CastorTroy | 13.02.2010 22:52 | TR/Zapchast.aix.79, TR/Dldr.FraudLoad.wybc, TR/Spy.Gen, TR/Crypt.XPACK TR/Rootkit.Gen Hallo, ich habe mir gestern folgende Viren eingefangen, die zwar durch Antivir gelöscht wurden, aber mit jedem
Neustart des Laptops tauchten sie wieder auf sobald ich ins Internet ging.
TR/Zapchast.aix.79 [trojan]
TR/Zapchast.aix.78 [trojan]
TR/Dldr.FraudLoad.wybc [trojan]
TR/Crypt.XPACK.Gen [trojan]
TR/Spy.Gen [trojan]
TR/Rootkit.Gen [trojan]
Ich habe dann alle Punkte die ihr aufgelistet habt abgearbeitet und inzwischen wird nur noch der Rootkit.Gen gefunden.
Was mich interessiert, kann ich die Daten die ich noch auf dem Rechner habe sichern ohne dass sich dieser Rootkit irgendwie
auf meine externen Datenträger kopiert oder ratet ihr davon ab bzw. lässt sich sonst noch etwas machen um die Daten noch zu
sichern, bevor ich das Betriebssystem neu aufsetze?
Falls ihr euch wundert, dass ich noch einen alten IE drauf hatte --> bis jetzt hatte ich keine Ahnung, dass der IE eine Gefahr darstellt, wenn ich
ihn nicht verwende, vielen Dank auch für diese Information! Wenn ich den IE komplett deinstalliere, wird dieses Problem dann beseitigt?
Und vielen Danke für eure Seite, ich habe inzwischen schon einiges dazugelernt.
Hier meine einzelnen Berichte und Logs.
Bericht von Avira Antivir über das löschen von den Viren Code:
11.02.2010,08:44:45 Aktuelle Version der VDF-Datei: 7.10.4.23
12.02.2010,08:43:57 [CONFIG] Verwendete Konfiguration der Echtzeitsuche:
- Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
- Geprüfte Dateien: Dateierweiterungsliste verwenden: . .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CPX .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FAS .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .LSP .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDF .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SIS .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMF .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .XXX .ZIP
- Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
- Aktion: Benutzer fragen
- Archive durchsuchen: Deaktiviert
- Makrovirenheuristik: Aktiviert
- Win32 Dateiheuristik: Erkennungsstufe mittel
- Protokollierungsstufe: Standard
12.02.2010,08:46:43 Update-Auftrag gestartet!
12.02.2010,08:46:52 Aktuelle Engine Version: 8.2.1.160
12.02.2010,08:46:52 Aktuelle Version der VDF-Datei: 7.10.4.41
12.02.2010,10:14:07 [WARNUNG] Ist das Trojanische Pferd TR/Spy.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\rjvjlsvw.exe
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:14:08 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.FraudLoad.wybc!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\765.exe
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:14:07 [WARNUNG] Ist das Trojanische Pferd TR/Zapchast.aix.79!
C:\WINDOWS\system32\mshlps.dll
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:14:34 [WARNUNG] Ist das Trojanische Pferd TR/Zapchast.aix.78!
C:\WINDOWS\system32\kbdsock.dll
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:14:08 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.FraudLoad.wybc!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SN6VKZ61\msadv[1].exe
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:14:39 [WARNUNG] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C7U3UJUD\arzuoz[1].htm
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:14:44 [WARNUNG] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Crypted)!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KJUN6RI1\vzgomuf[1].htm
[USER] CT\CASTORTROY
[INFO] Der Zugriff auf die Datei wurde verweigert!
12.02.2010,10:14:08 [WARNUNG] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\nieo.exe
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:14:50 [WARNUNG] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\nieo.exe
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:14:08 [WARNUNG] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Crypted)!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SN6VKZ61\vzgomuf[1].htm
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:14:59 [WARNUNG] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CFQZWJY7\arzuoz[1].htm
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:30:10 [CONFIG] Verwendete Konfiguration der Echtzeitsuche:
- Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
- Geprüfte Dateien: Dateierweiterungsliste verwenden: . .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CPX .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FAS .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .LSP .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDF .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SIS .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMF .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .XXX .ZIP
- Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
- Aktion: Benutzer fragen
- Archive durchsuchen: Deaktiviert
- Makrovirenheuristik: Aktiviert
- Win32 Dateiheuristik: Erkennungsstufe mittel
- Protokollierungsstufe: Standard
12.02.2010,10:30:11 [CONFIG] Verwendete Konfiguration der Echtzeitsuche:
- Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
- Geprüfte Dateien: Dateierweiterungsliste verwenden: . .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CPX .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FAS .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .LSP .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDF .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SIS .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMF .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .XXX .ZIP
- Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
- Aktion: Benutzer fragen
- Archive durchsuchen: Deaktiviert
- Makrovirenheuristik: Aktiviert
- Win32 Dateiheuristik: Erkennungsstufe mittel
- Protokollierungsstufe: Standard
12.02.2010,10:30:41 [CONFIG] Verwendete Konfiguration der Echtzeitsuche:
- Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
- Geprüfte Dateien: Dateierweiterungsliste verwenden: . .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CPX .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FAS .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .LSP .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDF .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SIS .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMF .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .XXX .ZIP
- Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
- Aktion: Benutzer fragen
- Archive durchsuchen: Deaktiviert
- Makrovirenheuristik: Aktiviert
- Win32 Dateiheuristik: Erkennungsstufe mittel
- Protokollierungsstufe: Standard
12.02.2010,10:31:15 [CONFIG] Verwendete Konfiguration der Echtzeitsuche:
- Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
- Geprüfte Dateien: Dateierweiterungsliste verwenden: . .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CPX .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FAS .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .LSP .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDF .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SIS .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMF .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .XXX .ZIP
- Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
- Aktion: Benutzer fragen
- Archive durchsuchen: Deaktiviert
- Makrovirenheuristik: Aktiviert
- Win32 Dateiheuristik: Erkennungsstufe mittel
- Protokollierungsstufe: Standard
12.02.2010,10:31:55 [CONFIG] Verwendete Konfiguration der Echtzeitsuche:
- Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
- Geprüfte Dateien: Intelligente Dateiauswahl
- Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
- Aktion: Benutzer fragen
- Archive durchsuchen: Deaktiviert
- Makrovirenheuristik: Aktiviert
- Win32 Dateiheuristik: Erkennungsstufe mittel
- Protokollierungsstufe: Standard
12.02.2010,10:32:54 [CONFIG] Verwendete Konfiguration der Echtzeitsuche:
- Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
- Geprüfte Dateien: Intelligente Dateiauswahl
- Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
- Aktion: Benutzer fragen
- Archive durchsuchen: Deaktiviert
- Makrovirenheuristik: Aktiviert
- Win32 Dateiheuristik: Erkennungsstufe hoch
- Protokollierungsstufe: Standard
12.02.2010,10:32:55 [CONFIG] Verwendete Konfiguration der Echtzeitsuche:
- Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
- Geprüfte Dateien: Intelligente Dateiauswahl
- Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
- Aktion: Benutzer fragen
- Archive durchsuchen: Deaktiviert
- Makrovirenheuristik: Aktiviert
- Win32 Dateiheuristik: Erkennungsstufe hoch
- Protokollierungsstufe: Standard
12.02.2010,10:58:16 [WARNUNG] Ist das Trojanische Pferd TR/Zapchast.aix.79!
