|
Trojaner TR/Spy.ZBot.agaa Hallo Leute, da ich leider keinen Beitrag gefunden habe, der sich auf den hier erkannten Trojaner bezieht, hier mein Hilferuf. Ich habe beim Scannen mit AntiVir AVIRA den Trojaner TR/Spy.ZBot.agaa gefunden. Da Format C: für mich derzeit keine Option ist, muss ich das Teil irgendwie loswerden. Wer kann mir helfen? Grüße FT :killpc: |
Hallo und :hallo: Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! ) Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen! Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen. |
Hallo Cosinus, Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3510 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 22.03.2010 10:59:39 mbam-log-2010-03-22 (10-59-39).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|L:\|) Durchsuchte Objekte: 424395 Laufzeit: 2 hour(s), 9 minute(s), 12 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 4 Infizierte Registrierungswerte: 3 Infizierte Dateiobjekte der Registrierung: 6 Infizierte Verzeichnisse: 1 Infizierte Dateien: 7 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: c:\windows\system32\sdra64.exe -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: system32\sdra64.exe -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\WINDOWS\system32\lowsec (Stolen.data) -> Delete on reboot. Infizierte Dateien: C:\WINDOWS\system32\drivers\xname.sys (Rootkit.Agent) -> Delete on reboot. C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Delete on reboot. C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Delete on reboot. C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> Quarantined and deleted successfully. C:\WINDOWS\system32\mJe33wS8.exe.a_a (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> Delete on reboot. C:\WINDOWS\file.exe (Trojan.Agent) -> Quarantined and deleted successfully. |
und hier der Inhalt der log.txt: Logfile of random's system information tool 1.06 (written by random/random) Run by F****i at 2010-03-22 11:08:53 Microsoft Windows XP Home Edition Service Pack 2 System drive C: has 17 GB (14%) free of 119 GB Total RAM: 1022 MB (59% free) HijackThis download failed ======Scheduled tasks folder====== C:\WINDOWS\tasks\AppleSoftwareUpdate.job C:\WINDOWS\tasks\At1.job C:\WINDOWS\tasks\At10.job C:\WINDOWS\tasks\At11.job C:\WINDOWS\tasks\At12.job C:\WINDOWS\tasks\At13.job C:\WINDOWS\tasks\At14.job C:\WINDOWS\tasks\At15.job C:\WINDOWS\tasks\At16.job C:\WINDOWS\tasks\At17.job C:\WINDOWS\tasks\At18.job C:\WINDOWS\tasks\At19.job C:\WINDOWS\tasks\At2.job C:\WINDOWS\tasks\At20.job C:\WINDOWS\tasks\At21.job C:\WINDOWS\tasks\At22.job C:\WINDOWS\tasks\At23.job C:\WINDOWS\tasks\At24.job C:\WINDOWS\tasks\At3.job C:\WINDOWS\tasks\At4.job C:\WINDOWS\tasks\At5.job C:\WINDOWS\tasks\At6.job C:\WINDOWS\tasks\At7.job C:\WINDOWS\tasks\At8.job C:\WINDOWS\tasks\At9.job C:\WINDOWS\tasks\Google Software Updater.job C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}] Groove GFS Browser Helper - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL [2006-10-27 2210608] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A3BA40A2-74F0-42BD-F434-00B15A2C8953}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE7CD045-E861-484f-8273-0445EE161910}] AcroIEToolbarHelper Class - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll [2003-05-15 147456] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Adobe PDF - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll [2003-05-15 147456] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "ZoneAlarm