C:\Programme\Alcohol Soft\Alcohol 120\
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                 
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                      0
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                    0xFF 0x03 0x2A 0x9A ...
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                      0xB4 0x6D 0x90 0x02 ...
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                      C:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)       
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                              0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                          0x31 0x10 0x9F 0x32 ...
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)   
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                      0xAE 0x4B 0x93 0x6B ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                    771343423
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                    285507792
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                    2
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                                     
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                  C:\Programme\Alcohol Soft\Alcohol 120\
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                  1
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                0x8B 0x99 0xE0 0xFA ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001                           
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                          0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew                      0xE7 0xD3 0x7A 0x3B ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40                     
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew                0x7E 0xAD 0x07 0xB7 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                     
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                  0
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                0xDC 0x6A 0xDA 0xB9 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                  0xD4 0xC3 0x97 0x02 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                  C:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                           
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                      0x31 0x10 0x9F 0x32 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                          0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                       
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                  0x57 0xB6 0xC2 0x4E ...
Reg            HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)                 
Reg            HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                      C:\Programme\Alcohol Soft\Alcohol 120\
Reg            HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                      1
Reg            HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                    0x8B 0x99 0xE0 0xFA ...
Reg            HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)       
Reg            HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                              0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew                          0xE7 0xD3 0x7A 0x3B ...
Reg            HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet) 
Reg            HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew                    0x7E 0xAD 0x07 0xB7 ...
Reg            HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                 
Reg            HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                      0
Reg            HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                    0xDC 0x6A 0xDA 0xB9 ...
Reg            HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                      0xD4 0xC3 0x97 0x02 ...
Reg            HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                      C:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)       
Reg            HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                          0x31 0x10 0x9F 0x32 ...
Reg            HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                              0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)   
Reg            HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                      0x57 0xB6 0xC2 0x4E ...
Reg            HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System                                                               
Reg            HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG12.00.00.01PROFESSIONAL                               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

---- EOF - GMER 1.0.15 ----
--- --- ---


Hoffendlich ist das nichts zu schlimmes.

raman 27.05.2010 15:44
Was man im Gmer Log sieht, ist einmal Norton und SCSI Pass Through Direct (SPTD)(deamontools, oder aehnliches). Letzteres solltest du dinstallieren, sofern du es nicht brauchst. Entweder ueber software und/oder so, wie hier beschrieben
http://www.duplexsecure.com/de/faq

Danach kannst du ein neuen Gmer Report erstellen und ein OTL Bericht.
http://www.trojaner-board.de/85104-o...-oldtimer.html

Nachtrag: Wie alt ist deine Letzte Sicherung von Acronis und schau, ob du noch Sachen von Kaspersky auf deinem Rechner hast, bzw deinstallieren kannst...

raman 27.05.2010 15:51
Entsprechende deinstallationstools fuer KAV gibt es hier:
Entfernungs-Tool für Produkte von Kaspersky Lab

Aber mal eines nach dem anderen...

BIOTEC 27.05.2010 21:53
Hi Ralf!

Daemon Tools Lite incl. SPTD ist unten und den KAVremover hab ich auch nochmal ausgeführt, obwohl ich das schonmal gemacht hatte! Scheinen noch Dateileichen drauf gewesen zu sein...

Morgen früh mach dir dann noch das neue GMER und OTL Log.

Dann schauen wir mal, ob da noch was schlimmes drauf ist.

(Ich hab kein Bock das T-Online mir wegen einer Backdoor oder nem RAT den Anschluss sperrt...muss ja nicht sein!)

Gute Nacht!

BIOTEC

PS: OTL bleibt immer noch bei der HKEY CURRENT USER Registry Internet Explorer settings hängen...CPU Auslastung 100% und der Process reargiert nicht mehr! Ist das normal?

raman 28.05.2010 04:40
Wenn OTL nicht funktioniert, versuche es bitte mit OSAM

BIOTEC 28.05.2010 07:01
Hi!

Also meine Acronis Sicherung ist Asbach...das ist die Standart Win XP Home SP2 Original Install mit paar Tools drauf...aber halt noch alles im Ursprungszustand...SP3 ist auf der Sicherung noch garnicht drauf, ergo nur im Ausnahmefall zu empfehlen.

Email Passwort hab ich schon geändert, nicht das da irgendwie vieleicht trotzdem noch Spam verschickt wird...jetzt nicht mehr, weils PW ja geändert ist!