C:\WINDOWS\system32\mshlps.dll
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:58:16 [WARNUNG] Ist das Trojanische Pferd TR/Zapchast.aix.79!
C:\WINDOWS\system32\mshlps.dll
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:58:15 [WARNUNG] Ist das Trojanische Pferd TR/Zapchast.aix.79!
C:\WINDOWS\system32\mshlps.dll
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:59:09 [WARNUNG] Ist das Trojanische Pferd TR/Zapchast.aix.78!
C:\WINDOWS\system32\kbdsock.dll
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:58:18 [WARNUNG] Ist das Trojanische Pferd TR/Spy.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SN6VKZ61\vzgomuf[1].htm
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:59:14 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.FraudLoad.wybc!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KJUN6RI1\msadv[1].exe
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:58:18 [WARNUNG] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\nieo.exe
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:59:17 [WARNUNG] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CFQZWJY7\arzuoz[1].htm
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:59:19 [WARNUNG] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\nieo.exe
[USER] CT\CASTORTROY
[INFO] Der Zugriff auf die Datei wurde verweigert!
12.02.2010,10:59:20 [WARNUNG] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SN6VKZ61\arzuoz[1].htm
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:58:18 [WARNUNG] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CFQZWJY7\arzuoz[1].htm
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:58:15 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.FraudLoad.wybc!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\893.exe
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:58:18 [WARNUNG] Ist das Trojanische Pferd TR/Spy.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\rjvjlsvw.exe
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,10:59:30 [WARNUNG] Ist das Trojanische Pferd TR/Spy.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SN6VKZ61\vzgomuf[1].htm
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,12:30:26 Der Avira AntiVir Personal - Free Antivirus Dienst wurde beendet!
12.02.2010,12:31:45 ---------------------------------------------------------
12.02.2010,12:31:52 Lizenzdatei enthält eine gültige Lizenz. Der Avira AntiVir Personal - Free Antivirus Dienst läuft als uneingeschränkte Vollversion!
12.02.2010,12:31:52 AntiVir Guard version: 9.00.01.32, engine version 8.2.1.160, VDF version: 7.10.4.41
12.02.2010,12:31:53 AntiVir Guard wurde aktiviert.
12.02.2010,12:31:53 Der Avira AntiVir Personal - Free Antivirus Dienst wurde erfolgreich gestartet!
12.02.2010,12:31:53 [CONFIG] Verwendete Konfiguration der Echtzeitsuche:
- Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
- Geprüfte Dateien: Intelligente Dateiauswahl
- Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
- Aktion: Benutzer fragen
- Archive durchsuchen: Deaktiviert
- Makrovirenheuristik: Aktiviert
- Win32 Dateiheuristik: Erkennungsstufe hoch
- Protokollierungsstufe: Standard
12.02.2010,12:39:32 [WARNUNG] Ist das Trojanische Pferd TR/Zapchast.aix.79!
C:\WINDOWS\system32\mshlps.dll
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,12:39:32 [WARNUNG] Ist das Trojanische Pferd TR/Zapchast.aix.79!
C:\WINDOWS\system32\mshlps.dll
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,12:39:31 [WARNUNG] Ist das Trojanische Pferd TR/Zapchast.aix.79!
C:\WINDOWS\system32\mshlps.dll
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,12:39:42 [WARNUNG] Ist das Trojanische Pferd TR/Zapchast.aix.78!
C:\WINDOWS\system32\kbdsock.dll
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,12:39:32 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.FraudLoad.wybc!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\451.exe
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,12:39:30 [WARNUNG] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C7U3UJUD\arzuoz[1].htm
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,12:39:49 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.FraudLoad.wybc!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KJUN6RI1\msadv[1].exe
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,12:39:30 [WARNUNG] Ist das Trojanische Pferd TR/Spy.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C7U3UJUD\vzgomuf[1].htm
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,12:39:30 [WARNUNG] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\nieo.exe
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,12:39:55 [WARNUNG] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KJUN6RI1\arzuoz[1].htm
[USER] CT\CASTORTROY
[INFO] Der Zugriff auf die Datei wurde verweigert!
