Trojaner-Board - XP Internet security 2010 & Trojaner-BNK.WIN.32.Keylogger.gen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - XP Internet security 2010 & Trojaner-BNK.WIN.32.Keylogger.gen (https://www.trojaner-board.de/82392-xp-internet-security-2010-trojaner-bnk-win-32-keylogger-gen.html)

servus,

hier das LOG:

Code:

13:19:42:281 1620        TDSS rootkit removing tool 2.2.2 Jan 13 2010 08:42:25

13:19:42:281 1620        ================================================================================

13:19:42:281 1620        SystemInfo:
 

13:19:42:281 1620        OS Version: 5.1.2600 ServicePack: 3.0

13:19:42:281 1620        Product type: Workstation

13:19:42:281 1620        ComputerName: ***

13:19:42:281 1620        UserName: ******a

13:19:42:281 1620        Windows directory: C:\WINDOWS

13:19:42:281 1620        Processor architecture: Intel x86

13:19:42:281 1620        Number of processors: 2

13:19:42:281 1620        Page size: 0x1000

13:19:42:281 1620        Boot type: Normal boot

13:19:42:281 1620        ================================================================================

13:19:42:296 1620        UnloadDriverW: NtUnloadDriver error 2

13:19:42:296 1620        ForceUnloadDriverW: UnloadDriverW(klmd21) error 2

13:19:42:312 1620        MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\drivers\klmd.sys) returned status 00000000

13:19:42:328 1620        UtilityInit: KLMD drop and load success

13:19:42:328 1620        KLMD_OpenDevice: Trying to open KLMD Device(KLMD201000)

13:19:42:328 1620        UtilityInit: KLMD open success

13:19:42:328 1620        UtilityInit: Initialize success

13:19:42:328 1620        

13:19:42:328 1620        Scanning        Services ...

13:19:42:328 1620        CreateRegParser: Registry parser init started

13:19:42:328 1620        DisableWow64Redirection: GetProcAddress(Wow64DisableWow64FsRedirection) error 127

13:19:42:328 1620        CreateRegParser: DisableWow64Redirection error

13:19:42:328 1620        wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system

13:19:42:328 1620        MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\config\system) returned status C0000043

13:19:42:328 1620        wfopen_ex: MyNtCreateFileW error 32 (C0000043)

13:19:42:328 1620        wfopen_ex: Trying to KLMD file open

13:19:42:328 1620        KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\config\system

13:19:42:328 1620        wfopen_ex: File opened ok (Flags 2)

13:19:42:328 1620        CreateRegParser: HIVE_ADAPTER(C:\WINDOWS\system32\config\system) init success: 3849D0

13:19:42:328 1620        wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software

13:19:42:328 1620        MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\config\software) returned status C0000043

13:19:42:328 1620        wfopen_ex: MyNtCreateFileW error 32 (C0000043)

13:19:42:328 1620        wfopen_ex: Trying to KLMD file open

13:19:42:328 1620        KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\config\software

13:19:42:328 1620        wfopen_ex: File opened ok (Flags 2)

13:19:42:328 1620        CreateRegParser: HIVE_ADAPTER(C:\WINDOWS\system32\config\software) init success: 384A78

13:19:42:328 1620        EnableWow64Redirection: GetProcAddress(Wow64RevertWow64FsRedirection) error 127

13:19:42:328 1620        CreateRegParser: EnableWow64Redirection error

13:19:42:328 1620        CreateRegParser: RegParser init completed

13:19:42:609 1620        GetAdvancedServicesInfo: Raw services enum returned 375 services

13:19:42:609 1620        fclose_ex: Trying to close file C:\WINDOWS\system32\config\system

13:19:42:609 1620        fclose_ex: Trying to close file C:\WINDOWS\system32\config\software

13:19:42:609 1620        

13:19:42:609 1620        Scanning        Kernel memory ...

13:19:42:609 1620        KLMD_GetSystemObjectAddressByNameW: Trying to get system object address by name \Driver\Disk

13:19:42:609 1620        DetectCureTDL3: \Driver\Disk PDRIVER_OBJECT: 89C13030

13:19:42:609 1620        DetectCureTDL3: KLMD_GetDeviceObjectList returned 6 DevObjects

13:19:42:609 1620        

13:19:42:609 1620        DetectCureTDL3: DEVICE_OBJECT: 88FF0C68

13:19:42:609 1620        KLMD_GetLowerDeviceObject: Trying to get lower device object for 88FF0C68

13:19:42:609 1620        KLMD_ReadMem: Trying to ReadMemory 0x88FF0C68[0x38]

13:19:42:609 1620        DetectCureTDL3: DRIVER_OBJECT: 89C13030

13:19:42:609 1620        KLMD_ReadMem: Trying to ReadMemory 0x89C13030[0xA8]

13:19:42:609 1620        KLMD_ReadMem: Trying to ReadMemory 0xE1603D78[0x18]

13:19:42:609 1620        DetectCureTDL3: DRIVER_OBJECT name: \Driver\Disk, Driver Name: Disk

13:19:42:609 1620        DetectCureTDL3: IrpHandler (0) addr: F765DBB0

13:19:42:609 1620        DetectCureTDL3: IrpHandler (1) addr: 804F9739

13:19:42:609 1620        DetectCureTDL3: IrpHandler (2) addr: F765DBB0

13:19:42:609 1620        DetectCureTDL3: IrpHandler (3) addr: F7657D1F

13:19:42:609 1620        DetectCureTDL3: IrpHandler (4) addr: F7657D1F

13:19:42:609 1620        DetectCureTDL3: IrpHandler (5) addr: 804F9739

13:19:42:609 1620        DetectCureTDL3: IrpHandler (6) addr: 804F9739

13:19:42:609 1620        DetectCureTDL3: IrpHandler (7) addr: 804F9739

13:19:42:609 1620        DetectCureTDL3: IrpHandler (8) addr: 804F9739

13:19:42:609 1620        DetectCureTDL3: IrpHandler (9) addr: F76582E2

13:19:42:609 1620        DetectCureTDL3: IrpHandler (10) addr: 804F9739

13:19:42:609 1620        DetectCureTDL3: IrpHandler (11) addr: 804F9739

13:19:42:609 1620        DetectCureTDL3: IrpHandler (12) addr: 804F9739

13:19:42:609 1620        DetectCureTDL3: IrpHandler (13) addr: 804F9739

13:19:42:609 1620        DetectCureTDL3: IrpHandler (14) addr: F76583BB

13:19:42:609 1620        DetectCureTDL3: IrpHandler (15) addr: F765BF28

13:19:42:609 1620        DetectCureTDL3: IrpHandler (16) addr: F76582E2

13:19:42:609 1620        DetectCureTDL3: IrpHandler (17) addr: 804F9739

13:19:42:609 1620        DetectCureTDL3: IrpHandler (18) addr: 804F9739

13:19:42:609 1620        DetectCureTDL3: IrpHandler (19) addr: 804F9739

13:19:42:609 1620        DetectCureTDL3: IrpHandler (20) addr: 804F9739

13:19:42:609 1620        DetectCureTDL3: IrpHandler (21) addr: 804F9739

13:19:42:609 1620        DetectCureTDL3: IrpHandler (22) addr: F7659C82

13:19:42:609 1620        DetectCureTDL3: IrpHandler (23) addr: F765E99E

13:19:42:609 1620        DetectCureTDL3: IrpHandler (24) addr: 804F9739

13:19:42:609 1620        DetectCureTDL3: IrpHandler (25) addr: 804F9739

13:19:42:609 1620        DetectCureTDL3: IrpHandler (26) addr: 804F9739

13:19:42:609 1620        TDL3_FileDetect: Processing driver: Disk

13:19:42:609 1620        TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\disk.sys

13:19:42:609 1620        KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\disk.sys

13:19:42:656 1620        TDL3_FileDetect: C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: Clean

13:19:42:656 1620        

13:19:42:656 1620        DetectCureTDL3: DEVICE_OBJECT: 88FE8AB8

13:19:42:656 1620        KLMD_GetLowerDeviceObject: Trying to get lower device object for 88FE8AB8

13:19:42:656 1620        DetectCureTDL3: DEVICE_OBJECT: 88FF6030

13:19:42:656 1620        KLMD_GetLowerDeviceObject: Trying to get lower device object for 88FF6030

13:19:42:656 1620        KLMD_ReadMem: Trying to ReadMemory 0x88FF6030[0x38]

13:19:42:656 1620        DetectCureTDL3: DRIVER_OBJECT: 894BC790

13:19:42:656 1620        KLMD_ReadMem: Trying to ReadMemory 0x894BC790[0xA8]

13:19:42:656 1620        KLMD_ReadMem: Trying to ReadMemory 0xE50BD738[0x1E]

13:19:42:656 1620        DetectCureTDL3: DRIVER_OBJECT name: \Driver\USBSTOR, Driver Name: USBSTOR