Nachdem ich ja Daemon Tools und Kaspersky entfernt habe, müsste im Gmer Log wieder alles in Ordnung sein. Und hier ist es:

GMER Logfile:
Code:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-05-28 08:00:14
Windows 5.1.2600 Service Pack 3
Running: olniu0oy.exe; Driver: C:\DOKUME~1\BIOTEC\LOKALE~1\Temp\kwroyfoc.sys


---- System - GMER 1.0.15 ----

SSDT            86D808E0                                                                                                              ZwAlertResumeThread
SSDT            86DC2608                                                                                                              ZwAlertThread
SSDT            86E9F5C0                                                                                                              ZwAllocateVirtualMemory
SSDT            86E0E300                                                                                                              ZwAssignProcessToJobObject
SSDT            870A6868                                                                                                              ZwConnectPort
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                            ZwCreateKey [0xF465F210]
SSDT            86E8E5B0                                                                                                              ZwCreateMutant
SSDT            86302878                                                                                                              ZwCreateSymbolicLinkObject
SSDT            870186B8                                                                                                              ZwCreateThread
SSDT            86D9B5B8                                                                                                              ZwDebugActiveProcess
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                            ZwDeleteKey [0xF465F490]
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                            ZwDeleteValueKey [0xF465F9F0]
SSDT            86EE26F8                                                                                                              ZwDuplicateObject
SSDT            86E9F420                                                                                                              ZwFreeVirtualMemory
SSDT            86D6A8E0                                                                                                              ZwImpersonateAnonymousToken
SSDT            86EB0CD0                                                                                                              ZwImpersonateThread
SSDT            86F365A8                                                                                                              ZwLoadDriver
SSDT            87155A88                                                                                                              ZwMapViewOfSection
SSDT            86D48810                                                                                                              ZwOpenEvent
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                            ZwOpenKey [0xF465F7A0]
SSDT            86FE8A30                                                                                                              ZwOpenProcess
SSDT            86EBEC80                                                                                                              ZwOpenProcessToken
SSDT            86E38CD0                                                                                                              ZwOpenSection
SSDT            86FE8960                                                                                                              ZwOpenThread
SSDT            86BC35E8                                                                                                              ZwProtectVirtualMemory
SSDT            86DBBAA0                                                                                                              ZwResumeThread
SSDT            86E457C0                                                                                                              ZwSetContextThread
SSDT            86DD54A8                                                                                                              ZwSetInformationProcess
SSDT            86DC4448                                                                                                              ZwSetSystemInformation
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                            ZwSetValueKey [0xF465FC40]
SSDT            86EB3448                                                                                                              ZwSuspendProcess
SSDT            86DBC7E8                                                                                                              ZwSuspendThread
SSDT            86E46108                                                                                                              ZwTerminateProcess
SSDT            86DFC8E0                                                                                                              ZwTerminateThread
SSDT            86E55420                                                                                                              ZwUnmapViewOfSection
SSDT            86E9F4F0                                                                                                              ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

.text          ntkrnlpa.exe!ZwCallbackReturn + 2590                                                                                  80501DC8 4 Bytes  CALL 06D6DA02
?              SYMDS.SYS                                                                                                            Das System kann die angegebene Datei nicht finden. !
?              SYMEFA.SYS                                                                                                            Das System kann die angegebene Datei nicht finden. !
.text          C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                              section is writeable [0xF6AA8380, 0x2FF527, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text          C:\Programme\Tunngle\TnglCtrl.exe[1628] ntdll.dll!DbgBreakPoint                                                      7C91120E 1 Byte  [90]
.text          C:\Programme\Mozilla Firefox 3 Beta 3\firefox.exe[2776] ntdll.dll!RtlValidateUnicodeString + 554                      7C9263BE 10 Bytes  JMP 0241003A
.text          C:\Programme\Mozilla Firefox 3 Beta 3\firefox.exe[2776] WS2_32.dll!connect                                            71A14A07 5 Bytes  JMP 050B27A0 C:\Programme\Orbitdownloader\addons\OneClickYouTubeDownloader\components\GrabKernel.dll
.text          C:\Programme\Mozilla Firefox 3 Beta 3\firefox.exe[2776] WS2_32.dll!WSAConnect                                        71A20C81 5 Bytes  JMP 050B28D0 C:\Programme\Orbitdownloader\addons\OneClickYouTubeDownloader\components\GrabKernel.dll

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                              SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                              VMkbd.sys (VMware keyboard filter driver (32-bit)/VMware, Inc.)