12.02.2010,12:39:30 [WARNUNG] Ist das Trojanische Pferd TR/Spy.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\rjvjlsvw.exe
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,12:39:58 [WARNUNG] Ist das Trojanische Pferd TR/Spy.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CFQZWJY7\vzgomuf[1].htm
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,12:48:22 Der Avira AntiVir Personal - Free Antivirus Dienst wurde beendet!
12.02.2010,16:48:01 ---------------------------------------------------------
12.02.2010,16:48:10 Lizenzdatei enthält eine gültige Lizenz. Der Avira AntiVir Personal - Free Antivirus Dienst läuft als uneingeschränkte Vollversion!
12.02.2010,16:48:10 AntiVir Guard version: 9.00.01.32, engine version 8.2.1.160, VDF version: 7.10.4.41
12.02.2010,16:48:11 AntiVir Guard wurde aktiviert.
12.02.2010,16:48:11 Der Avira AntiVir Personal - Free Antivirus Dienst wurde erfolgreich gestartet!
12.02.2010,16:48:11 [CONFIG] Verwendete Konfiguration der Echtzeitsuche:
- Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
- Geprüfte Dateien: Intelligente Dateiauswahl
- Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
- Aktion: Benutzer fragen
- Archive durchsuchen: Deaktiviert
- Makrovirenheuristik: Aktiviert
- Win32 Dateiheuristik: Erkennungsstufe hoch
- Protokollierungsstufe: Standard
12.02.2010,16:55:33 Der Avira AntiVir Personal - Free Antivirus Dienst wurde beendet!
12.02.2010,16:56:41 ---------------------------------------------------------
12.02.2010,16:56:47 Lizenzdatei enthält eine gültige Lizenz. Der Avira AntiVir Personal - Free Antivirus Dienst läuft als uneingeschränkte Vollversion!
12.02.2010,16:56:47 AntiVir Guard version: 9.00.01.32, engine version 8.2.1.160, VDF version: 7.10.4.41
12.02.2010,16:56:48 AntiVir Guard wurde aktiviert.
12.02.2010,16:56:48 Der Avira AntiVir Personal - Free Antivirus Dienst wurde erfolgreich gestartet!
12.02.2010,16:56:48 [CONFIG] Verwendete Konfiguration der Echtzeitsuche:
- Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
- Geprüfte Dateien: Intelligente Dateiauswahl
- Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
- Aktion: Benutzer fragen
- Archive durchsuchen: Deaktiviert
- Makrovirenheuristik: Aktiviert
- Win32 Dateiheuristik: Erkennungsstufe hoch
- Protokollierungsstufe: Standard
12.02.2010,16:58:35 [WARNUNG] Ist das Trojanische Pferd TR/Zapchast.aix.79!
C:\WINDOWS\system32\mshlps.dll
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,16:58:40 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.FraudLoad.wybc!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\545.exe
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,16:58:38 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.FraudLoad.wybc!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KJUN6RI1\msadv[1].exe
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,16:58:31 [WARNUNG] Ist das Trojanische Pferd TR/Zapchast.aix.79!
C:\WINDOWS\system32\mshlps.dll
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,16:58:29 [WARNUNG] Ist das Trojanische Pferd TR/Spy.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\rjvjlsvw.exe
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,16:58:30 [WARNUNG] Ist das Trojanische Pferd TR/Spy.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C7U3UJUD\vzgomuf[1].htm
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,16:58:57 [WARNUNG] Ist das Trojanische Pferd TR/Zapchast.aix.78!
C:\WINDOWS\system32\kbdsock.dll
[USER] CT\CASTORTROY
[INFO] Der Zugriff auf die Datei wurde verweigert!
12.02.2010,16:58:48 [WARNUNG] Ist das Trojanische Pferd TR/Zapchast.aix.78!
C:\WINDOWS\system32\kbdsock.dll
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,16:58:50 [WARNUNG] Ist das Trojanische Pferd TR/Zapchast.aix.78!
C:\WINDOWS\system32\kbdsock.dll
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
12.02.2010,16:59:59 [WARNUNG] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen!
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\ctv240.exe
[INFO] Die Datei wird in das Quarantäneverzeichnis kopiert!
[USER] CT\CASTORTROY
[INFO] Die Datei wird gelöscht!