13:19:42:656 1620        DetectCureTDL3: IrpHandler (0) addr: 88FEA1F8

13:19:42:656 1620        DetectCureTDL3: IrpHandler (1) addr: 804F9739

13:19:42:656 1620        DetectCureTDL3: IrpHandler (2) addr: 88FEA1F8

13:19:42:656 1620        DetectCureTDL3: IrpHandler (3) addr: 88FEA1F8

13:19:42:656 1620        DetectCureTDL3: IrpHandler (4) addr: 88FEA1F8

13:19:42:656 1620        DetectCureTDL3: IrpHandler (5) addr: 804F9739

13:19:42:656 1620        DetectCureTDL3: IrpHandler (6) addr: 804F9739

13:19:42:656 1620        DetectCureTDL3: IrpHandler (7) addr: 804F9739

13:19:42:656 1620        DetectCureTDL3: IrpHandler (8) addr: 804F9739

13:19:42:656 1620        DetectCureTDL3: IrpHandler (9) addr: 804F9739

13:19:42:656 1620        DetectCureTDL3: IrpHandler (10) addr: 804F9739

13:19:42:656 1620        DetectCureTDL3: IrpHandler (11) addr: 804F9739

13:19:42:656 1620        DetectCureTDL3: IrpHandler (12) addr: 804F9739

13:19:42:656 1620        DetectCureTDL3: IrpHandler (13) addr: 804F9739

13:19:42:656 1620        DetectCureTDL3: IrpHandler (14) addr: 88FEA1F8

13:19:42:656 1620        DetectCureTDL3: IrpHandler (15) addr: 88FEA1F8

13:19:42:656 1620        DetectCureTDL3: IrpHandler (16) addr: 804F9739

13:19:42:656 1620        DetectCureTDL3: IrpHandler (17) addr: 804F9739

13:19:42:656 1620        DetectCureTDL3: IrpHandler (18) addr: 804F9739

13:19:42:656 1620        DetectCureTDL3: IrpHandler (19) addr: 804F9739

13:19:42:656 1620        DetectCureTDL3: IrpHandler (20) addr: 804F9739

13:19:42:656 1620        DetectCureTDL3: IrpHandler (21) addr: 804F9739

13:19:42:656 1620        DetectCureTDL3: IrpHandler (22) addr: 88FEA1F8

13:19:42:656 1620        DetectCureTDL3: IrpHandler (23) addr: 88FEA1F8

13:19:42:656 1620        DetectCureTDL3: IrpHandler (24) addr: 804F9739

13:19:42:656 1620        DetectCureTDL3: IrpHandler (25) addr: 804F9739

13:19:42:656 1620        DetectCureTDL3: IrpHandler (26) addr: 804F9739

13:19:42:656 1620        KLMD_ReadMem: Trying to ReadMemory 0xF77A8F26[0x400]

13:19:42:656 1620        TDL3_StartIoHookDetect: CheckParameters: 0, 00000000, 0

13:19:42:656 1620        TDL3_FileDetect: Processing driver: USBSTOR

13:19:42:656 1620        TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS

13:19:42:656 1620        KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS

13:19:42:671 1620        TDL3_FileDetect: C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS - Verdict: Clean

13:19:42:671 1620        

13:19:42:671 1620        DetectCureTDL3: DEVICE_OBJECT: 89AE9030

13:19:42:671 1620        KLMD_GetLowerDeviceObject: Trying to get lower device object for 89AE9030

13:19:42:671 1620        KLMD_ReadMem: Trying to ReadMemory 0x89AE9030[0x38]

13:19:42:671 1620        DetectCureTDL3: DRIVER_OBJECT: 89C13030

13:19:42:671 1620        KLMD_ReadMem: Trying to ReadMemory 0x89C13030[0xA8]

13:19:42:671 1620        KLMD_ReadMem: Trying to ReadMemory 0xE1603D78[0x18]

13:19:42:671 1620        DetectCureTDL3: DRIVER_OBJECT name: \Driver\Disk, Driver Name: Disk

13:19:42:671 1620        DetectCureTDL3: IrpHandler (0) addr: F765DBB0

13:19:42:671 1620        DetectCureTDL3: IrpHandler (1) addr: 804F9739

13:19:42:671 1620        DetectCureTDL3: IrpHandler (2) addr: F765DBB0

13:19:42:671 1620        DetectCureTDL3: IrpHandler (3) addr: F7657D1F

13:19:42:671 1620        DetectCureTDL3: IrpHandler (4) addr: F7657D1F

13:19:42:671 1620        DetectCureTDL3: IrpHandler (5) addr: 804F9739

13:19:42:671 1620        DetectCureTDL3: IrpHandler (6) addr: 804F9739

13:19:42:671 1620        DetectCureTDL3: IrpHandler (7) addr: 804F9739

13:19:42:671 1620        DetectCureTDL3: IrpHandler (8) addr: 804F9739

13:19:42:671 1620        DetectCureTDL3: IrpHandler (9) addr: F76582E2

13:19:42:671 1620        DetectCureTDL3: IrpHandler (10) addr: 804F9739

13:19:42:671 1620        DetectCureTDL3: IrpHandler (11) addr: 804F9739

13:19:42:671 1620        DetectCureTDL3: IrpHandler (12) addr: 804F9739

13:19:42:671 1620        DetectCureTDL3: IrpHandler (13) addr: 804F9739

13:19:42:671 1620        DetectCureTDL3: IrpHandler (14) addr: F76583BB

13:19:42:671 1620        DetectCureTDL3: IrpHandler (15) addr: F765BF28

13:19:42:671 1620        DetectCureTDL3: IrpHandler (16) addr: F76582E2

13:19:42:671 1620        DetectCureTDL3: IrpHandler (17) addr: 804F9739

13:19:42:671 1620        DetectCureTDL3: IrpHandler (18) addr: 804F9739

13:19:42:671 1620        DetectCureTDL3: IrpHandler (19) addr: 804F9739

13:19:42:671 1620        DetectCureTDL3: IrpHandler (20) addr: 804F9739

13:19:42:671 1620        DetectCureTDL3: IrpHandler (21) addr: 804F9739

13:19:42:671 1620        DetectCureTDL3: IrpHandler (22) addr: F7659C82

13:19:42:671 1620        DetectCureTDL3: IrpHandler (23) addr: F765E99E

13:19:42:671 1620        DetectCureTDL3: IrpHandler (24) addr: 804F9739

13:19:42:671 1620        DetectCureTDL3: IrpHandler (25) addr: 804F9739

13:19:42:671 1620        DetectCureTDL3: IrpHandler (26) addr: 804F9739

13:19:42:671 1620        TDL3_FileDetect: Processing driver: Disk

13:19:42:671 1620        TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\disk.sys

13:19:42:671 1620        KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\disk.sys

13:19:42:671 1620        TDL3_FileDetect: C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: Clean

13:19:42:671 1620        

13:19:42:671 1620        DetectCureTDL3: DEVICE_OBJECT: 89AE7A28

13:19:42:671 1620        KLMD_GetLowerDeviceObject: Trying to get lower device object for 89AE7A28

13:19:42:671 1620        KLMD_ReadMem: Trying to ReadMemory 0x89AE7A28[0x38]

13:19:42:671 1620        DetectCureTDL3: DRIVER_OBJECT: 89C13030

13:19:42:671 1620        KLMD_ReadMem: Trying to ReadMemory 0x89C13030[0xA8]

13:19:42:671 1620        KLMD_ReadMem: Trying to ReadMemory 0xE1603D78[0x18]

13:19:42:671 1620        DetectCureTDL3: DRIVER_OBJECT name: \Driver\Disk, Driver Name: Disk

13:19:42:671 1620        DetectCureTDL3: IrpHandler (0) addr: F765DBB0

13:19:42:671 1620        DetectCureTDL3: IrpHandler (1) addr: 804F9739

13:19:42:671 1620        DetectCureTDL3: IrpHandler (2) addr: F765DBB0

13:19:42:671 1620        DetectCureTDL3: IrpHandler (3) addr: F7657D1F

13:19:42:671 1620        DetectCureTDL3: IrpHandler (4) addr: F7657D1F

13:19:42:671 1620        DetectCureTDL3: IrpHandler (5) addr: 804F9739

13:19:42:671 1620        DetectCureTDL3: IrpHandler (6) addr: 804F9739

13:19:42:671 1620        DetectCureTDL3: IrpHandler (7) addr: 804F9739

13:19:42:671 1620        DetectCureTDL3: IrpHandler (8) addr: 804F9739

13:19:42:671 1620        DetectCureTDL3: IrpHandler (9) addr: F76582E2

13:19:42:671 1620        DetectCureTDL3: IrpHandler (10) addr: 804F9739

13:19:42:671 1620        DetectCureTDL3: IrpHandler (11) addr: 804F9739

13:19:42:671 1620        DetectCureTDL3: IrpHandler (12) addr: 804F9739

13:19:42:671 1620        DetectCureTDL3: IrpHandler (13) addr: 804F9739

13:19:42:671 1620        DetectCureTDL3: IrpHandler (14) addr: F76583BB

13:19:42:671 1620        DetectCureTDL3: IrpHandler (15) addr: F765BF28

13:19:42:671 1620        DetectCureTDL3: IrpHandler (16) addr: F76582E2

13:19:42:671 1620        DetectCureTDL3: IrpHandler (17) addr: 804F9739

13:19:42:671 1620        DetectCureTDL3: IrpHandler (18) addr: 804F9739

13:19:42:671 1620        DetectCureTDL3: IrpHandler (19) addr: 804F9739

13:19:42:671 1620        DetectCureTDL3: IrpHandler (20) addr: 804F9739

13:19:42:671 1620        DetectCureTDL3: IrpHandler (21) addr: 804F9739

13:19:42:671 1620        DetectCureTDL3: IrpHandler (22) addr: F7659C82

13:19:42:671 1620        DetectCureTDL3: IrpHandler (23) addr: F765E99E

13:19:42:671 1620        DetectCureTDL3: IrpHandler (24) addr: 804F9739

13:19:42:671 1620        DetectCureTDL3: IrpHandler (25) addr: 804F9739

13:19:42:671 1620        DetectCureTDL3: IrpHandler (26) addr: 804F9739

13:19:42:671 1620        TDL3_FileDetect: Processing driver: Disk

13:19:42:671 1620        TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\disk.sys

13:19:42:671 1620        KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\disk.sys

13:19:42:687 1620        TDL3_FileDetect: C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: Clean

13:19:42:687 1620        

13:19:42:687 1620        DetectCureTDL3: DEVICE_OBJECT: 89B20AB8

13:19:42:687 1620        KLMD_GetLowerDeviceObject: Trying to get lower device object for 89B20AB8

13:19:42:687 1620        DetectCureTDL3: DEVICE_OBJECT: 89AE5D98

13:19:42:687 1620        KLMD_GetLowerDeviceObject: Trying to get lower device object for 89AE5D98

13:19:42:687 1620        KLMD_ReadMem: Trying to ReadMemory 0x89AE5D98[0x38]

13:19:42:687 1620        DetectCureTDL3: DRIVER_OBJECT: 89B25850

13:19:42:687 1620        KLMD_ReadMem: Trying to ReadMemory 0x89B25850[0xA8]

13:19:42:687 1620        KLMD_ReadMem: Trying to ReadMemory 0xE1016B90[0x1A]

13:19:42:687 1620        DetectCureTDL3: DRIVER_OBJECT name: \Driver\atapi, Driver Name: atapi