Device          \Driver\usbuhci \Device\USBPDO-0                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbuhci \Device\USBPDO-1                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbuhci \Device\USBPDO-2                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbehci \Device\USBPDO-3                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbuhci \Device\USBPDO-4                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                            SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device          \Driver\usbhub \Device\USBPDO-5                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbhub \Device\USBPDO-6                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                                                                snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                                                                timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)

Device          \Driver\usbhub \Device\USBPDO-7                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2                                                                                snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2                                                                                timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)

Device          \Driver\usbhub \Device\00000080                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                            SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                          SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device          \Driver\usbuhci \Device\USBFDO-0                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbuhci \Device\USBFDO-1                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbuhci \Device\USBFDO-2                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbhub \Device\0000007b                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbuhci \Device\USBFDO-3                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbhub \Device\0000007c                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbehci \Device\USBFDO-4                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbhub \Device\0000007d                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbhub \Device\0000007e                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbhub \Device\0000007f                                                                                      hcmon.sys (VMware USB monitor/VMware, Inc.)

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)                 
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                      C:\Programme\Alcohol Soft\Alcohol 120\
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                 
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                      0
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                    0xFF 0x03 0x2A 0x9A ...
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                      0xB4 0x6D 0x90 0x02 ...
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                      C:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)       
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                              0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                          0x31 0x10 0x9F 0x32 ...
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)   
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                      0x14 0x09 0x96 0x66 ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)                 
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                      C:\Programme\Alcohol Soft\Alcohol 120\
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                 
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                      0
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                    0xFF 0x03 0x2A 0x9A ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                      0xB4 0x6D 0x90 0x02 ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                      C:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)       
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                              0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                          0x31 0x10 0x9F 0x32 ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)   
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                      0x55 0xE6 0xC4 0x6E ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)                 
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                      C:\Programme\Alcohol Soft\Alcohol 120\
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                 
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                      0
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                    0xFF 0x03 0x2A 0x9A ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                      0xB4 0x6D 0x90 0x02 ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                      C:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)       
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                              0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                          0x31 0x10 0x9F 0x32 ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)   
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                      0x55 0xE6 0xC4 0x6E ...
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)                 
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                      C:\Programme\Alcohol Soft\Alcohol 120\
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                 
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                      0
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                    0xFF 0x03 0x2A 0x9A ...
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                      0xB4 0x6D 0x90 0x02 ...
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                      C:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)       
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                              0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                          0x31 0x10 0x9F 0x32 ...
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)   
Reg            HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                      0xAE 0x4B 0x93 0x6B ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                                     
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                  C:\Programme\Alcohol Soft\Alcohol 120\
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                  1
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                0x8B 0x99 0xE0 0xFA ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001                           
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                          0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew                      0xE7 0xD3 0x7A 0x3B ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40                     
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew                0x7E 0xAD 0x07 0xB7 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                     
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                  0
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                0xDC 0x6A 0xDA 0xB9 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                  0xD4 0xC3 0x97 0x02 ...
Reg            HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)                 
Reg            HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                      C:\Programme\Alcohol Soft\Alcohol 120\
Reg            HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                      1
Reg            HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                    0x8B 0x99 0xE0 0xFA ...
Reg            HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)       
Reg            HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                              0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew                          0xE7 0xD3 0x7A 0x3B ...
Reg            HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet) 
Reg            HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew                    0x7E 0xAD 0x07 0xB7 ...
Reg            HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                 
Reg            HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                      0
Reg            HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                    0xDC 0x6A 0xDA 0xB9 ...
Reg            HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                      0xD4 0xC3 0x97 0x02 ...
Reg            HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System                                                               
Reg            HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG12.00.00.01PROFESSIONAL                               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

---- EOF - GMER 1.0.15 ----
--- --- ---


Das OSAM mach ich jetzt und Poste es separat.

BIOTEC 28.05.2010 07:13
Und hier nun das OSAM Log:

Code:
Report of OSAM: Autorun Manager v5.0.11926.0
http://www.online-solutions.ru/en/
Saved at 08:10:23 on 28.05.2010

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[AppInit DLLs]
-----( HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows )-----
"AppInit_DLLs" - ? - C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll  (File not found)