Bericht von Avira Antivir nach einem Komplettscan Code:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 13. Februar 2010 13:47
Es wird nach 1751559 Virenstämmen gesucht.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : CastorTroy
Computername : CT
Versionsinformationen:
BUILD.DAT : 9.0.0.419 21701 Bytes 22.01.2010 18:24:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 21:23:31
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 14:11:51
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:09:01
VBASE004.VDF : 7.10.3.76 2048 Bytes 26.01.2010 14:09:01
VBASE005.VDF : 7.10.3.77 2048 Bytes 26.01.2010 14:09:01
VBASE006.VDF : 7.10.3.78 2048 Bytes 26.01.2010 14:09:01
VBASE007.VDF : 7.10.3.79 2048 Bytes 26.01.2010 14:09:01
VBASE008.VDF : 7.10.3.80 2048 Bytes 26.01.2010 14:09:01
VBASE009.VDF : 7.10.3.81 2048 Bytes 26.01.2010 14:09:02
VBASE010.VDF : 7.10.3.82 2048 Bytes 26.01.2010 14:09:02
VBASE011.VDF : 7.10.3.83 2048 Bytes 26.01.2010 14:09:26
VBASE012.VDF : 7.10.3.84 2048 Bytes 26.01.2010 14:09:26
VBASE013.VDF : 7.10.3.85 2048 Bytes 26.01.2010 14:09:26
VBASE014.VDF : 7.10.3.122 172544 Bytes 29.01.2010 14:09:40
VBASE015.VDF : 7.10.3.149 79872 Bytes 01.02.2010 14:09:47
VBASE016.VDF : 7.10.3.174 68608 Bytes 03.02.2010 15:22:15
VBASE017.VDF : 7.10.3.199 76800 Bytes 04.02.2010 15:53:12
VBASE018.VDF : 7.10.3.222 64512 Bytes 05.02.2010 07:44:58
VBASE019.VDF : 7.10.3.243 75776 Bytes 08.02.2010 07:44:59
VBASE020.VDF : 7.10.4.6 81920 Bytes 09.02.2010 07:44:20
VBASE021.VDF : 7.10.4.30 78848 Bytes 11.02.2010 07:46:08
VBASE022.VDF : 7.10.4.31 2048 Bytes 11.02.2010 07:46:08
VBASE023.VDF : 7.10.4.32 2048 Bytes 11.02.2010 07:46:08
VBASE024.VDF : 7.10.4.33 2048 Bytes 11.02.2010 07:46:08
VBASE025.VDF : 7.10.4.34 2048 Bytes 11.02.2010 07:46:08
VBASE026.VDF : 7.10.4.35 2048 Bytes 11.02.2010 07:46:08
VBASE027.VDF : 7.10.4.36 2048 Bytes 11.02.2010 07:46:08
VBASE028.VDF : 7.10.4.37 2048 Bytes 11.02.2010 07:46:08
VBASE029.VDF : 7.10.4.38 2048 Bytes 11.02.2010 07:46:09
VBASE030.VDF : 7.10.4.39 2048 Bytes 11.02.2010 07:46:09
VBASE031.VDF : 7.10.4.45 70656 Bytes 12.02.2010 11:08:05
Engineversion : 8.2.1.160
AEVDF.DLL : 8.1.1.3 106868 Bytes 23.01.2010 14:11:58
AESCRIPT.DLL : 8.1.3.13 823674 Bytes 02.02.2010 14:09:52
AESCN.DLL : 8.1.4.0 127348 Bytes 28.01.2010 14:10:48
AESBX.DLL : 8.1.1.1 246132 Bytes 08.11.2009 06:38:44
AERDL.DLL : 8.1.3.4 479605 Bytes 02.12.2009 21:23:59
AEPACK.DLL : 8.2.0.5 422262 Bytes 14.01.2010 13:20:36
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 08.11.2009 06:38:38
AEHEUR.DLL : 8.1.1.5 2326901 Bytes 06.02.2010 15:53:16
AEHELP.DLL : 8.1.10.0 237942 Bytes 14.01.2010 13:20:28
AEGEN.DLL : 8.1.1.86 369012 Bytes 02.02.2010 14:09:51
AEEMU.DLL : 8.1.1.0 393587 Bytes 08.11.2009 06:38:26
AECORE.DLL : 8.1.11.1 184694 Bytes 02.02.2010 14:09:49
AEBB.DLL : 8.1.0.3 53618 Bytes 08.11.2009 06:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\DOKUME~1\CASTOR~1\LOKALE~1\Temp\e3415579.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,
Beginn des Suchlaufs: Samstag, 13. Februar 2010 13:47
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\WINDOWS\system32'
C:\WINDOWS\system32\drivers\fpujcv.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Desinfektion:
C:\WINDOWS\system32\drivers\fpujcv.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[WARNUNG] Die Datei wurde ignoriert.
Ende des Suchlaufs: Samstag, 13. Februar 2010 13:49
Benötigte Zeit: 01:56 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
215 Verzeichnisse wurden überprüft
5807 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
5804 Dateien ohne Befall
14 Archive wurden durchsucht
2 Warnungen
0 Hinweise
Malwarebytes log Code:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3730
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
12.02.2010 19:08:03
mbam-log-2010-02-12 (19-08-03).txt
Scan-Methode: Vollständiger Scan (C:\|F:\|)
Durchsuchte Objekte: 281258
Laufzeit: 1 hour(s), 11 minute(s), 45 second(s)
Infizierte Speicherprozesse: 13
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 25
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 33
Infizierte Speicherprozesse:
C:\Programme\Synaptics\SynTP\syntplpr.exe (Malware.Packer.Gen) -> Unloaded process successfully.
C:\Programme\Synaptics\SynTP\syntpenh.exe (Malware.Packer.Gen) -> Unloaded process successfully.
C:\Programme\Intel\Wireless\Bin\zcfgsvc.exe (Malware.Packer.Gen) -> Unloaded process successfully.
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe (Malware.Packer.Gen) -> Unloaded process successfully.
C:\Programme\Java\jre6\bin\jusched.exe (Malware.Packer.Gen) -> Unloaded process successfully.
C:\Acer\ePM\epm-dm.exe (Malware.Packer.Gen) -> Unloaded process successfully.
C:\Programme\Launch Manager\qtzgacer.exe (Malware.Packer.Gen) -> Unloaded process successfully.
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe (Malware.Packer.Gen) -> Unloaded process successfully.
C:\Programme\Creative\Shared Files\Module Loader\dllml.exe (Malware.Packer.Gen) -> Unloaded process successfully.
C:\Programme\Creative\Sound Blaster X-Fi Surround 5.1\Console Launcher\ctapr2.exe (Malware.Packer.Gen) -> Unloaded process successfully.
C:\Programme\Creative\Sound Blaster X-Fi Surround 5.1\Volume Panel\volpanlu.exe (Malware.Packer.Gen) -> Unloaded process successfully.
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe (Malware.Packer.Gen) -> Unloaded process successfully.
C:\ProgramsCT\Adobe\Acrobat 8.0\Acrobat\acrotray.exe (Malware.Packer.Gen) -> Unloaded process successfully.