13:19:42:687 1620        DetectCureTDL3: IrpHandler (0) addr: F7833B40

13:19:42:687 1620        DetectCureTDL3: IrpHandler (1) addr: 804F9739

13:19:42:687 1620        DetectCureTDL3: IrpHandler (2) addr: F7833B40

13:19:42:687 1620        DetectCureTDL3: IrpHandler (3) addr: 804F9739

13:19:42:687 1620        DetectCureTDL3: IrpHandler (4) addr: 804F9739

13:19:42:687 1620        DetectCureTDL3: IrpHandler (5) addr: 804F9739

13:19:42:687 1620        DetectCureTDL3: IrpHandler (6) addr: 804F9739

13:19:42:687 1620        DetectCureTDL3: IrpHandler (7) addr: 804F9739

13:19:42:687 1620        DetectCureTDL3: IrpHandler (8) addr: 804F9739

13:19:42:687 1620        DetectCureTDL3: IrpHandler (9) addr: 804F9739

13:19:42:687 1620        DetectCureTDL3: IrpHandler (10) addr: 804F9739

13:19:42:687 1620        DetectCureTDL3: IrpHandler (11) addr: 804F9739

13:19:42:687 1620        DetectCureTDL3: IrpHandler (12) addr: 804F9739

13:19:42:687 1620        DetectCureTDL3: IrpHandler (13) addr: 804F9739

13:19:42:687 1620        DetectCureTDL3: IrpHandler (14) addr: F7833B40

13:19:42:687 1620        DetectCureTDL3: IrpHandler (15) addr: F7833B40

13:19:42:687 1620        DetectCureTDL3: IrpHandler (16) addr: 804F9739

13:19:42:687 1620        DetectCureTDL3: IrpHandler (17) addr: 804F9739

13:19:42:687 1620        DetectCureTDL3: IrpHandler (18) addr: 804F9739

13:19:42:687 1620        DetectCureTDL3: IrpHandler (19) addr: 804F9739

13:19:42:687 1620        DetectCureTDL3: IrpHandler (20) addr: 804F9739

13:19:42:687 1620        DetectCureTDL3: IrpHandler (21) addr: 804F9739

13:19:42:687 1620        DetectCureTDL3: IrpHandler (22) addr: F7833B40

13:19:42:687 1620        DetectCureTDL3: IrpHandler (23) addr: F7833B40

13:19:42:687 1620        DetectCureTDL3: IrpHandler (24) addr: 804F9739

13:19:42:687 1620        DetectCureTDL3: IrpHandler (25) addr: 804F9739

13:19:42:687 1620        DetectCureTDL3: IrpHandler (26) addr: 804F9739

13:19:42:687 1620        KLMD_ReadMem: Trying to ReadMemory 0xF7831864[0x400]

13:19:42:687 1620        TDL3_StartIoHookDetect: CheckParameters: 0, 00000000, 0

13:19:42:687 1620        TDL3_FileDetect: Processing driver: atapi

13:19:42:687 1620        TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\atapi.sys

13:19:42:687 1620        KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\atapi.sys

13:19:42:703 1620        TDL3_FileDetect: C:\WINDOWS\system32\DRIVERS\atapi.sys - Verdict: Clean

13:19:42:703 1620        

13:19:42:703 1620        DetectCureTDL3: DEVICE_OBJECT: 89AECAB8

13:19:42:703 1620        KLMD_GetLowerDeviceObject: Trying to get lower device object for 89AECAB8

13:19:42:703 1620        DetectCureTDL3: DEVICE_OBJECT: 89AEDB00

13:19:42:703 1620        KLMD_GetLowerDeviceObject: Trying to get lower device object for 89AEDB00

13:19:42:703 1620        KLMD_ReadMem: Trying to ReadMemory 0x89AEDB00[0x38]

13:19:42:703 1620        DetectCureTDL3: DRIVER_OBJECT: 89B25850

13:19:42:703 1620        KLMD_ReadMem: Trying to ReadMemory 0x89B25850[0xA8]

13:19:42:703 1620        KLMD_ReadMem: Trying to ReadMemory 0xE1016B90[0x1A]

13:19:42:703 1620        DetectCureTDL3: DRIVER_OBJECT name: \Driver\atapi, Driver Name: atapi

13:19:42:703 1620        DetectCureTDL3: IrpHandler (0) addr: F7833B40

13:19:42:703 1620        DetectCureTDL3: IrpHandler (1) addr: 804F9739

13:19:42:703 1620        DetectCureTDL3: IrpHandler (2) addr: F7833B40

13:19:42:703 1620        DetectCureTDL3: IrpHandler (3) addr: 804F9739

13:19:42:703 1620        DetectCureTDL3: IrpHandler (4) addr: 804F9739

13:19:42:703 1620        DetectCureTDL3: IrpHandler (5) addr: 804F9739

13:19:42:703 1620        DetectCureTDL3: IrpHandler (6) addr: 804F9739

13:19:42:703 1620        DetectCureTDL3: IrpHandler (7) addr: 804F9739

13:19:42:703 1620        DetectCureTDL3: IrpHandler (8) addr: 804F9739

13:19:42:703 1620        DetectCureTDL3: IrpHandler (9) addr: 804F9739

13:19:42:703 1620        DetectCureTDL3: IrpHandler (10) addr: 804F9739

13:19:42:703 1620        DetectCureTDL3: IrpHandler (11) addr: 804F9739

13:19:42:703 1620        DetectCureTDL3: IrpHandler (12) addr: 804F9739

13:19:42:703 1620        DetectCureTDL3: IrpHandler (13) addr: 804F9739

13:19:42:703 1620        DetectCureTDL3: IrpHandler (14) addr: F7833B40

13:19:42:703 1620        DetectCureTDL3: IrpHandler (15) addr: F7833B40

13:19:42:703 1620        DetectCureTDL3: IrpHandler (16) addr: 804F9739

13:19:42:703 1620        DetectCureTDL3: IrpHandler (17) addr: 804F9739

13:19:42:703 1620        DetectCureTDL3: IrpHandler (18) addr: 804F9739

13:19:42:703 1620        DetectCureTDL3: IrpHandler (19) addr: 804F9739

13:19:42:703 1620        DetectCureTDL3: IrpHandler (20) addr: 804F9739

13:19:42:703 1620        DetectCureTDL3: IrpHandler (21) addr: 804F9739

13:19:42:703 1620        DetectCureTDL3: IrpHandler (22) addr: F7833B40

13:19:42:703 1620        DetectCureTDL3: IrpHandler (23) addr: F7833B40

13:19:42:703 1620        DetectCureTDL3: IrpHandler (24) addr: 804F9739

13:19:42:703 1620        DetectCureTDL3: IrpHandler (25) addr: 804F9739

13:19:42:703 1620        DetectCureTDL3: IrpHandler (26) addr: 804F9739

13:19:42:703 1620        KLMD_ReadMem: Trying to ReadMemory 0xF7831864[0x400]

13:19:42:703 1620        TDL3_StartIoHookDetect: CheckParameters: 0, 00000000, 0

13:19:42:703 1620        TDL3_FileDetect: Processing driver: atapi

13:19:42:703 1620        TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\atapi.sys

13:19:42:703 1620        KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\atapi.sys

13:19:42:703 1620        TDL3_FileDetect: C:\WINDOWS\system32\DRIVERS\atapi.sys - Verdict: Clean

13:19:42:703 1620        

13:19:42:703 1620        Completed

13:19:42:703 1620        

13:19:42:703 1620        Results:

13:19:42:703 1620        Memory objects infected / cured / cured on reboot:        0 / 0 / 0

13:19:42:703 1620        Registry objects infected / cured / cured on reboot:        0 / 0 / 0

13:19:42:703 1620        File objects infected / cured / cured on reboot:        0 / 0 / 0

13:19:42:703 1620        

13:19:42:703 1620        MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\drivers\klmd.sys) returned status 00000000

13:19:42:703 1620        UtilityDeinit: KLMD(ARK) unloaded successfully

Hi,

das Log ist sauber, kein TDSS...

Bitte folgende Files prüfen (die "***" durch den richtigen Pfad ersetzen!):

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\av.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Ersetzte bitte unten im Script die "***" durch den richtigen Pfad!:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mzi3ndg3nta0/aven.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

Files to delete:

c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\av.exe

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

b]Open-command für exe zurücksetzen[/b]
Speichere den nachfolgenden Text über den Editor (Start->Ausführen notepad)
auf dem Desktop unter dem Namen SetExe.reg (wichtig : nicht unter der Erweiterung "TXT").
Dann mit Doppelklick auf die Datei ausführen, Abfrage abnicken!

Code:

REGEDIT4
 

[HKEY_CLASSES_ROOT\exefile]

"EditFlags"=hex:d8,07,00,00

@="Anwendung"
 

[HKEY_CLASSES_ROOT\exefile\shell]

@=""
 

[HKEY_CLASSES_ROOT\exefile\shell\open]

@=""

"EditFlags"=hex:00,00,00,00
 

[HKEY_CLASSES_ROOT\exefile\shell\open\command]

@="\"%1\" %*"
 

[HKEY_CLASSES_ROOT\exefile\shellex]
 

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]
 

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\{86F19A00-42A0-1069-A2E9-08002B30309D}]

@=""
 

[HKEY_CLASSES_ROOT\exefile\DefaultIcon]

@="%1"

Danach bitte noch mal MAM probieren!

chris

Sers Chris,

habe das problem, dass solange ich nur eingeschränkte konnektivitaet mit dem Internet habe, ich keinen online Scan durchführen kann... Hast du ne Idee, wieso ich da nach gmer Probleme hab? Andere Rechner kommen problemlos ins netz ueber meinen meinen Router!

Habe av.exe manuell in die antivir Quarantäne verschoben, hat aber nix geändert! Soll ich's wieder rausholen falls die online scans fuer mich wieder moeglich sind?

Gruß j.

Hi,

kann eigentlich nicht sein, GMER installiert nur einen Treiber und entfernt nichts von selbst...

Wie ist der Stand, hast Du das Avengerscript durchgeführt und das Script mit den Reg.-Einträgen? Lässt sich MAM aufrufen?
Nach dem Reg.-Script bitte neu booten!

chris

ahhhh, Hilfe Chris...

habe das Log mit Avenger nach Deinen Vorgaben erstellt, und das script hat wohl erfolgreich die av.exe gekillt.