[Boot Execute]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager )-----
"BootExecute" - "O&O Software GmbH" - C:\WINDOWS\system32\OODBS.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl
"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl
"PhysX.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\PhysX.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Acronis Snapshots Manager" (snapman) - "Acronis" - C:\WINDOWS\System32\DRIVERS\snapman.sys
"Acronis True Image Backup Archive Explorer" (timounter) - "Acronis" - C:\WINDOWS\System32\DRIVERS\timntr.sys
"Acronis True Image FS Filter" (tifsfilter) - "Acronis" - C:\WINDOWS\System32\DRIVERS\tifsfilt.sys
"AEGIS Protocol (IEEE 802.1x) v3.4.5.0" (AegisP) - "Meetinghouse Data Communications" - C:\WINDOWS\System32\DRIVERS\AegisP.sys
"ANIO Service" (ANIO) - ? - C:\WINDOWS\system32\ANIO.SYS
"Autodata Protection Service" (adatadrv) - "none" - C:\WINDOWS\System32\DRIVERS\adatadrv.sys
"BHDrvx86" (BHDrvx86) - "Symantec Corporation" - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.6.0.32\Definitions\BASHDefs\20100429.001\BHDrvx86.sys
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"cpuz130" (cpuz130) - ? - C:\DOKUME~1\BIOTEC\LOKALE~1\Temp\cpuz130\cpuz_x32.sys  (File not found)
"ENTECH" (ENTECH) - "EnTech Taiwan" - C:\WINDOWS\system32\DRIVERS\ENTECH.sys
"EraserUtilRebootDrv" (EraserUtilRebootDrv) - "Symantec Corporation" - C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys
"GMSIPCI" (GMSIPCI) - ? - K:\INSTALL\GMSIPCI.SYS  (File not found)
"Hamachi Network Interface" (hamachi) - "LogMeIn, Inc." - C:\WINDOWS\System32\DRIVERS\hamachi.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"IDSxpx86" (IDSxpx86) - "Symantec Corporation" - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.6.0.32\Definitions\IPSDefs\20100520.001\IDSxpx86.sys
"KMWDFilter" (KMWDFilter) - "Windows (R) Codename Longhorn DDK provider" - C:\WINDOWS\System32\Drivers\KMWDFilter.SYS
"kwroyfoc" (kwroyfoc) - ? - C:\DOKUME~1\BIOTEC\LOKALE~1\Temp\kwroyfoc.sys  (Hidden registry entry, rootkit activity | File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"MSICPL" (MSICPL) - ? - K:\install4\MSICPL.sys  (File not found)
"NAVENG" (NAVENG) - "Symantec Corporation" - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.6.0.32\Definitions\VirusDefs\20100527.032\NAVENG.SYS
"NAVEX15" (NAVEX15) - "Symantec Corporation" - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.6.0.32\Definitions\VirusDefs\20100527.032\NAVEX15.SYS
"NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver" (RTLWUSB) - ? - C:\WINDOWS\System32\DRIVERS\wg111v2.sys  (File not found)
"NTACCESS" (NTACCESS) - ? - K:\NTACCESS.sys  (File not found)
"nv" (nv) - "NVIDIA Corporation" - C:\WINDOWS\System32\DRIVERS\nv4_mini.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"SafeNet USB SuperPro/UltraPro/HardwareKey" (SNTNLUSB) - "SafeNet, Inc." - C:\WINDOWS\System32\DRIVERS\SNTNLUSB.SYS
"SASDIFSV" (SASDIFSV) - ? - C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS  (File not found)
"SASKUTIL" (SASKUTIL) - ? - C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS  (File not found)
"Secdrv" (Secdrv) - "Macrovision Europe Ltd" - C:\WINDOWS\System32\DRIVERS\secdrv.sys
"SetupNTGLM7X" (SetupNTGLM7X) - ? - K:\NTGLM7X.sys  (File not found)
"Symantec Data Store" (SymDS) - "Symantec Corporation" - C:\WINDOWS\System32\drivers\NIS\1107000.00C\SYMDS.SYS
"Symantec Eraser Control driver" (eeCtrl) - "Symantec Corporation" - C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys
"Symantec Extended File Attributes" (SymEFA) - "Symantec Corporation" - C:\WINDOWS\System32\drivers\NIS\1107000.00C\SYMEFA.SYS
"Symantec Hash Provider" (ccHP) - "Symantec Corporation" - C:\WINDOWS\system32\drivers\NIS\1107000.00C\ccHPx86.sys
"Symantec Iron Driver" (SymIRON) - "Symantec Corporation" - C:\WINDOWS\system32\drivers\NIS\1107000.00C\Ironx86.SYS
"Symantec Network Dispatch Driver" (SYMTDI) - "Symantec Corporation" - C:\WINDOWS\System32\Drivers\NIS\1107000.00C\SYMTDI.SYS
"Symantec Real Time Storage Protection" (SRTSP) - "Symantec Corporation" - C:\WINDOWS\System32\Drivers\NIS\1107000.00C\SRTSP.SYS