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\syntplpr (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\syntpenh (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\Programme\Intel\Wireless\Bin\zcfgsvc.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\intelzeroconfig (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\intelwireless (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sunjavaupdatesched (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winampagent (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\epm-dm (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\epowermanagement (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\logonstudio (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\NeroCheck.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nerofiltercheck (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lmanager (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\atipta (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\Programme\ATI Technologies\ATI.ACE\Core-Static\clistart.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\startccc (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\Programme\Creative\Shared Files\Module Loader\dllml.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ctapr2 (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\volpanel (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\adobe arm (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\groovemonitor (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\acrobat assistant 8.0 (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\AppCertDlls\appsecdll (Spyware.Passwords) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Programme\Synaptics\SynTP\syntplpr.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Programme\Synaptics\SynTP\syntpenh.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Programme\Intel\Wireless\Bin\zcfgsvc.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Programme\Java\jre6\bin\jusched.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\ProgramsCT\Winamp\winampa.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
c:\Acer\ePM\epm-dm.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Acer\ePM\epm.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Tools\LogonStudio\logonstudio.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\NeroCheck.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\CastorTroy\logi_mwx.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\CastorTroy\rundll32.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\CastorTroy\Anwendungsdaten\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\6fdb4f2a.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\wmpscfgs.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\nieo.exe (Malware.Packer.Gen) -> Delete on reboot.
C:\Dokumente und Einstellungen\CastorTroy\Lokale Einstellungen\Temp\crxt.exe (Backdoor.Bot.Gen) -> Quarantined and deleted successfully.
C:\Programme\Launch Manager\qtzgacer.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\clistart.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Programme\Creative\Shared Files\Module Loader\dllml.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Programme\Creative\Sound Blaster X-Fi Surround 5.1\Console Launcher\ctapr2.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Programme\Creative\Sound Blaster X-Fi Surround 5.1\Volume Panel\volpanlu.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\adobearm.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Programme\Internet Explorer\js.mui (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Programme\Internet Explorer\wmpscfgs.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Programme\Microsoft Office\Office12\groovemonitor.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\ProgramsCT\Adobe\Acrobat 8.0\Acrobat\acrotray.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-5747652983-6602157578-235195291-7780\wnzip32.exe (Worm.Autorun.B) -> Delete on reboot.
C:\Tools\CryptLoad\ocr\netload.in\asmCaptcha\test.exe (Malware.Packer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\OLD3.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\fpujcv.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\LastGood\system32\ctfmon.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
RSIT log Code:
Logfile of random's system information tool 1.06 (written by random/random)
Run by CastorTroy at 2010-02-12 19:16:59
Microsoft Windows XP Professional Service Pack 3
System drive C: has 15 GB (16%) free of 95 GB
Total RAM: 2046 MB (79% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:17:04, on 12.02.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\Shared Files\CTAudSvc.exe
C:\ProgramsCT\Avira\AntiVir Desktop\sched.exe
C:\ProgramsCT\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Wacom_Tablet.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WTablet\Wacom_TabletUser.exe
C:\WINDOWS\system32\Wacom_Tablet.exe
C:\WINDOWS\system32\wscntfy.exe
C:\ProgramsCT\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\ProgramsCT\Logitech\MouseWare\system\em_exec.exe
C:\Dokumente und Einstellungen\CastorTroy\Desktop\RSIT.exe