Habe jetzt aber das problem, dass ich keine exe datei mehr öffnen kann... bei allen dateien fragt er nach dem Programm, mit dem ich es öffnen will...

hier das log:

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46
 

http://swandog46.geekstogo.com
 
 
 

Platform:  Windows XP
 
 
 

*******************
 
 
 

Script file opened successfully.
 

Script file read successfully.
 
 
 

Backups directory opened successfully at C:\Avenger
 
 
 

*******************
 
 
 

Beginning to process script file:
 
 
 

Rootkit scan active.
 

No rootkits found!
 
 
 

File "C:\dokumente und einstellungen\Johannes\Lokale Einstellungen\Anwendungsdaten\av.exe" deleted successfully.
 
 
 

Completed script processing.
 
 
 

*******************
 
 
 

Finished!  Terminate.

vielen dank, ich hoffe du kannst mir schnell helfen...

ps: Malwarebytes lässt sich natürlich ebenfalls nicht starten -> .exe

Puhhh, entwarnung, habbe die exe dateien mit hilfe von http://forum.chip.de/windows-xp/xp-keine-exe-dateien-mehr-oeffnen-673490.html wieder hinbekommen, waren wohl ein paar reg eintragungen, die von dem virus/trojaner verändert wurden.

meinst du, das selbe problem könnte auch für meine Internet connection zutreffen? wenn ja, hast du ne idee, wie man da was finden kann?

malwarebytes läuft, allerding mit der version von vorgestern, weil ich doch kein internet hab! werd mir die aktuelle mal unter http://www.malwarebytes.org/mbam/database/mbam-rules.exe runterladen, allerdings weiß ich auch nicht, ob diese version neuer ist!!

Gruß J.

hier das mbam (version von vor 2 Tagen) Log:

Code:

Malwarebytes' Anti-Malware 1.44

Datenbank Version: 3671

Windows 5.1.2600 Service Pack 3

Internet Explorer 7.0.5730.13
 

03.02.2010 23:52:00

mbam-log-2010-02-03 (23-52-00).txt
 

Scan-Methode: Vollst‰ndiger Scan (C:\|D:\|E:\|I:\|)

Durchsuchte Objekte: 422642

Laufzeit: 1 hour(s), 41 minute(s), 59 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschl¸ssel: 1

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bˆsartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bˆsartigen Objekte gefunden)
 

Infizierte Registrierungsschl¸ssel:

HKEY_CLASSES_ROOT\secfile (Trojan.Fakealert) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

(Keine bˆsartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bˆsartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bˆsartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bˆsartigen Objekte gefunden)

Hi,

die Datei von Chip ist mehr oder weniger das gleiche was ich vorher gepostet hatte... Musstest Du die regedit.exe in regedit.com umbenennen damit es läuft?

Da er das Internet umbiegt wäre mir neu, erstelle bitte noch ein OTL-Log mal sehen ob ich was finden kann.

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
* Doppelklick auf die OTL.exe
* Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
* Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
* Unter Extra Registry, wähle bitte Use SafeList
* Klicke nun auf Run Scan links oben
* Wenn der Scan beendet wurde werden 2 Logfiles erstellt
* Poste die Logfiles hier in den Thread.

chris

servus,

die änderungen der registry hat ein .reg datei durchgeführt, die dort steht. Hätte sonst wohl den weg mit .com gehen muessen, ist aber ja auch nix anderes...

konnte das otl extra log nicht finden, wo versteckt sich das denn?

hier das otl log:

Code:

OTL logfile created on: 04.02.2010 12:14:50 - Run 4

OTL by OldTimer - Version 3.1.21.0     Folder = C:\Dokumente und Einstellungen\***\Desktop

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 7.0.5730.13)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 69,00% Memory free

3,00 Gb Paging File | 3,00 Gb Available in Paging File | 86,00% Paging File free

Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 298,08 Gb Total Space | 189,35 Gb Free Space | 63,52% Space Free | Partition Type: NTFS

D: Drive not present or media not loaded

Drive E: | 149,04 Gb Total Space | 86,15 Gb Free Space | 57,81% Space Free | Partition Type: NTFS

F: Drive not present or media not loaded

G: Drive not present or media not loaded

H: Drive not present or media not loaded

I: Drive not present or media not loaded

 

Computer Name: ***

Current User Name: ***

Logged in as Administrator.

 

Current Boot Mode: Normal

Scan Mode: Current user

Company Name Whitelist: Off

Skip Microsoft Files: Off

File Age = 30 Days

Output = Minimal

 
 ========== Processes (SafeList) ==========

 

PRC - C:\Programme\Prevx\prevx.exe (Prevx)

PRC - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools)

PRC - C:\Programme\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)

PRC - C:\Programme\iTunes\iTunesHelper.exe (Apple Inc.)

PRC - C:\Programme\iPod\bin\iPodService.exe (Apple Inc.)

PRC - C:\Programme\Logitech Touch Mouse Server\iTouch-Server-Win.exe (Logitech, Inc.)

PRC - C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe (Lavasoft)

PRC - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft)

PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)

PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)

PRC - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (Nero AG)

PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)

PRC - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)

PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)

PRC - C:\Programme\Bonjour\mDNSResponder.exe (Apple Inc.)

PRC - C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe (Microsoft Corporation)

PRC - C:\Programme\VideoLAN\VLC\vlc.exe ()

PRC - C:\Programme\Mediafour\MacDrive 7\MacDriveService.exe (Mediafour Corporation)

PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)

PRC - C:\WINDOWS\system32\HPZipm12.exe (HP)

PRC - C:\Programme\CheckPoint\SSL Network Extender\slimsvc.exe (Check Point Software Technologies)

PRC - C:\WINDOWS\system32\oodag.exe (O&O Software GmbH)

PRC - C:\WINDOWS\system32\oodtray.exe (O&O Software GmbH)

PRC - C:\WINDOWS\system32\nvsvc32.exe (NVIDIA Corporation)

PRC - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG)

PRC - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe (Nero AG)

PRC - C:\Programme\ASUS\WLAN Card Utilities\Center.exe (ASUSTeK COMPUTER INC.)

PRC - C:\WINDOWS\system32\wbem\unsecapp.exe (Microsoft Corporation)

PRC - C:\Programme\Logitech\iTouch\iTouch.exe (Logitech Inc.)

PRC - C:\WINDOWS\mixer.exe (C-Media Electronic Inc. (www.cmedia.com.tw))

 

 
 ========== Modules (SafeList) ==========

 

MOD - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools)

MOD - C:\Programme\Logitech\iTouch\itchhk.dll (Logitech Inc.)

MOD - C:\Programme\Gemeinsame Dateien\Logitech\Scrolling\LGMSGHK.DLL (Logitech Inc.)

 

 
 ========== Win32 Services (SafeList) ==========

 

SRV - (CSIScanner) -- C:\Programme\Prevx\prevx.exe (Prevx)

SRV - (FLEXnet Licensing Service) -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Acresso Software Inc.)

SRV - (iPod Service) -- C:\Programme\iPod\bin\iPodService.exe (Apple Inc.)

SRV - (Lavasoft Ad-Aware Service) -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft)

SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)

SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)

SRV - (ServiceLayer) -- C:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe (Nokia.)

SRV - (Nero BackItUp Scheduler 4.0) -- C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (Nero AG)

SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)

SRV - (TwonkyMedia) -- C:\Programme\Nokia\Nokia Home Media Server\Media Server\TwonkyMedia.exe (PacketVideo)

SRV - (Bonjour Service) -- C:\Programme\Bonjour\mDNSResponder.exe (Apple Inc.)

SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)

SRV - (Microsoft Office Groove Audit Service) -- C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe (Microsoft Corporation)

SRV - (MacDriveService) -- C:\Programme\Mediafour\MacDrive 7\MacDriveService.exe (Mediafour Corporation)

SRV - (Adobe LM Service) -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe (Adobe Systems)

SRV - (Pml Driver HPZ12) -- C:\WINDOWS\system32\HPZipm12.exe (HP)

SRV - (cpextender) -- C:\Programme\CheckPoint\SSL Network Extender\slimsvc.exe (Check Point Software Technologies)

SRV - (O&O Defrag) -- C:\WINDOWS\system32\oodag.exe (O&O Software GmbH)

SRV - (NVSvc) -- C:\WINDOWS\system32\nvsvc32.exe (NVIDIA Corporation)

SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)

SRV - (NBService) -- C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe (Nero AG)

SRV - (Adobe Version Cue CS2) -- C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe (Adobe Systems Incorporated)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - (pxrts) -- C:\WINDOWS\system32\drivers\pxrts.sys (Prevx)

DRV - (pxscan) -- C:\WINDOWS\System32\drivers\pxscan.sys (Prevx)

DRV - (pxkbf) -- C:\WINDOWS\system32\drivers\pxkbf.sys (Prevx)

DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys ()

DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)

DRV - (USBAAPL) -- C:\WINDOWS\system32\drivers\usbaapl.sys (Apple, Inc.)

DRV - (atksgt) -- C:\WINDOWS\system32\drivers\atksgt.sys ()

DRV - (lirsgt) -- C:\WINDOWS\system32\drivers\lirsgt.sys ()

DRV - (Lbd) -- C:\WINDOWS\system32\DRIVERS\Lbd.sys (Lavasoft AB)

DRV - (SASENUM) -- C:\Programme\SUPERAntiSpyware\SASENUM.SYS ( SUPERAdBlocker.com and SUPERAntiSpyware.com)

DRV - (SASDIFSV) -- C:\Programme\SUPERAntiSpyware\sasdifsv.sys (SUPERAdBlocker.com and SUPERAntiSpyware.com)

DRV - (SASKUTIL) -- C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS (SUPERAdBlocker.com and SUPERAntiSpyware.com)

DRV - (GEARAspiWDM) -- C:\WINDOWS\system32\drivers\GEARAspiWDM.sys (GEAR Software Inc.)

DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)

DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)

DRV - (nmwcdnsu) -- C:\WINDOWS\system32\drivers\nmwcdnsu.sys (Nokia)

DRV - (nmwcdnsuc) -- C:\WINDOWS\system32\drivers\nmwcdnsuc.sys (Nokia)

DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)

DRV - (hwpsgt) -- C:\WINDOWS\system32\drivers\hwpsgt.sys ()

DRV - (lemsgt) -- C:\WINDOWS\system32\drivers\lemsgt.sys ()

DRV - (UsbserFilt) -- C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys (Nokia)

DRV - (upperdev) -- C:\WINDOWS\system32\drivers\usbser_lowerflt.sys (Nokia)

DRV - (nmwcdc) -- C:\WINDOWS\system32\drivers\ccdcmbo.sys (Nokia)

DRV - (nmwcd) -- C:\WINDOWS\system32\drivers\ccdcmb.sys (Nokia)

DRV - (pccsmcfd) -- C:\WINDOWS\system32\drivers\pccsmcfd.sys (Nokia)

DRV - (MDFSYSNT) -- C:\WINDOWS\system32\drivers\MDFSYSNT.SYS (Mediafour Corporation)

DRV - (ElbyCDIO) -- C:\WINDOWS\system32\drivers\ElbyCDIO.sys (Elaborate Bytes AG)

DRV - (usbser) -- C:\WINDOWS\system32\drivers\usbser.sys (Microsoft Corporation)

DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation)

DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)

DRV - (PxHelp20) -- C:\WINDOWS\System32\Drivers\PxHelp20.sys (Sonic Solutions)

DRV - (tapvpn) -- C:\WINDOWS\system32\drivers\tapvpn.sys (The OpenVPN Project)

DRV - (Secdrv) -- C:\WINDOWS\system32\drivers\secdrv.sys (Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.)

DRV - (VNA) -- C:\WINDOWS\system32\drivers\vna.sys (Check Point Software Technologies)

DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)

DRV - (MDPMGRNT) -- C:\WINDOWS\system32\drivers\MDPMGRNT.sys (Mediafour Corporation)

DRV - (ElbyCDFL) -- C:\WINDOWS\system32\drivers\ElbyCDFL.sys (SlySoft, Inc.)

DRV - (HPZid412) -- C:\WINDOWS\system32\drivers\HPZid412.sys (HP)

DRV - (HPZius12) -- C:\WINDOWS\system32\drivers\HPZius12.sys (HP)

DRV - (HPZipr12) -- C:\WINDOWS\system32\drivers\HPZipr12.sys (HP)

DRV - (MTsensor) -- C:\WINDOWS\system32\drivers\ASACPI.sys ()

DRV - (Ptilink) -- C:\WINDOWS\system32\drivers\ptilink.sys (Parallel Technologies, Inc.)

DRV - (W8100XP) -- C:\WINDOWS\system32\drivers\mrv8ka51.sys (Marvell Semiconductor, Inc)

DRV - (itchfltr) -- C:\WINDOWS\system32\drivers\itchfltr.sys (Logitech, Inc.)

DRV - (LHidUsb) -- C:\WINDOWS\system32\drivers\LHidUsb.sys (Logitech, Inc.)

DRV - (LCcfltr) -- C:\WINDOWS\system32\drivers\LCcfltr.sys (Logitech, Inc.)

DRV - (cmpci) C-Media PCI Audio Driver (WDM) -- C:\WINDOWS\system32\drivers\cmaudio.sys (C-Media Inc)

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = www.spiegel.de

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local

 
 ========== FireFox ==========

 

FF - prefs.js..browser.search.defaultenginename: "Google"

FF - prefs.js..browser.search.defaulturl: "http://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="

FF - prefs.js..browser.search.useDBForOrder: true

FF - prefs.js..browser.startup.homepage: "http://www.spiegel.de/"

FF - prefs.js..extensions.enabledItems: {ec8030f7-c20a-464f-9b1e-13a3a9e97399}:0.1.8.6

FF - prefs.js..extensions.enabledItems: fastdial@telega.phpnet.us:2.23b1

FF - prefs.js..extensions.enabledItems: moveplayer@movenetworks.com:1.0.0.071303000004

FF - prefs.js..extensions.enabledItems: {27A2FD41-CB23-4518-AB5C-C25BAFFDE531}:1.4.1

FF - prefs.js..extensions.enabledItems: foxmarks@kei.com:3.1.0

FF - prefs.js..network.proxy.autoconfig_url: "74.194.250.9:9090"

FF - prefs.js..network.proxy.socks_version: 4

 

FF - HKLM\software\mozilla\Firefox\Extensions\\bkmrksync@nokia.com: C:\Programme\Nokia\Nokia PC Suite 7\bkmrksync\ [2009.07.07 18:41:34 | 00,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.01.29 00:35:22 | 00,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.01.10 15:26:12 | 00,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.23\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2009.11.08 15:47:15 | 00,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.23\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2009.11.08 15:47:15 | 00,000,000 | ---D | M]

 

[2008.06.18 12:02:15 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions

[2010.02.01 20:17:53 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\hywfbfip.Jo\extensions

[2009.12.03 18:14:04 | 00,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\hywfbfip.Jo\extensions\{20a82645-c095-46ed-80e3-08825760534b}

[2009.12.06 21:53:31 | 00,000,000 | ---D | M] (Cryptload Link Copier) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\hywfbfip.Jo\extensions\{ec8030f7-c20a-464f-9b1e-13a3a9e97399}

[2009.12.03 18:03:36 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\m03ch736.default\extensions

[2009.01.14 11:55:32 | 00,000,000 | ---D | M] (SwitchProxy Tool) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\m03ch736.default\extensions\{27A2FD41-CB23-4518-AB5C-C25BAFFDE531}

[2009.07.06 12:30:53 | 00,000,000 | ---D | M] (Cryptload Link Copier) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\m03ch736.default\extensions\{ec8030f7-c20a-464f-9b1e-13a3a9e97399}

[2009.08.11 22:15:23 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\m03ch736.default\extensions\fastdial@telega.phpnet.us

[2009.05.05 20:22:05 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\m03ch736.default\extensions\foxmarks@kei.com

[2009.04.15 18:19:32 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\m03ch736.default\extensions\moveplayer@movenetworks.com

[2008.03.27 10:16:22 | 00,002,921 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\m03ch736.default\searchplugins\daemon-search.xml

[2008.07.05 15:37:01 | 00,000,432 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\m03ch736.default\searchplugins\serienjunkies.xml

[2010.02.01 20:17:53 | 00,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions

[2008.08.27 19:01:52 | 04,784,128 | ---- | M] (Lizardtech Software) -- C:\Programme\Mozilla Firefox\plugins\npexview.dll

[2006.09.26 11:03:14 | 00,098,304 | ---- | M] (Zylom) -- C:\Programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll

[2009.11.03 03:14:39 | 00,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml

[2009.11.03 03:14:39 | 00,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml

[2009.11.03 03:14:39 | 00,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml

[2009.11.03 03:14:39 | 00,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml

[2009.11.03 03:14:39 | 00,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

 

O1 HOSTS File: (307229 bytes) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O1 - Hosts: 127.0.0.1        www.007guard.com

O1 - Hosts: 127.0.0.1        007guard.com

O1 - Hosts: 127.0.0.1        008i.com

O1 - Hosts: 127.0.0.1        www.008k.com

O1 - Hosts: 127.0.0.1        008k.com

O1 - Hosts: 127.0.0.1        www.00hq.com

O1 - Hosts: 127.0.0.1        00hq.com

O1 - Hosts: 127.0.0.1        010402.com

O1 - Hosts: 127.0.0.1        www.032439.com

O1 - Hosts: 127.0.0.1        032439.com

O1 - Hosts: 127.0.0.1        www.0scan.com

O1 - Hosts: 127.0.0.1        0scan.com

O1 - Hosts: 127.0.0.1        www.1000gratisproben.com

O1 - Hosts: 127.0.0.1        1000gratisproben.com

O1 - Hosts: 127.0.0.1        www.1001namen.com

O1 - Hosts: 127.0.0.1        1001namen.com

O1 - Hosts: 127.0.0.1        100888290cs.com

O1 - Hosts: 127.0.0.1        www.100888290cs.com

O1 - Hosts: 127.0.0.1        100sexlinks.com

O1 - Hosts: 127.0.0.1        www.100sexlinks.com

O1 - Hosts: 127.0.0.1        10sek.com

O1 - Hosts: 127.0.0.1        www.10sek.com

O1 - Hosts: 127.0.0.1        www.1-2005-search.com

O1 - Hosts: 127.0.0.1        1-2005-search.com

O1 - Hosts: 10574 more lines...

O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)

O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)

O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)

O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll (Sun Microsystems, Inc.)

O2 - BHO: (SnapFlash Class) - {A44CBB0B-C77D-4BF5-87CC-B4EE79AD1B7E} - C:\Programme\Gemeinsame Dateien\Justdo\Jd2002.dll (justDo Software)

O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll ()

O3 - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll ()

O4 - HKLM..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe (Lavasoft)

O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)

O4 - HKLM..\Run: [C-Media Mixer] C:\WINDOWS\mixer.exe (C-Media Electronic Inc. (www.cmedia.com.tw))

O4 - HKLM..\Run: [Control Center] C:\Programme\ASUS\WLAN Card Utilities\Center.exe (ASUSTeK COMPUTER INC.)

O4 - HKLM..\Run: [GrooveMonitor] C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe (Microsoft Corporation)

O4 - HKLM..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe (Apple Inc.)

O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)

O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)

O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()

O4 - HKLM..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe (O&O Software GmbH)

O4 - HKLM..\Run: [QuickTime Task] C:\Programme\QuickTime\QTTask.exe (Apple Inc.)

O4 - HKLM..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe (Logitech Inc.)

O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG)

O4 - HKCU..\Run: [DAEMON Tools Lite] C:\Programme\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)

O4 - HKCU..\Run: [Google Update] C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe (Google Inc.)

O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)

O4 - Startup: C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\Logitech Touch Mouse Server.lnk = C:\Programme\Logitech Touch Mouse Server\iTouch-Server-Win.exe (Logitech, Inc.)

O4 - Startup: C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0

O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)

O8 - Extra context menu item: Save Flash with Flash Catcher - C:\Programme\Gemeinsame Dateien\Justdo\IECatcher.DLL (justDo Software)

O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll (Sun Microsystems, Inc.)