"Symantec Real Time Storage Protection (PEL)" (SRTSPX) - "Symantec Corporation" - C:\WINDOWS\system32\drivers\NIS\1107000.00C\SRTSPX.SYS
"SymEvent" (SymEvent) - "Symantec Corporation" - C:\WINDOWS\system32\Drivers\SYMEVENT.SYS
"TAP-Win32 Adapter V8" (tap0801) - "The OpenVPN Project" - C:\WINDOWS\System32\DRIVERS\tap0801.sys
"TAP-Win32 Adapter V9 (Tunngle)" (tap0901t) - "Tunngle.net" - C:\WINDOWS\System32\DRIVERS\tap0901t.sys
"tmcomm" (tmcomm) - "Trend Micro Inc." - C:\WINDOWS\system32\drivers\tmcomm.sys
"Tunebite High-Speed Dubbing" (tbhsd) - "RapidSolution Software AG" - C:\WINDOWS\System32\drivers\tbhsd.sys
"VMware Bridge Protocol" (VMnetBridge) - "VMware, Inc." - C:\WINDOWS\System32\DRIVERS\vmnetbridge.sys
"VMware hcmon" (hcmon) - "VMware, Inc." - C:\WINDOWS\system32\drivers\hcmon.sys
"VMware kbd" (vmkbd) - "VMware, Inc." - C:\WINDOWS\system32\drivers\VMkbd.sys
"VMware Network Application Interface" (VMnetuserif) - "VMware, Inc." - C:\WINDOWS\system32\drivers\vmnetuserif.sys
"VMware vmci" (vmci) - "VMware, Inc." - C:\WINDOWS\system32\Drivers\vmci.sys
"VMware vmx86" (vmx86) - "VMware, Inc." - C:\WINDOWS\system32\Drivers\vmx86.sys
"Vstor2 WS60 Virtual Storage Driver" (vstor2-ws60) - "VMware, Inc." - C:\Programme\VMware\VMware Workstation\vstor2-ws60.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
"ZTE Diagnostic Port" (ZTEusbser6k) - ? - C:\WINDOWS\System32\DRIVERS\ZTEusbser6k.sys  (File not found)
"ZTE Mass Storage Filter Driver" (massfilter) - ? - C:\WINDOWS\System32\drivers\massfilter.sys  (File not found)
"ZTE NMEA Port" (ZTEusbnmea) - ? - C:\WINDOWS\System32\DRIVERS\ZTEusbnmea.sys  (File not found)
"ZTE Proprietary USB Driver" (ZTEusbmdm6k) - ? - C:\WINDOWS\System32\DRIVERS\ZTEusbmdm6k.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{A7005AF0-D6E8-48AF-8DFA-023B1CF660A7} "TeraCopy" - ? - C:\Programme\TeraCopy\TeraCopy.dll  (File found, but it contains no detailed information)
{A8005AF0-D6E8-48AF-8DFA-023B1CF660A7} "TeraCopy" - ? - C:\Programme\TeraCopy\TeraCopyExt.dll  (File found, but it contains no detailed information)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Grab Pro" - ? - C:\Programme\OrbitDownloader\GrabPro.dll
ITBar7Height "ITBar7Height" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -  (File not found | COM-object registry key not found)
<binary data> "Norton Toolbar" - "Symantec Corporation" - C:\Programme\Norton Internet Security\Engine\17.7.0.12\coIEPlg.dll
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{A4639D2F-774E-11D3-A490-00C04F6843FB} "{A4639D2F-774E-11D3-A490-00C04F6843FB}" - ? -  (File not found | COM-object registry key not found) / http://download.microsoft.com/download/PowerPoint2002/Install/10.0.2609/WIN98MeXP/EN-US/msorun.cab
{CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} "{CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA}" - ? -  (File not found | COM-object registry key not found) / http://java.sun.com/update/1.4.2/jinstall-1_4_2_05-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "Grab Pro" - ? - C:\Programme\OrbitDownloader\GrabPro.dll
{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} "Norton Toolbar" - "Symantec Corporation" - C:\Programme\Norton Internet Security\Engine\17.7.0.12\coIEPlg.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{2F364306-AA45-47B5-9F9D-39A8B94E7EF7} "FGCatchUrl" - "www.flashget.com" - C:\PROGRA~1\FlashGet\jccatch.dll
{E5A1691B-D188-4419-AD02-90002030B8EE} "FlashFXP Helper for Internet Explorer" - "IniCom Networks, Inc." - C:\Programme\FlashFXP\IEFlash.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{000123B4-9B42-4900-B3F7-F4B073EFC214} "Octh Class" - "Orbitdownloader.com" - C:\Programme\OrbitDownloader\orbitcth.dll
{6D53EC84-6AAE-4787-AEEE-F4628F01010C} "Symantec Intrusion Prevention" - "Symantec Corporation" - C:\Programme\Norton Internet Security\Engine\17.7.0.12\IPSBHO.DLL
{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} "Symantec NCO BHO" - "Symantec Corporation" - C:\Programme\Norton Internet Security\Engine\17.7.0.12\coIEPlg.dll