C:\Programme\Trend Micro\HijackThis\CastorTroy.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.maxon.net/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\ProgramsCT\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: TBSB03968 - {AA61DE26-FA67-4575-9033-918671094293} - C:\Dokumente und Einstellungen\CastorTroy\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\ProgramsCT\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\ProgramsCT\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\ProgramsCT\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O3 - Toolbar: Toolbar fuer eBay - {000E148C-F7A7-445A-9044-93BF6CE09ECB} - C:\Dokumente und Einstellungen\CastorTroy\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll
O4 - HKLM\..\Run: [avgnt] "C:\ProgramsCT\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Creative KSRun Persistence Module] RunDll32 KSRun.dll,RunDLLEntry
O4 - HKLM\..\Run: [Module Loader] C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe -StartUpRun
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\ProgramsCT\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\ProgramsCT\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\ProgramsCT\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\ProgramsCT\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\ProgramsCT\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\ProgramsCT\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\ProgramsCT\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\ProgramsCT\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\kbdsock.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\ProgramsCT\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\ProgramsCT\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe
O23 - Service: Dragon Age: Origins - Inhaltsupdater (DAUpdaterSvc) - BioWare - C:\Games\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TabletServiceWacom - Wacom Technology, Corp. - C:\WINDOWS\system32\Wacom_Tablet.exe
O23 - Service: Cisco AnyConnect VPN Agent (vpnagent) - Cisco Systems, Inc. - C:\Programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe
--
End of file - 8488 bytes
======Scheduled tasks folder======
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At10.job
C:\WINDOWS\tasks\At11.job
C:\WINDOWS\tasks\At12.job
C:\WINDOWS\tasks\At13.job
C:\WINDOWS\tasks\At14.job
C:\WINDOWS\tasks\At15.job
C:\WINDOWS\tasks\At16.job
C:\WINDOWS\tasks\At17.job
C:\WINDOWS\tasks\At18.job
C:\WINDOWS\tasks\At19.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At20.job
C:\WINDOWS\tasks\At21.job
C:\WINDOWS\tasks\At22.job
C:\WINDOWS\tasks\At23.job
C:\WINDOWS\tasks\At24.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At4.job
C:\WINDOWS\tasks\At5.job
C:\WINDOWS\tasks\At6.job
C:\WINDOWS\tasks\At7.job
C:\WINDOWS\tasks\At8.job
C:\WINDOWS\tasks\At9.job
======Registry dump======
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2009-12-18 61888]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{074C1DC5-9320-4A9A-947D-C042949C6216}]
ContributeBHO Class - C:\ProgramsCT\Adobe\/Adobe Contribute CS3/contributeieplugin.dll [2007-03-27 118784]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]
Groove GFS Browser Helper - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA61DE26-FA67-4575-9033-918671094293}]
TBSB03968 Class - C:\Dokumente und Einstellungen\CastorTroy\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll [2008-08-14 2484224]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE7CD045-E861-484f-8273-0445EE161910}]
Adobe PDF Conversion Toolbar Helper - C:\ProgramsCT\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll [2009-12-18 320928]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-12-03 41760]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-12-03 73728]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{47833539-D0C5-4125-9FA8-0819E2EAAC93} - Adobe PDF - C:\ProgramsCT\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll [2009-12-18 320928]
{517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - Contribute Toolbar - C:\ProgramsCT\Adobe\/Adobe Contribute CS3/contributeieplugin.dll [2007-03-27 118784]
{000E148C-F7A7-445A-9044-93BF6CE09ECB} - Toolbar fuer eBay - C:\Dokumente und Einstellungen\CastorTroy\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll [2008-08-14 2484224]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"avgnt"=C:\ProgramsCT\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"Creative KSRun Persistence Module"=RunDll32 KSRun.dll,RunDLLEntry []
""= []
"Module Loader"=C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe -StartUpRun []
"BluetoothAuthenticationAgent"=bthprops.cpl,,BluetoothAuthenticationAgent []
"KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k []
"Logitech Utility"=C:\WINDOWS\Logi_MwX.Exe [2003-12-11 20992]
"NWEReboot"= []
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"="C:\WINDOWS\system32\kbdsock.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2009-02-25 155648]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Microsoft Office\Office12\GROOVE.EXE"="C:\Programme\Microsoft Office\Office12\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Games\Dragon Age\bin_ship\daorigins.exe"="C:\Games\Dragon Age\bin_ship\daorigins.exe:*:Enabled:Dragon Age Origins -Spiel"
"C:\Games\Dragon Age\DAOriginsLauncher.exe"="C:\Games\Dragon Age\DAOriginsLauncher.exe:*:Enabled:Dragon Age Origins -Launcher"
"C:\Games\Dragon Age\bin_ship\daupdatersvc.service.exe"="C:\Games\Dragon Age\bin_ship\daupdatersvc.service.exe:*:Enabled:Dragon Age Origins -Inhaltsupdater"
"C:\Tools\WM Recorder\RMR.exe"="C:\Tools\WM Recorder\RMR.exe:*:Enabled:RM Stream Recorder"
"C:\Tools\WM Recorder\WMR90.exe"="C:\Tools\WM Recorder\WMR90.exe:*:Enabled:Windows Media (TM) Stream Recorder"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4217b332-efb9-11de-b58c-001500015284}]