O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)

O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)

O9 - Extra Button: Flash Catcher - {90BAE0EF-F4BF-4FAC-B2EC-2C725C34AF12} - C:\Programme\Gemeinsame Dateien\Justdo\IECatcher.DLL (justDo Software)

O9 - Extra 'Tools' menuitem : Flash Catcher - {90BAE0EF-F4BF-4FAC-B2EC-2C725C34AF12} - C:\Programme\Gemeinsame Dateien\Justdo\IECatcher.DLL (justDo Software)

O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)

O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)

O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (ICQ, Inc.)

O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (ICQ, Inc.)

O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)

O15 - HKLM\..Trusted Domains: 50 domain(s) and sub-domain(s) not assigned to a zone.

O15 - HKCU\..Trusted Domains: 49 domain(s) and sub-domain(s) not assigned to a zone.

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206541751656 (WUWebControl Class)

O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab (Reg Error: Key error.)

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1206556250812 (MUWebControl Class)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)

O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation)

O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\jpip {B92DD248-E3D5-4A92-B311-C9B841681455} - C:\Programme\LizardTech\Express View\expressview.dll (Lizardtech Software)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)

O18 - Protocol\Handler\sidlet {B92DD248-E3D5-4A92-B311-C9B841681455} - C:\Programme\LizardTech\Express View\expressview.dll (Lizardtech Software)

O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)

O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O20 - Winlogon\Notify\!SASWinLogon: DllName - C:\Programme\SUPERAntiSpyware\SASWINLO.dll - C:\Programme\SUPERAntiSpyware\SASWINLO.dll (SUPERAntiSpyware.com)

O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home

O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Programme\SUPERAntiSpyware\SASSEH.DLL (SuperAdBlocker.com)

O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2008.11.04 00:55:36 | 00,000,050 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O34 - HKLM BootExecute: (autocheck autochk *) -  File not found

O34 - HKLM BootExecute: (OODBS) - C:\WINDOWS\System32\OODBS.exe (O&O Software GmbH)

O34 - HKLM BootExecute: (lsdelete) - C:\WINDOWS\System32\lsdelete.exe ()

O35 - comfile [open] -- "%1" %*

O35 - exefile [open] -- "%1" %*

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2010.02.03 21:47:06 | 00,000,000 | ---D | C] -- C:\Avenger

[2010.02.03 13:17:49 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\tdsskiller

[2010.02.01 13:51:48 | 00,000,000 | -HSD | C] -- C:\RECYCLER

[2010.02.01 13:22:47 | 00,000,000 | ---D | C] -- C:\WINDOWS\temp

[2010.02.01 13:06:48 | 00,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe

[2010.02.01 13:06:48 | 00,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe

[2010.02.01 13:06:48 | 00,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe

[2010.02.01 13:06:48 | 00,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe

[2010.02.01 13:05:07 | 00,000,000 | ---D | C] -- C:\ComboFix

[2010.02.01 13:04:54 | 00,000,000 | ---D | C] -- C:\Qoobox

[2010.01.31 17:52:50 | 00,000,000 | ---D | C] -- C:\rsit

[2010.01.31 12:33:54 | 00,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent

[2010.01.30 16:51:54 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Scan2PDF

[2010.01.25 22:37:41 | 00,000,000 | ---D | C] -- C:\Programme\Hobbyist Software

[2010.01.25 20:23:23 | 00,000,000 | ---D | C] -- C:\Programme\Logitech Touch Mouse Server

[2010.01.13 16:34:59 | 00,471,552 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\aclayers.dll

[2010.01.08 19:29:44 | 00,053,136 | ---- | C] (Prevx) -- C:\WINDOWS\System32\PxSecure.dll

[2010.01.08 19:29:44 | 00,047,664 | ---- | C] (Prevx) -- C:\WINDOWS\System32\drivers\pxrts.sys

[2010.01.08 19:29:44 | 00,030,280 | ---- | C] (Prevx) -- C:\WINDOWS\System32\drivers\pxscan.sys

[2010.01.08 19:29:43 | 00,024,496 | ---- | C] (Prevx) -- C:\WINDOWS\System32\drivers\pxkbf.sys

[2010.01.08 19:29:43 | 00,000,000 | ---D | C] -- C:\Programme\Prevx

[2010.01.08 19:29:39 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI

[2010.01.08 18:50:33 | 00,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Datenquellen

[2010.01.08 16:36:20 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft

[2010.01.08 16:35:52 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe

[2010.01.08 00:54:34 | 00,000,000 | ---D | C] -- C:\WINDOWS\ERDNT

[2010.01.06 22:04:55 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes

[2010.01.06 20:32:23 | 00,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys

[2010.01.06 20:32:22 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

[2010.01.06 20:32:20 | 00,019,160 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys

[2010.01.06 20:32:20 | 00,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware

[2010.01.06 20:31:13 | 00,513,536 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe

[2010.01.06 20:23:49 | 00,000,000 | ---D | C] -- C:\Programme\Trend Micro

[2010.01.06 16:46:57 | 00,000,000 | ---D | C] -- C:\Programme\CCleaner

[2010.01.05 22:23:52 | 00,096,104 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys

[2010.01.05 22:23:52 | 00,045,416 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntdd.sys

[2010.01.05 22:23:52 | 00,022,360 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntmgr.sys

[2010.01.05 22:23:51 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira

[2009.07.07 18:18:48 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Nokia

[2008.05.15 19:27:00 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple

[2008.03.25 23:50:32 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft

[2008.03.25 23:47:27 | 00,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft

[2008.03.25 23:47:27 | 00,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft

[6 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2010.02.04 12:11:50 | 00,000,051 | ---- | M] () -- C:\WINDOWS\iTouch.ini

[2010.02.04 12:11:24 | 00,088,723 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml

[2010.02.04 12:11:20 | 00,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2010.02.04 12:11:05 | 00,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT

[2010.02.04 12:11:03 | 00,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2010.02.04 12:10:58 | 02,653,493 | ---- | M] () -- C:\WINDOWS\System32\oodbs.lor

[2010.02.04 01:58:08 | 12,582,912 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\NTUSER.DAT

[2010.02.04 01:58:08 | 00,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\***\ntuser.ini

[2010.02.04 01:25:18 | 00,001,220 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-776561741-583907252-725345543-1003UA.job

[2010.02.03 21:52:29 | 00,015,360 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2010.02.03 21:51:48 | 00,000,527 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\SetExe.reg

[2010.02.03 21:45:54 | 00,135,168 | ---- | M] () -- C:\zip.exe

[2010.02.03 21:45:54 | 00,019,286 | ---- | M] () -- C:\cleanup.exe

[2010.02.03 21:45:54 | 00,000,574 | ---- | M] () -- C:\cleanup.bat

[2010.02.03 21:43:33 | 00,013,824 | -HS- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\rifW

[2010.02.03 12:43:08 | 00,000,638 | ---- | M] () -- C:\WINDOWS\win.ini

[2010.02.03 12:43:08 | 00,000,227 | ---- | M] () -- C:\WINDOWS\system.ini

[2010.02.03 12:43:08 | 00,000,211 | -HS- | M] () -- C:\boot.ini

[2010.02.02 18:48:06 | 00,000,458 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job

[2010.02.01 12:37:24 | 03,841,968 | R--- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe

[2010.01.31 17:52:04 | 00,781,909 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe

[2010.01.30 17:25:40 | 00,010,606 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20100130_172508.reg

[2010.01.30 12:25:00 | 00,001,168 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-776561741-583907252-725345543-1003Core.job

[2010.01.28 11:21:01 | 00,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job

[2010.01.25 20:23:29 | 00,000,842 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\Logitech Touch Mouse Server.lnk

[2010.01.13 17:09:53 | 00,053,136 | ---- | M] (Prevx) -- C:\WINDOWS\System32\PxSecure.dll

[2010.01.13 17:09:52 | 00,047,664 | ---- | M] (Prevx) -- C:\WINDOWS\System32\drivers\pxrts.sys

[2010.01.13 17:09:52 | 00,030,280 | ---- | M] (Prevx) -- C:\WINDOWS\System32\drivers\pxscan.sys

[2010.01.13 17:09:52 | 00,024,496 | ---- | M] (Prevx) -- C:\WINDOWS\System32\drivers\pxkbf.sys

[2010.01.13 17:09:43 | 00,000,032 | ---- | M] () -- C:\WINDOWS\wininit.ini

[2010.01.12 20:52:41 | 00,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini

[2010.01.12 16:34:39 | 00,691,696 | ---- | M] () -- C:\WINDOWS\System32\drivers\sptd.sys

[2010.01.08 16:34:53 | 00,001,475 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Windows-Explorer.lnk

[2010.01.07 16:07:14 | 00,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys

[2010.01.07 16:07:04 | 00,019,160 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys

[2010.01.06 20:54:52 | 00,731,136 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\avenger.exe

[2010.01.06 20:31:23 | 00,513,536 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe

[2010.01.05 22:24:03 | 00,001,671 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk

[6 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2010.02.03 22:07:54 | 00,002,600 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\xp_exe_fix.reg

[2010.02.03 21:49:43 | 00,000,527 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\SetExe.reg

[2010.02.03 21:45:54 | 00,135,168 | ---- | C] () -- C:\zip.exe

[2010.02.03 21:45:54 | 00,019,286 | ---- | C] () -- C:\cleanup.exe

[2010.02.03 21:45:54 | 00,000,574 | ---- | C] () -- C:\cleanup.bat

[2010.02.01 13:06:48 | 00,261,632 | ---- | C] () -- C:\WINDOWS\PEV.exe

[2010.02.01 13:06:48 | 00,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe

[2010.02.01 13:06:48 | 00,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe

[2010.02.01 13:06:48 | 00,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe

[2010.02.01 13:06:48 | 00,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe

[2010.02.01 12:36:55 | 03,841,968 | R--- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe

[2010.01.31 17:51:57 | 00,781,909 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe

[2010.01.31 02:14:11 | 00,336,896 | -HS- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\av.exe

[2010.01.30 17:25:10 | 00,010,606 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20100130_172508.reg

[2010.01.30 17:00:27 | 00,013,824 | -HS- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\rifW