Client"=C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe [2008-07-09 919016] "QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2009-11-10 417792] "iTunesHelper"=C:\Programme\iTunes\iTunesHelper.exe [2009-11-12 141600] "NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2005-10-10 7286784] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "PC Suite Tray"=C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe [2009-06-25 1414144] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] C:\WINDOWS\system32\NvCpl.dll [2005-10-10 7286784] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService] C:\Programme\Home Cinema\PowerCinema\PCMService.exe [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] C:\Programme\QuickTime\qttask.exe [2009-11-10 417792] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Remote System Protection] , HUI_proc [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] C:\PROGRA~1\MICROS~4\Office10\OSA.EXE -b -l [] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe C:\Dokumente und Einstellungen\Friedi\Startmenü\Programme\Autostart msconfig32.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} - C:\WINDOWS\system32\upnpui.dll [2004-08-04 240128] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-08-24 133120] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler] 7whfiudhf8s7f3oifhif7syfdhsof - {A3BA40A2-74F0-42BD-F434-00B15A2C8953} [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL [2006-10-27 2210608] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Wdf01000.sys] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:Enabled:Remoteunterstützung" "%ProgramFiles%\Messenger\msmsgs.exe"="%ProgramFiles%\Messenger\msmsgs.exe:*:Enabled:Windows Messenger" "%WinDir%\system32\fxsclnt.exe"="%WinDir%\system32\fxsclnt.exe:*:enabled:Microsoft Fax Console" "C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:MSN Messenger 7.5" "C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook" "C:\Programme\Microsoft Office\Office12\GROOVE.EXE"="C:\Programme\Microsoft Office\Office12\GROOVE.EXE:*:Enabled:Microsoft Office Groove" "C:\Programme\Microsoft Office\Office12\ONENOTE.EXE"="C:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote" "C:\Programme\uTorrent\uTorrent.exe"="C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent" "C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour" "C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:Enabled:Remoteunterstützung" "%ProgramFiles%\Messenger\msmsgs.exe"="%ProgramFiles%\Messenger\msmsgs.exe:*:Enabled:Windows Messenger" "%ProgramFiles%\AOL 9.0\AOL.exe"="%ProgramFiles%\AOL 9.0\AOL.exe:*:enabled:AOL 9.0" "%WinDir%\system32\fxsclnt.exe"="%WinDir%\system32\fxsclnt.exe:*:enabled:Microsoft Fax Console" "%ProgramFiles%\Skype\Phone\Skype.exe"="%ProgramFiles%\Skype\Phone\Skype.exe:*:enabled:Skype" "%ProgramFiles%\CA\eTrust Antivirus\InocIT.exe"="%ProgramFiles%\CA\eTrust Antivirus\InocIT.exe:*:enabled:eTrust Antivirus - Local Scanner" "%ProgramFiles%\CA\eTrust Antivirus\Realmon.exe"="%ProgramFiles%\CA\eTrust Antivirus\Realmon.exe:*:enabled:eTrust Antivirus - Realtime monitor" "%ProgramFiles%\CA\eTrust Antivirus\InoRpc.exe"="%ProgramFiles%\CA\eTrust Antivirus\InoRpc.exe:*:enabled:eTrust Antivirus - RPC Server" "C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe:*:Enabled:AOL" "C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe:*:Enabled:AOL" "C:\Programme\AOL 9.0\waol.exe"="C:\Programme\AOL 9.0\waol.exe:*:Enabled:AOL 9.0" "C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:MSN