shell\AutoRun\command - setup.exe
======List of files/folders created in the last 1 months======
2010-02-12 19:16:59 ----D---- C:\rsit
2010-02-12 17:49:06 ----D---- C:\Dokumente und Einstellungen\CastorTroy\Anwendungsdaten\Malwarebytes
2010-02-12 17:49:00 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-02-12 12:40:08 ----D---- C:\Programme\Trend Micro
2010-02-12 11:37:01 ----D---- C:\WINDOWS\ie8updates
2010-02-12 11:32:09 ----D---- C:\WINDOWS\WBEM
2010-02-12 11:26:37 ----HDC---- C:\WINDOWS\ie8
2010-02-12 11:12:58 ----A---- C:\WINDOWS\system32\MRT.exe
2010-02-12 10:35:42 ----A---- C:\WINDOWS\system32\23.exe
2010-02-12 10:13:37 ----A---- C:\WINDOWS\system32\81.exe
2010-02-03 18:30:35 ----D---- C:\WTablet
2010-01-22 12:24:30 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Cisco
2010-01-22 12:24:28 ----D---- C:\Programme\Cisco
2010-01-20 10:31:47 ----D---- C:\WINDOWS\Sun
2010-01-19 21:39:11 ----A---- C:\WINDOWS\NeroDigital.ini
2010-01-19 14:25:01 ----D---- C:\Programme\Gemeinsame Dateien\Ahead
2010-01-19 00:03:32 ----D---- C:\Dokumente und Einstellungen\CastorTroy\Anwendungsdaten\WTablet
2010-01-19 00:03:25 ----A---- C:\WINDOWS\system32\hidserv.dll
2010-01-19 00:02:47 ----D---- C:\WINDOWS\system32\WTablet
2010-01-19 00:02:45 ----N---- C:\WINDOWS\system32\Wintab32.dll
2010-01-19 00:02:44 ----N---- C:\WINDOWS\system32\Wacom_Tablet.exe
2010-01-19 00:02:44 ----N---- C:\WINDOWS\system32\Wacom_Tablet.dll
2010-01-19 00:02:43 ----D---- C:\Programme\Tablet
2010-01-15 17:29:12 ----D---- C:\Programme\WinPcap
2010-01-15 17:29:11 ----D---- C:\Temp
2010-01-15 17:29:06 ----A---- C:\WINDOWS\iun6002.exe
2010-01-14 08:38:44 ----A---- C:\WINDOWS\system32\ptpusb.dll
2010-01-14 08:38:42 ----A---- C:\WINDOWS\system32\ptpusd.dll
======List of files/folders modified in the last 1 months======
2010-02-12 19:13:59 ----D---- C:\WINDOWS\Temp
2010-02-12 19:13:42 ----D---- C:\WINDOWS
2010-02-12 19:11:48 ----D---- C:\WINDOWS\system32\CatRoot2
2010-02-12 19:11:42 ----SHD---- C:\System Volume Information
2010-02-12 19:11:42 ----D---- C:\WINDOWS\system32\Restore
2010-02-12 19:11:12 ----D---- C:\WINDOWS\system32
2010-02-12 19:10:50 ----D---- C:\WINDOWS\system32\drivers
2010-02-12 19:10:50 ----D---- C:\WINDOWS\AppPatch
2010-02-12 19:10:11 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-02-12 19:08:03 ----D---- C:\Programme\Internet Explorer
2010-02-12 19:08:03 ----D---- C:\Dokumente und Einstellungen\CastorTroy\Anwendungsdaten\Desktopicon
2010-02-12 19:00:01 ----RD---- C:\Programme
2010-02-12 17:49:00 ----D---- C:\Tools
2010-02-12 17:31:35 ----D---- C:\WINDOWS\Minidump
2010-02-12 17:31:35 ----D---- C:\WINDOWS\Debug
2010-02-12 17:18:32 ----D---- C:\TempD
2010-02-12 16:59:16 ----SD---- C:\WINDOWS\Tasks
2010-02-12 16:59:06 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-02-12 16:59:04 ----SHD---- C:\RECYCLER
2010-02-12 16:58:54 ----D---- C:\Programme\Launch Manager
2010-02-12 16:57:29 ----A---- C:\WINDOWS\LogonStudio.ini
2010-02-12 12:33:11 ----D---- C:\WINDOWS\Prefetch
2010-02-12 12:31:27 ----D---- C:\WINDOWS\system32\de-de
2010-02-12 12:31:27 ----D---- C:\WINDOWS\inf
2010-02-12 12:31:27 ----D---- C:\WINDOWS\Help
2010-02-12 11:39:21 ----HD---- C:\WINDOWS\$hf_mig$
2010-02-12 11:32:15 ----D---- C:\WINDOWS\system32\config
2010-02-12 11:31:07 ----D---- C:\WINDOWS\Media
2010-02-12 11:09:16 ----D---- C:\Dokumente und Einstellungen\CastorTroy\Anwendungsdaten\Skype
2010-02-12 10:34:56 ----D---- C:\Dokumente und Einstellungen\CastorTroy\Anwendungsdaten\skypePM
2010-02-12 01:00:07 ----D---- C:\Dokumente und Einstellungen\CastorTroy\Anwendungsdaten\vlc
2010-02-05 15:08:46 ----D---- C:\Dokumente und Einstellungen\CastorTroy\Anwendungsdaten\dvdcss
2010-02-02 18:52:45 ----D---- C:\Dokumente und Einstellungen\CastorTroy\Anwendungsdaten\Adobe
2010-02-02 10:11:19 ----SHD---- C:\WINDOWS\Installer
2010-01-28 17:58:42 ----D---- C:\UNI 01_2010
2010-01-25 15:13:53 ----D---- C:\Programme\Gemeinsame Dateien\Adobe
2010-01-22 12:24:30 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft
2010-01-19 14:25:01 ----D---- C:\Programme\Gemeinsame Dateien
2010-01-19 14:22:24 ----D---- C:\ProgramsCT
2010-01-16 21:11:16 ----RSD---- C:\WINDOWS\Fonts
2010-01-15 17:50:15 ----D---- C:\Programme\Windows Media Player
======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R1 avgio;avgio; \??\C:\ProgramsCT\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.7.5.0; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2009-12-02 21361]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-12-08 56816]
R2 cpuz132;cpuz132; \??\C:\WINDOWS\system32\drivers\cpuz132_x32.sys []
R2 EpmPsd;Acer EPM Power Scheme Driver; \??\C:\WINDOWS\system32\drivers\epm-psd.sys []
R2 irda;IrDA-Protokoll; C:\WINDOWS\System32\DRIVERS\irda.sys [2008-04-14 88192]
R2 mdmxsdk;mdmxsdk; C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys [2004-03-17 13059]
R2 s24trans;WLAN-Transport; C:\WINDOWS\system32\DRIVERS\s24trans.sys [2007-08-27 12288]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2009-02-25 3565568]
R3 CAMCAUD;Conexant AMC Audio; C:\WINDOWS\system32\drivers\camcaud.sys [2004-06-25 34048]
R3 CAMCHALA;CAMCHALA; C:\WINDOWS\system32\drivers\camchal.sys [2004-06-25 276480]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\System32\DRIVERS\CmBatt.sys [2008-04-14 13952]
R3 DKbFltr;Dritek HotKey Keyboard Filter Driver; C:\WINDOWS\System32\Drivers\DKbFltr.sys [2004-12-08 16896]
R3 LHidFlt2;Logitech HID/USB Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\LHidFlt2.Sys [2003-12-11 25630]