[2010.01.25 20:23:29 | 00,000,842 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\Logitech Touch Mouse Server.lnk

[2010.01.08 19:29:38 | 00,000,032 | ---- | C] () -- C:\WINDOWS\wininit.ini

[2010.01.06 20:54:46 | 00,731,136 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\avenger.exe

[2010.01.05 22:24:03 | 00,001,671 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk

[2009.12.02 15:00:43 | 00,000,051 | ---- | C] () -- C:\WINDOWS\iTouch.ini

[2009.08.23 09:19:11 | 00,720,160 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat

[2009.08.14 08:35:44 | 00,004,608 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2009.07.14 22:06:33 | 00,281,760 | ---- | C] () -- C:\WINDOWS\System32\drivers\atksgt.sys

[2009.07.14 22:06:33 | 00,025,888 | ---- | C] () -- C:\WINDOWS\System32\drivers\lirsgt.sys

[2009.06.26 23:28:38 | 00,004,757 | ---- | C] () -- C:\WINDOWS\Irremote.ini

[2009.06.25 12:27:40 | 00,010,240 | ---- | C] () -- C:\WINDOWS\System32\vidx16.dll

[2009.05.24 17:28:39 | 00,000,878 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\coreavc.ini

[2009.05.02 18:04:28 | 00,116,224 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll

[2009.02.11 15:43:54 | 00,137,344 | ---- | C] () -- C:\WINDOWS\System32\drivers\hwpsgt.sys

[2009.02.11 15:43:54 | 00,009,472 | ---- | C] () -- C:\WINDOWS\System32\drivers\lemsgt.sys

[2009.02.10 18:19:50 | 00,000,126 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib

[2008.11.19 01:26:39 | 00,000,052 | ---- | C] () -- C:\WINDOWS\cdplayer.ini

[2008.11.14 17:02:38 | 00,000,101 | ---- | C] () -- C:\WINDOWS\CMMIXER.INI

[2008.11.11 00:23:57 | 00,755,027 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll

[2008.11.11 00:23:56 | 00,159,839 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll

[2008.10.07 08:13:30 | 00,197,912 | ---- | C] () -- C:\WINDOWS\System32\physxcudart_20.dll

[2008.10.07 08:13:22 | 00,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll

[2008.10.07 08:13:20 | 00,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll

[2008.10.07 08:13:20 | 00,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll

[2008.10.07 08:13:20 | 00,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll

[2008.10.07 08:13:20 | 00,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll

[2008.10.07 08:13:20 | 00,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll

[2008.10.07 08:13:20 | 00,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll

[2008.10.07 08:13:20 | 00,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll

[2008.10.07 08:13:20 | 00,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll

[2008.09.09 18:57:50 | 00,000,053 | ---- | C] () -- C:\WINDOWS\COLONIZ.INI

[2008.09.01 12:04:01 | 00,164,352 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll

[2008.09.01 12:03:59 | 00,000,038 | ---- | C] () -- C:\WINDOWS\avisplitter.ini

[2008.09.01 12:03:42 | 00,000,547 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll.manifest

[2008.09.01 12:03:41 | 00,007,680 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll

[2008.07.23 17:50:52 | 03,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll

[2008.07.23 17:47:34 | 00,000,416 | ---- | C] () -- C:\WINDOWS\System32\dtu100.dll.manifest

[2008.07.23 17:47:34 | 00,000,416 | ---- | C] () -- C:\WINDOWS\System32\dpl100.dll.manifest

[2008.07.23 17:46:38 | 00,012,288 | ---- | C] () -- C:\WINDOWS\System32\DivXWMPExtType.dll

[2008.07.16 21:46:40 | 00,000,221 | ---- | C] () -- C:\WINDOWS\NCLogConfig.ini

[2008.07.11 10:58:47 | 00,000,067 | ---- | C] () -- C:\WINDOWS\Power Video Converter.INI

[2008.06.20 13:38:17 | 00,005,087 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ywasvxup.hvs

[2008.04.29 00:24:35 | 00,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini

[2008.04.16 22:42:46 | 00,000,206 | ---- | C] () -- C:\WINDOWS\usdthank.ini

[2008.04.16 22:42:46 | 00,000,031 | ---- | C] () -- C:\WINDOWS\idc.ini

[2008.03.29 19:17:53 | 00,000,376 | ---- | C] () -- C:\WINDOWS\ODBC.INI

[2008.03.28 15:44:33 | 00,000,311 | ---- | C] () -- C:\WINDOWS\game.ini

[2008.03.27 10:12:38 | 00,691,696 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys

[2008.03.26 23:47:34 | 00,000,000 | ---- | C] () -- C:\WINDOWS\oodcnt.INI

[2008.03.26 18:44:45 | 00,015,360 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2008.03.26 15:22:12 | 00,004,333 | ---- | C] () -- C:\WINDOWS\mixerdef.ini

[2008.03.26 01:05:56 | 00,077,824 | R--- | C] () -- C:\WINDOWS\System32\HPZIDS01.dll

[2008.03.26 01:02:14 | 00,001,049 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log

[2008.03.26 01:01:38 | 00,000,032 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat

[2008.03.26 01:01:00 | 00,028,165 | ---- | C] () -- C:\WINDOWS\cmijack.ini

[2008.03.26 01:01:00 | 00,018,240 | ---- | C] () -- C:\WINDOWS\cmaudio.ini

[2008.03.26 01:01:00 | 00,000,411 | ---- | C] () -- C:\WINDOWS\CMISETUP.INI

[2008.03.26 01:01:00 | 00,000,026 | ---- | C] () -- C:\WINDOWS\CMCDPLAY.INI

[2008.03.26 00:33:22 | 00,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html

[2008.03.25 23:55:40 | 00,005,810 | R--- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys

[2008.03.25 23:55:38 | 00,007,559 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini

[2008.03.25 23:55:36 | 00,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS

[2007.10.12 23:20:06 | 00,151,417 | ---- | C] () -- C:\WINDOWS\System32\xlive.dll.cat

[2007.04.19 12:26:00 | 01,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll

[2007.04.19 12:26:00 | 01,474,560 | ---- | C] () -- C:\WINDOWS\System32\nview.dll

[2007.04.19 12:26:00 | 01,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll

[2007.04.19 12:26:00 | 00,581,632 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll

[2007.04.19 12:26:00 | 00,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll

[2007.04.19 12:26:00 | 00,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll

[2007.04.19 12:26:00 | 00,212,992 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll

[2006.03.18 14:16:04 | 00,540,178 | ---- | C] () -- C:\WINDOWS\System32\x264vfw.dll

[2004.09.16 21:24:26 | 03,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll

[2001.07.07 03:00:00 | 00,003,254 | ---- | C] () -- C:\WINDOWS\System32\HPTCPMON.INI

 
 ========== Alternate Data Streams ==========

 

@Alternate Data Stream - 88 bytes -> C:\Dokumente und Einstellungen\***\Desktop\05 Titel 05.m4a:SummaryInformation

@Alternate Data Stream - 139 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:7F4E393D

@Alternate Data Stream - 137 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:FB1B13D8

< End of report >

Hi,

die Saubacke ist noch da...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

C:\WINDOWS\System32\lsdelete.exe

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\av.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Anleitung Avenger (by swandog46)

1.) Ladet das Tool Avenger und speichere es auf dem Desktop:
(Alternativ umbennant von hier:http://www.file-upload.net/download-2170195/av_en_ger_le.exe.html)

http://saved.im/mzi3ndg3nta0/aven.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

Files to delete:

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\av.exe

3.) Schliesst alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach Ausführen des Avengers wird das System neu gestartet.

4.) Um Avenger zu starten klicke auf -> Execute
Dann bestätigt mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest ihr hier einen Report von Avenger -> C:\avenger.txt
Öffnet die Datei mit dem Editor und kopiert den gesamten Text in Euren Beitrag hier am Trojaner-Board.

Nun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten:
Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe)
auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie
auf den ursprünglichen Namen (mbam.exe) zurück.

chris

sers

kann ja immer noch nicht online gehen... arbeite gerade von einem mac aus, daher 2 fragen:

1. kann ich die dateien einfach auf nen stick kopieren, und dann über den mac hochladen, also gehe ich richt in der annahme, dass ich den mac nicht infiziere?

2. infiziere ich dadurch "manuell" mmeinen stick? (autostart ist standardmässig unterdrückt, deshalb bilde ich mir ein, dass es noch trotz mehrfachen anschließens noch sauber ist)

dannach werd ich dann avenger durchlaufen lassen!

Gruß J.

Hier schon mal der Scan der av.exe, habs einfach so gemacht, wie oben angekündigt:

Code:

Antivirus          Version          letzte aktualisierung          Ergebnis

a-squared        4.5.0.50        2010.02.04        -

AhnLab-V3        5.0.0.2        2010.02.04        -

AntiVir        7.9.1.158        2010.02.04        TR/FakeRean.A.28

Antiy-AVL        2.0.3.7        2010.02.04        -

Authentium        5.2.0.5        2010.02.04        -

Avast        4.8.1351.0        2010.02.02        Win32:Rootkit-gen

AVG        9.0.0.730        2010.02.04        Crypt.OCH

BitDefender        7.2        2010.02.04        -

CAT-QuickHeal        10.00        2010.02.04        (Suspicious) - DNAScan

ClamAV        0.96.0.0-git        2010.02.04        -

Comodo        3819        2010.02.04        TrojWare.Win32.Trojan.Agent.Gen

DrWeb        5.0.1.12222        2010.02.04        -

eTrust-Vet        35.2.7283        2010.02.04        -

F-Prot        4.5.1.85        2010.02.04        -

F-Secure        9.0.15370.0        2010.02.04        Rogue:W32/XPAntivirus.GSA

Fortinet        4.0.14.0        2010.02.04        -

GData        19        2010.02.04        Win32:Rootkit-gen

Ikarus        T3.1.1.80.0        2010.02.04        -

Jiangmin        13.0.900        2010.02.04        -

K7AntiVirus        7.10.966        2010.02.03        -

Kaspersky        7.0.0.125        2010.02.04        -

McAfee        5882        2010.02.04        Generic FakeAlert!ec

McAfee+Artemis        5882        2010.02.04        Generic FakeAlert!ec

McAfee-GW-Edition        6.8.5        2010.02.04        Trojan.FakeRean.A.28

Microsoft        1.5406        2010.02.04        Trojan:Win32/FakeRean

NOD32        4836        2010.02.04        a variant of Win32/Kryptik.CBX

Norman        6.04.03        2010.02.04        -

nProtect        2009.1.8.0        2010.02.04        -

Panda        10.0.2.2        2010.02.04        Trj/CI.A

PCTools        7.0.3.5        2010.02.04        -

Prevx        3.0        2010.02.04        Medium Risk Malware

Rising        22.33.03.04        2010.02.04        Packer.Win32.Agent.GEN

Sophos        4.50.0        2010.02.04        Mal/EncPk-HJ

Sunbelt        3.2.1858.2        2010.02.04        Trojan.Win32.Generic!BT

TheHacker        6.5.1.0.180        2010.02.04        Trojan/Kryptik.cbx

TrendMicro        9.120.0.1004        2010.02.04        TROJ_FAKEAL.SMDO

VBA32        3.12.12.1        2010.02.03        -

ViRobot        2010.2.4.2172        2010.02.04        -

VirusBuster        5.0.21.0        2010.02.04        -

weitere Informationen

File size: 336896 bytes

MD5...: 0915bd7b0f852c7702f962ec1cda3ab3

SHA1..: df8622c0a8f63de3e37eaeb105d63be7c98b6eeb

SHA256: a05840c49f517cfc4bf9f84900290f5de7f55066bfc6b14effe483cc8b81c347

ssdeep: 6144:orit9HKIQiv5jHkvwCMb3IRdm4hu/vhBpPBq8XSc9QhpMo/Fn+6rWaeQOHS

:jt1N5jHk/MmyhBfJF9KnF+OWJjH

PEiD..: -

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x10bab

timedatestamp.....: 0x4685e94b (Sat Jun 30 05:25:31 2007)

machinetype.......: 0x14c (I386)
 

( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0xfcaa 0xfe00 7.99 c3c00e081c67d0004852ec3334ff617f

.rdata 0x11000 0x447e8 0x41a00 6.03 e48da8a5180b5af75180d3022e4520d1

.data 0x56000 0xdc25e 0x200 0.54 5090e75545c10f9e900359028a908765

.rsrc 0x133000 0x275 0x400 3.69 7d75ee24113843310de10b7a708794ec

.reloc 0x134000 0x90 0x200 2.08 c39c982c742d091656314894791f501d
 

( 7 imports )

> USER32.DLL: GetClientRect, SetClipboardData, OffsetRect, GetWindowRect, GetFocus, IsWindowEnabled, TrackPopupMenu, SetWindowsHookExW, CallNextHookEx, ReleaseDC

> GDI32.DLL: SetBkColor, SelectObject, CreateBitmap, BitBlt, GetTextExtentPoint32W

> KERNEL32.DLL: GetOEMCP, GetCurrentProcess, GetModuleHandleW, CreateEventW, SetConsoleCP, DuplicateHandle, InterlockedDecrement, CreateFileA, HeapAlloc, GetCommandLineA, GetCurrentThreadId, CompareFileTime, GetCPInfo, MultiByteToWideChar, GetCommandLineW, LocalAlloc, Sleep, TlsSetValue, GetCurrentProcessId, WriteFile, GetProcessHeap, GetModuleHandleA, SetStdHandle, GetTempPathW, ResetEvent, GetModuleFileNameA, GetACP, GetTickCount, GetStartupInfoA, VirtualAlloc, FindFirstFileW, InterlockedIncrement, ExitProcess, GetVersion, LCMapStringA, GetProcAddress

> MSVCRT.DLL: _terminate@@YAXXZ, memcpy, wcsrchr, malloc, _amsg_exit

> LZ32.DLL: LZClose, LZRead, LZCopy

> ADVAPI32.DLL: RegCreateKeyExW, RegDeleteKeyA, RegCloseKey, RegDeleteValueW, RegEnumValueA

> OLE32.DLL: CoRegisterPSClsid, CoTaskMemRealloc
 

( 0 exports )

RDS...: NSRL Reference Data Set

-

<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=E2E95C4300F62FBC24C005A7D90D680092923153' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=E2E95C4300F62FBC24C005A7D90D680092923153</a>

sigcheck:

publisher....: n/a

copyright....: n/a

product......: n/a

description..: n/a

original name: n/a

internal name: n/a

file version.: n/a

comments.....: n/a

signers......: -

signing date.: -

verified.....: Unsigned

pdfid.: -

trid..: Win32 Executable Generic (42.3%)

Win32 Dynamic Link Library (generic) (37.6%)

Generic Win/DOS Executable (9.9%)

DOS Executable Generic (9.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

und die isdelete.exe:

Code:

Antivirus          Version          letzte aktualisierung          Ergebnis

a-squared        4.5.0.50        2010.02.04        -

AhnLab-V3        5.0.0.2        2010.02.04        -

AntiVir        7.9.1.158        2010.02.04        -

Antiy-AVL        2.0.3.7        2010.02.04        -

Authentium        5.2.0.5        2010.02.04        -

Avast        4.8.1351.0        2010.02.02        -

AVG        9.0.0.730        2010.02.04        -

BitDefender        7.2        2010.02.04        -

CAT-QuickHeal        10.00        2010.02.04        -

ClamAV        0.96.0.0-git        2010.02.04        -

Comodo        3819        2010.02.04        -

DrWeb        5.0.1.12222        2010.02.04        -

eSafe        7.0.17.0        2010.02.04        -

eTrust-Vet        35.2.7283        2010.02.04        -

F-Prot        4.5.1.85        2010.02.04        -

F-Secure        9.0.15370.0        2010.02.04        -

Fortinet        4.0.14.0        2010.02.04        -

GData        19        2010.02.04        -

Ikarus        T3.1.1.80.0        2010.02.04        -

Jiangmin        13.0.900        2010.02.04        -

K7AntiVirus        7.10.966        2010.02.03        -

Kaspersky        7.0.0.125        2010.02.04        -

McAfee        5882        2010.02.04        -

McAfee+Artemis        5882        2010.02.04        -

McAfee-GW-Edition        6.8.5        2010.02.04        -

Microsoft        1.5406        2010.02.04        -

NOD32        4836        2010.02.04        -

Norman        6.04.03        2010.02.04        -

nProtect        2009.1.8.0        2010.02.04        -

Panda        10.0.2.2        2010.02.04        -

PCTools        7.0.3.5        2010.02.04        -

Rising        22.33.03.04        2010.02.04        -

Sophos        4.50.0        2010.02.04        -

Sunbelt        3.2.1858.2        2010.02.04        -

TheHacker        6.5.1.0.180        2010.02.04        -

TrendMicro        9.120.0.1004        2010.02.04        -

VBA32        3.12.12.1        2010.02.03        -

ViRobot        2010.2.4.2172        2010.02.04        -

VirusBuster        5.0.21.0        2010.02.04        -

weitere Informationen

File size: 15688 bytes

MD5...: 6dc73e5ca9ca2ae6bbdd29cdbe0ac872

SHA1..: d01670781288097f3b832ea42b5cd20c5f835842

SHA256: c75fe79f4dbd65ad1aadc65ec40d6d0442a6969410cee916837da14e4dc7fe98

ssdeep: 192:22O1JIzcmFGZ4ujHnBaoHmei1Q9sJwF930LyowJL/aMjGwP7PM20e+ebM8JM

u74V:sOc5nnBjHVMQ9sJwFiLYJLWwXbHEb

PEiD..: -

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x22f0

timedatestamp.....: 0x496f34ab (Thu Jan 15 13:05:47 2009)

machinetype.......: 0x14c (I386)
 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x1362 0x1400 5.78 e700c1b5c2353a10b2db729b156207e1

.rdata 0x3000 0x3ac 0x400 4.63 2d47414238d9b93e57a78a157c9d3919

.data 0x4000 0x998 0xa00 3.05 fa1b42f5935800f3f30682d2b1422656

.rsrc 0x5000 0x1b4 0x200 5.09 af5e12250c526d183544eef9776736bc
 

( 1 imports )

> ntdll.dll: RtlCreateHeap, NtTerminateProcess, RtlFreeHeap, RtlInitUnicodeString, RtlDestroyHeap, NtDisplayString, ZwClose, ZwDelayExecution, memcpy, wcscat, ZwReadFile, wcslen, ZwSetInformationFile, memset, RtlAllocateHeap, ZwDeleteFile, ZwOpenFile, ZwQueryInformationFile, wcscpy, NtQuerySystemTime, _snwprintf, strlen, strcpy, RtlUnicodeStringToAnsiString, ZwCreateFile, RtlTimeToTimeFields, ZwWriteFile, strcat
 

( 0 exports )

RDS...: NSRL Reference Data Set

-

pdfid.: -

trid..: Win32 Executable Generic (68.0%)

Generic Win/DOS Executable (15.9%)

DOS Executable Generic (15.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

sigcheck:

publisher....: n/a

copyright....: n/a

product......: n/a

description..: n/a

original name: n/a

internal name: n/a

file version.: n/a

comments.....: n/a

signers......: Lavasoft AB

VeriSign Class 3 Code Signing 2004 CA

Class 3 Public Primary Certification Authority

signing date.: 9:51 AM 9/4/2009

verified.....: -

Hi,

da ich keinen Startpunkt für die av.exe gefunden habe, versuchen wir mal den einfachen weg:
Lösche die Datei av.exe und leere dann den Papierkorb (auf keinen Fall Doppelklicken/Ausführen!). Geht das, dann läuft sie auch nicht, geht das nicht, dann gibt es einen versteckten Startpunkt...

Den Mac dürftest Du mit den Sachen nicht infizieren können (unix-derivat), den stick auch nicht. Nur vom PC aus halt unter Windows die Dateien nicht ausführen!

Prevx:
http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

chris

hey,

bevor ich das gleich versuche, hier das avanger und das mbam log

Avenger:

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 

File "C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\av.exe" deleted successfully.
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

glaub, jetzt ist sie weg - jedenfalls in den lokalen einstellungen nicht mehr!!