[LSA Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Lsa )-----
"Authentication packages" - "Acronis" - C:\WINDOWS\system32\relog_ap.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\BIOTEC\Startmenü\Programme\Autostart\desktop.ini
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"ANIWZCS2Service" - "Wireless Service" - C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
"D-Link D-Link Wireless G DWL-G122_DWA-110" - "D-Link Corp." - C:\Programme\D-Link\DWL-G122_DWA-110\AirGCFG.exe
"KMCONFIG" - "UASSOFT.COM" - C:\Programme\Silvercrest MTS2118 driver\StartAutorun.exe KMConfig.exe
"NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"NvMediaCenter" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"nwiz" - "NVIDIA Corporation" - nwiz.exe /install
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
"WinSys2" - ? - C:\WINDOWS\system32\winsys2.exe

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Acronis Scheduler2 Service" (AcrSch2Svc) - "Acronis" - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
"ANIWConn Service" (ANIWConnService) - ? - C:\WINDOWS\system32\ANIWConnService.exe
"ANIWZCSd Service" (ANIWZCSdService) - "Wireless Service" - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"HDD Information Service" (HDDSvc) - ? - P:\Neuer Ordner\HDInspectorPortable\App\HDInspector\HDDSvc.exe  (File not found)
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"NIHardwareService" (NIHardwareService) - ? - C:\Programme\Gemeinsame Dateien\Native Instruments\Hardware\NIHardwareService.exe  (File not found)
"NMIndexingService" (NMIndexingService) - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
"Norton Internet Security" (NIS) - "Symantec Corporation" - C:\Programme\Norton Internet Security\Engine\17.7.0.12\ccSvcHst.exe
"NVIDIA Display Driver Service" (NVSvc) - "NVIDIA Corporation" - C:\WINDOWS\system32\nvsvc32.exe
"O&O Defrag" (O&O Defrag) - "O&O Software GmbH" - C:\Programme\OO Software\Defrag\oodag.exe
"TuneUp Designerweiterung" (UxTuneUp) - "TuneUp Software" - C:\WINDOWS\System32\uxtuneup.dll
"TuneUp Program Statistics Service" (TuneUp.ProgramStatisticsSvc) - "TuneUp Software" - C:\WINDOWS\System32\TUProgSt.exe
"TunngleService" (TunngleService) - "Tunngle.net GmbH" - C:\Programme\Tunngle\TnglCtrl.exe
"VMware Agent Service" (ufad-ws60) - "VMware, Inc." - C:\Programme\VMware\VMware Workstation\vmware-ufad.exe
"VMware Authorization Service" (VMAuthdService) - "VMware, Inc." - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
"VMware DHCP Service" (VMnetDHCP) - "VMware, Inc." - C:\WINDOWS\system32\vmnetdhcp.exe
"VMware NAT Service" (VMware NAT Service) - "VMware, Inc." - C:\WINDOWS\system32\vmnat.exe
"VMware USB Arbitration Service" (VMUSBArbService) - "VMware, Inc." - C:\Programme\Common Files\VMware\USB\vmware-usbarbitrator.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"Proxifier NSP" - " " - C:\WINDOWS\system32\PrxerNsp.dll
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries )-----
"PROXIFIER LSP" - "Initex Software" - C:\WINDOWS\system32\PrxerDrv.dll
"VMCI sockets DGRAM" - "VMware, Inc." - C:\Programme\VMware\VMware Workstation\vsocklib.dll
"VMCI sockets STREAM" - "VMware, Inc." - C:\Programme\VMware\VMware Workstation\vsocklib.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit http://forum.online-solutions.ru
Also da ist immer noch ein Eintrag von Kaspersky, den der Remover auch nicht entfernen konnte...das Teil sollte aber eigendlich runter sein...

Wie sehen die Logs aus?

raman 28.05.2010 07:13
Also die Deamontools und sptd bist du wohl immer noch nicht los, aber mal schauen, was osam bringt.