R3 LHidUsb;Logitech USB Receiver device driver; C:\WINDOWS\System32\Drivers\LHidUsb.Sys [2003-12-11 37916]
R3 LMouFlt2;Logitech Mouse Class Filter Driver; C:\WINDOWS\system32\DRIVERS\LMouFlt2.Sys [2003-12-11 70894]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 Rasirda;WAN-Miniport (IrDA); C:\WINDOWS\System32\DRIVERS\rasirda.sys [2001-08-17 19584]
R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2004-10-08 185824]
R3 tifm21;tifm21; C:\WINDOWS\system32\drivers\tifm21.sys [2005-02-10 157056]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2008-04-14 20608]
R3 w29n51;Intel(R) PRO/Wireless 2200BG Netzwerkverbindungstreiber für Windows XP; C:\WINDOWS\system32\DRIVERS\w29n51.sys [2007-07-25 2210048]
R3 wacommousefilter;Wacom Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\wacommousefilter.sys [2007-02-16 11312]
R3 wacomvhid;Wacom Virtual Hid Driver; C:\WINDOWS\system32\DRIVERS\wacomvhid.sys [2008-07-11 13352]
R3 WacomVKHid;Virtual Keyboard Driver; C:\WINDOWS\system32\DRIVERS\WacomVKHid.sys [2007-02-16 11440]
S1 InCDPass;InCDPass; C:\WINDOWS\system32\drivers\InCDPass.sys []
S1 InCDRm;InCD Reader; C:\WINDOWS\system32\drivers\InCDRm.sys []
S3 a9lypi6j;a9lypi6j; C:\WINDOWS\system32\drivers\a9lypi6j.sys []
S3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2008-04-14 60800]
S3 b57w2k;Broadcom NetXtreme Gigabit Ethernet; C:\WINDOWS\system32\DRIVERS\b57xp32.sys [2003-05-22 175360]
S3 BthEnum;Bluetooth-Anforderungsblocktreiber; C:\WINDOWS\system32\DRIVERS\BthEnum.sys [2008-04-14 17024]
S3 BthPan;Bluetooth-Gerät (PAN); C:\WINDOWS\system32\DRIVERS\bthpan.sys [2008-04-14 101120]
S3 BTHPORT;Bluetooth-Porttreiber; C:\WINDOWS\System32\Drivers\BTHport.sys [2008-04-14 273920]
S3 BTHUSB;USB-Treiber für Bluetooth-Funkgerät; C:\WINDOWS\System32\Drivers\BTHUSB.sys [2008-04-14 18944]
S3 cpuz130;cpuz130; \??\C:\DOKUME~1\CASTOR~1\LOKALE~1\Temp\cpuz130\cpuz_x32.sys []
S3 ENTECH;ENTECH; \??\C:\WINDOWS\system32\DRIVERS\ENTECH.sys []
S3 EpmShd;Acer EPM System Hardware Driver; \??\C:\WINDOWS\system32\Drivers\epm-shd.sys []
S3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2008-04-14 10368]
S3 HSF_DPV;HSF_DPV; C:\WINDOWS\system32\DRIVERS\HSF_DPV.sys [2005-01-25 1038208]
S3 HSFHWICH;HSFHWICH; C:\WINDOWS\system32\DRIVERS\HSFHWICH.sys [2005-01-25 207616]
S3 ksaud;Creative USB Audio Driver; C:\WINDOWS\system32\drivers\ksaud.sys [2008-02-12 414464]
S3 ksaudfl;ksaudfl; C:\WINDOWS\system32\drivers\ksaudfl.sys [2008-01-23 1669760]
S3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2008-04-14 61824]
S3 nm;Netzwerkmonitortreiber; C:\WINDOWS\system32\DRIVERS\NMnt.sys [2008-04-14 40320]
S3 NPF;NetGroup Packet Filter Driver; C:\WINDOWS\system32\drivers\npf.sys [2004-05-14 32896]
S3 NSCIRDA;NSC-Infrarotgerätetreiber; C:\WINDOWS\System32\DRIVERS\nscirda.sys [2008-04-14 28672]
S3 RFCOMM;Bluetooth-Gerät (RFCOMM-Protokoll-TDI); C:\WINDOWS\system32\DRIVERS\rfcomm.sys [2008-04-14 59136]
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-14 60032]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [2008-04-14 32128]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-14 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-14 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
S3 vpnva;Cisco AnyConnect VPN Virtual Miniport Adapter for Windows; C:\WINDOWS\system32\DRIVERS\vpnva.sys [2009-06-17 20152]
S3 wacmoumonitor;Wacom Mode Helper; C:\WINDOWS\system32\DRIVERS\wacmoumonitor.sys [2008-10-06 15656]
S3 winachsf;winachsf; C:\WINDOWS\system32\DRIVERS\HSF_CNXT.sys [2005-01-25 703616]
S4 InCDFs;InCD File System; C:\WINDOWS\system32\drivers\InCDFs.sys []
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\ProgramsCT\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\ProgramsCT\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2009-02-25 602112]
R2 Bonjour Service;##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##; C:\Programme\Bonjour\mDNSResponder.exe [2006-02-28 229376]
R2 BthServ;Bluetooth Support Service; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 CTAudSvcService;Creative Audio Service; C:\Programme\Creative\Shared Files\CTAudSvc.exe [2008-04-30 417792]
R2 EvtEng;Intel(R) PROSet/Wireless Event Log; C:\Programme\Intel\Wireless\Bin\EvtEng.exe [2007-10-08 794624]
R2 Irmon;Infrarotüberwachung; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-12-03 153376]
R2 RegSrvc;Intel(R) PROSet/Wireless Registry Service; C:\Programme\Intel\Wireless\Bin\RegSrvc.exe [2007-10-08 483328]
R2 S24EventMonitor;Intel(R) PROSet/Wireless Service; C:\Programme\Intel\Wireless\Bin\S24EvMon.exe [2007-10-08 1183744]
R2 TabletServiceWacom;TabletServiceWacom; C:\WINDOWS\system32\Wacom_Tablet.exe [2008-10-30 2749224]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-01-28 38912]
R2 vpnagent;Cisco AnyConnect VPN Agent; C:\Programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe [2009-06-17 434864]
S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2009-02-25 593920]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service; C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe [2009-12-02 79360]
S3 DAUpdaterSvc;Dragon Age: Origins - Inhaltsupdater; C:\Games\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe [2009-07-26 25832]
S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2009-12-03 654848]
S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-27 65824]
S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 rpcapd;Remote Packet Capture Protocol v.0 (experimental); C:\Programme\WinPcap\rpcapd.exe [2004-05-14 86016]
-----------------EOF----------------- |