Da wir das eigentliche spamproblem via pn klaeren konnten, waeren trotzdem zum OSAM Report noch einige Kontrollscans mit KAVS avptool und drweb cureit noetig...
Kaspersky 's AVP Tool - Virus Hilfe
Cureit! von Dr.WEB - Virus Hilfe

BIOTEC 28.05.2010 07:19
Dann hauen wir mal rein...

Hab grade gesehen das da auch noch ein Ehemaliger Eintrag von nem Rootkit Treiber drin ist...die sys ist aber nicht mehr aufm System!

Edit: Oh ja...das wird noch was dauern bei einer 768er Leitung...kaspersky zieht noch 10 Minuten...ich Poste die Logs wenn ich alles durch habe!

raman 28.05.2010 07:33
Falls du den Eintrag "kwroyfoc" meinst, der kommt von Gmer. Ansonsten sieht es unauffaellig aus. Mal schauen, ob die AV Programme noch etwas finden. Denke daran Symantec waehrend der scans abzuschalten, sonst dauert es nochmal doppelt so lange.

Achso: den Kaspersky Eintrag, der noch da ist, kannst du am einfachsten mit Hijackthis entfernen...

BIOTEC 28.05.2010 10:25
Hi!

Kaspersky Virus Removal Tool hat den Scanvorgang beendet.

Der sah dann so aus:

http://img194.imageshack.us/img194/4...lscanergeb.jpg

Die beiden Portables hab ich gelöscht...ich bin aber den Meinung, das es sich hierbei um eine Heuristic Meldung handelt, weil das Programm von Portable Blogspot ist und die da nur Virenfreie Software haben, also ich hatte da noch nie Probleme...

Dieses Buzus File war ganz alleine im Anwendungsdrawer und ich glaub das das damals von Kaspersky geblockt wurde, weil ausgeführt hatte ich das nicht, aber aufgehoben, wegen Upload auf Virustotal. Habs dann warscheinlich vergessen raus zu werfen. Jetzt is es weg!

Und er Reunion ist ein Trainer für ein Game...ist aber auch nur ne Heuristic, hab ihn aber mal durch VirusTotal gejagt. Und da kam dann das hier raus:

Virustotal. MD5: c8ec7d6a5a8a41c991a5cdb37870b155 Generic.gi VirTool:Win32/Obfuscator.XZ TR/Obfuscated.XZ.340

Sieht nicht so toll aus...also weg mit dem Ding...gelöscht!

Dr.Web Scanner ist jetzt auch fertig und zeigt kein einziges Ergebniss an...

http://img696.imageshack.us/img696/9...rergebniss.jpg

Was machen wir jetzt?

BIOTEC 28.05.2010 10:52
Und das hier kam grade per Email an:

Code:
über Ihren Zugang wurden mittels direkter Einlieferung auf dem
entsprechenden Mailserver sogenannte "Spamtraps"  - das sind Fallen für
infizierte Rechner und Spammer - per E-Mail angeschrieben. Aus den in
den Beschwerden enthaltenen Daten (IP-Adresse und exakter Zeitpunkt)
haben wir Ihren Zugang als Verursacher ermittelt:

| IP: 84.xxx.xxx.xxx
| Timestamp: Tue, 25 May 2010 08:50:50 +0200

Wichtig: Die Spam-Mails wurden NICHT mit einem herkömmlichen E-Mail-
Programm versendet und haben auch nichts mit ihrem Postfach oder ihrer
E-Mail-Adresse bei t-online.de zu tun, sondern ausschließlich mit der
Einwahl. Die Zustellung erfolgte direkt über die Internet-Verbindung an
den für die Domain zuständigen Mailserver (MX).

Da ausgeschlossen werden kann, dass "Spamtraps" absichtlich
angeschrieben werden, ist davon auszugehen, dass sich auf Ihrem System
Schadsoftware befindet. Bitte prüfen Sie deshalb zu Ihrer eigenen
Sicherheit *alle* (!) Rechner in Ihrem Netzwerk.

Um die Chance zu erhöhen, auch weniger verbreitete Manipulationen zu
finden, empfehlen wir Ihnen, zusätzlich das "Tool zum Entfernen
bösartiger Software" von Microsoft zu laden und auszuführen. Unter
http://www.microsoft.com/germany/sicherheit/tools/malwareremove.mspx
finden Sie dieses zum Download vor.

Möglicherweise können Sie mit dem Scanner von Malwarebytes, zu finden
unter http://www.malwarebytes.org (blauer Download-Button links auf der
Seite für die kostenlose Version) und GMER http://www.gmer.net
("DOWNLOAD EXE"-Button unten auf der Seite) weitere Schadsoftware
aufspüren, die aus dem Internet nachgeladen wurde.

Aber sobald eine Schadsoftware auf einem Rechner installiert ist, hängt
es mehr oder weniger nur noch vom Geschick des Programmierers der
Schadsoftware ab, ob sie von einer beliebigen Schutzsoftware, die auch
auf dem "infizierten" System läuft, überhaupt noch entdeckt werden kann.
Das Mittel der Wahl wären dann Boot-CDs bzw. Boot-DVDs mit möglichst
mehr als nur einem Virenscanner. Ein bekanntes Beispiel wäre das Tool
"Desinfec't" (ehemals "Knoppicillin"), welches unter
http://www.heise.de/software/download/desinfect/71642 beschrieben ist.

Leider haben Sie jedoch nie die Gewissheit, wirklich alles gefunden zu
haben. Dann ist das System womöglich nach kurzer Zeit erneut befallen.
Guten Gewissens können wir Ihnen deshalb nur eine vollständige
Neu-Installation des Betriebssystems empfehlen.

Weitere Informationen, auch zu wichtigen Punkten, die bei einer
Neu-Installation beachtet werden sollten, haben wir für Sie unter
http://postmaster.t-online.de/mailversandsperre/id_21638046
zusammengestellt.

Mit freundlichen Grüßen
***
Products & Innovation
Deutsche Telekom AG
T-Online-Allee 1
D-64295 Darmstadt
E-Mail abuse@t-online.de
Also ich würde für meinen PC jetzt schon fast sagen, das auf dem nichts drauf ist, was sich da bemerkbar machen kann...wenn du für meinen dir Grüne Lampe gibst, dann werde ich mich mal um den Laptop meiner Freundin kümmer, obwohl ich nicht davon ausgehe, das die zu dem Zeitpunkt Online war...die war zu dem Zeitpunkt arbeiten und ich nicht an dem laptop dran...

Das nächste ist, das ich jetzt mal mein WLAN Passwort ändere...obwohl ich im Router Log keine besonderen MACs erkennen konnte, meine , Ihre und die der VM Bridge...das hatten wir ja schon per PN...

PS: Mein Port 25 ist wieder offen...zum Glück! Mit was könnte ich den den Verkehr über diesen Port mal über einen längeren Zeitraum im Auge behalten? Gibts da nicht Programm für?

BIOTEC 30.05.2010 09:48
Hallo!

Wollt mal fragen, ob es bei meinem Beitrag auch noch weiter geht, oder ob da jetzt "Feierabend" ist...

Wir waren doch noch nicht fertig!

Gruss BIOTEC

raman 30.05.2010 10:45
In grossen und ganzen sind wir durch. Die entsprechende VM hast du ja geloescht und Ports kannst du am besten und einfachsten mit Sysinternals tcpview kontrollieren.

Eine Kleinigkeit noch, du solltest verantwortungsvoller mit dem Umgehen, was du machst. Wie du gemerkt hast, verursachen bestimmte Aktionen mehr Wirkung, an die man auf die schnelle nicht denkt!

Du hast True Image, dann ueberlege dir, ob und wie du es effektiver nutzen kannst. Externe Datentraeger kosten nicht die Welt und koennen einen vor unliebsamen Ueberrasschungen schuetzen...

Randbemerkung: Trotz allem wuerde ich an deiner Stelle ueberlegen, ob ich den Rechner nicht doch mal neu aufsetzen wuerde..
Ueberlege dir dann, was du wirklich installieren willst und was du u.U. nicht doch lieber in eine VM auslagern solltest. Du hast in meinen Augen extrem viel unnuetzes Zeug, fuer ein Produktivsystem, installiert!

BIOTEC 30.05.2010 15:28
Stimmt alles...

Ich danke dir sehr für deine Hilfe und Infos und werde mir deine Tips befolgen!

Mein System wird auch wieder neu aufgesetzt...is ja schon etwas betagt!

PS: Der rechner meiner Freundin ist komplett sauber...da ist nichts drauf, was da nicht drauf gehört...habe den selben weg gemacht wie mit meinem und auch zum Schluss noch Combofix drüber laufen lassen und er ist Clean...

Ich würde sagen wir verbleiben so und ich werde euch auf jeden Fall weiter empfehlen...das Board und die Kompetenzler sind klasse!

Gruss Markus


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:03 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131