Messenger 7.5" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6dfbcb2b-50dc-11de-9afd-494c4c450000}] shell\AutoRun\command - N:\NokiaPCIA_Autorun.exe ======List of files/folders created in the last 1 months====== 2010-03-22 11:08:54 ----D---- C:\Programme\trend micro 2010-03-22 11:08:53 ----D---- C:\rsit 2010-03-22 08:42:30 ----D---- C:\Dokumente und Einstellungen\Friedi\Anwendungsdaten\Malwarebytes 2010-03-22 08:42:23 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-03-22 08:42:22 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2010-03-18 17:15:14 ----RSH---- C:\Dokumente und Einstellungen\Friedi\Anwendungsdaten\oaozf.exe 2010-03-16 07:43:32 ----A---- C:\WINDOWS\system32\stu2.exe 2010-03-13 15:01:24 ----A---- C:\WINDOWS\system32\D3DX9_41.dll 2010-03-13 15:01:19 ----D---- C:\WINDOWS\Logs 2010-03-13 15:01:18 ----D---- C:\WINDOWS\system32\temp 2010-03-13 15:01:18 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PassMark 2010-03-02 08:38:22 ----A---- C:\WINDOWS\ModemLog_Nokia E71 USB Modem #2.txt 2010-02-27 12:47:17 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2010-02-27 12:47:14 ----A---- C:\WINDOWS\system32\d3dx9_31.dll 2010-02-27 12:47:03 ----D---- C:\Programme\BurnInTest 2010-02-26 11:35:07 ----D---- C:\Programme\Free WMA to MP3 Converter 2010-02-23 19:08:16 ----D---- C:\Programme\CCleaner 2010-02-23 12:14:07 ----D---- C:\Programme\mp3DirectCut ======List of files/folders modified in the last 1 months====== 2010-03-22 11:08:54 ----RD---- C:\Programme 2010-03-22 11:08:30 ----D---- C:\WINDOWS\Prefetch 2010-03-22 11:08:14 ----D---- C:\WINDOWS\Temp 2010-03-22 11:04:15 ----AD---- C:\WINDOWS 2010-03-22 11:04:11 ----A---- C:\WINDOWS\win.ini 2010-03-22 11:04:05 ----A---- C:\WINDOWS\ModemLog_Softmodem V.32bis + Fax Class 1.txt 2010-03-22 11:04:04 ----A---- C:\WINDOWS\ModemLog_Agere Systems PCI-SV92PP Soft Modem.txt 2010-03-22 11:03:56 ----A---- C:\WINDOWS\system32\mscandc.ini 2010-03-22 11:03:06 ----D---- C:\WINDOWS\system32 2010-03-22 11:03:05 ----D---- C:\WINDOWS\system32\drivers 2010-03-22 11:02:35 ----A---- C:\WINDOWS\SchedLgU.Txt 2010-03-22 11:02:33 ----D---- C:\WINDOWS\system32\CatRoot2 2010-03-22 09:05:00 ----D---- C:\-=Mailordner=- 2010-03-22 08:39:46 ----D---- C:\WINDOWS\Internet Logs 2010-03-21 09:56:19 ----D---- C:\WINDOWS\system32\FxsTmp 2010-03-18 18:29:05 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe 2010-03-18 18:22:29 ----D---- C:\Dokumente und Einstellungen\Friedi\Anwendungsdaten\Adobe 2010-03-18 09:38:50 ----RSHDC---- C:\WINDOWS\system32\dllcache 2010-03-16 16:51:01 ----A---- C:\WINDOWS\DTN32.INI 2010-03-16 12:12:35 ----D---- C:\WINDOWS\system32\ZoneLabs 2010-03-16 07:59:32 ----D---- C:\Dokumente und Einstellungen\Friedi\Anwendungsdaten\uTorrent 2010-03-16 07:43:31 ----A---- C:\WINDOWS\system32\userinit.exe 2010-03-16 07:41:04 ----D---- C:\Programme\Mozilla Firefox 2010-03-13 15:01:28 ----D---- C:\WINDOWS\system32\DirectX 2010-03-13 15:01:27 ----HD---- C:\WINDOWS\inf 2010-02-27 10:49:01 ----ASH---- C:\boot.ini 2010-02-27 10:49:01 ----A---- C:\WINDOWS\system.ini 2010-02-26 10:45:29 ----D---- C:\Dokumente und Einstellungen\Friedi\Anwendungsdaten\AdobeUM 2010-02-26 10:23:40 ----SHD---- C:\WINDOWS\Installer 2010-02-26 10:23:40 ----D---- C:\Config.Msi 2010-02-23 19:11:24 ----D---- C:\WINDOWS\Minidump 2010-02-23 19:11:24 ----D---- C:\WINDOWS\Debug 2010-02-23 16:11:18 ----D---- C:\Programme\Winamp 2010-02-23 16:10:40 ----HD---- C:\Programme\InstallShield Installation Information 2010-02-23 16:10:32 ----D---- C:\Programme\ElsterFormular2005 2010-02-23 16:02:52 ----A---- C:\WINDOWS\ModemLog_Nokia E71 USB Modem.txt 2010-02-23 15:41:24 ----D---- C:\Programme\AVS4YOU 2010-02-23 12:08:06 ----D---- C:\Dokumente und Einstellungen\Friedi\Anwendungsdaten\foobar2000 ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-10-12 75096] R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-04 40192] R1 KLIF;KLIF; C:\WINDOWS\system32\DRIVERS\klif.sys [2007-07-19 127768] R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248] R1 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2008-07-09 394952] R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.4.0.1; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2005-10-09 19915] R2 CAPI;CAPI 2.0 Service; C:\WINDOWS\system32\DRIVERS\capi.sys [2004-09-08 28740] R2 NDISCAPI;NDIS CAPI Service; C:\WINDOWS\system32\DRIVERS\ndiscapi.sys [2004-09-08 41037] R2 Nsynas32;Nsynas32; C:\WINDOWS\system32\drivers\Nsynas32.sys [2001-04-09 17784] R3 3xHybrid;3xHybrid service; C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-12-06 826752] R3 AgereSoftModem;Agere Systems Soft Modem; C:\WINDOWS\system32\DRIVERS\AGRSM.sys [2008-03-21 1203776] R3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys [] R3 CMISTOR;CMIUCR.SYS CM220 Card Reader Driver; C:\WINDOWS\system32\DRIVERS\cmiucr.SYS [2005-10-04 72320] R3 DectEnum;DectEnum; C:\WINDOWS\System32\Drivers\DectEnum.sys [2005-03-01 8448] R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys [2009-05-18 26600] R3 Gigusb;Dect USB Driver; C:\WINDOWS\System32\Drivers\Gigusb.sys [2005-03-01 53632] R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2005-01-07 138752] R3 HRCMPA;ISDN Wan driver (Ver. 1.20.0032); C:\WINDOWS\system32\DRIVERS\hrcmpa.sys [2004-09-08 263751] R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2006-01-13 4137984] R3 IUAPIWDM;ISDN USB Interface (Ver. 1.20.0032); C:\WINDOWS\system32\DRIVERS\IUAPIWDM.sys [2004-09-08 50759] R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2005-10-10 3530432] R3 ROOTMODEM;Microsoft Legacy Modem Driver; C:\WINDOWS\System32\Drivers\RootMdm.sys [2004-08-04 5888] R3 siellif;siellif; C:\WINDOWS\System32\Drivers\siellif.sys [2005-03-01 113408] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624] R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-03 57600] R3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104] R3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 26496] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-03 20480] R3 vmdmd;Softmodem/Fax Port Driver; C:\WINDOWS\system32\DRIVERS\vmdmd.sys [2003-06-17 185696] R3 XUIF;X10 USB Wireless Transceiver; C:\WINDOWS\System32\Drivers\x10ufx2.sys [2005-05-19 17792] S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-03 14848] S3 4DW4R3;4DW4R3; \??\C:\WINDOWS\system32\drivers\4DW4R3.sys [] S3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2004-08-04 60800] S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-03 17024] S3 gmer;gmer; C:\WINDOWS\System32\DRIVERS\gmer.sys [2008-01-17 70001] S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600] S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288] S3 MPE;BDA MPE-Filter; C:\WINDOWS\system32\DRIVERS\MPE.sys [2004-08-03 15360] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504] S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-03 85376] S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-03 10880] S3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2004-08-04 61824] S3 nmwcd;Nokia USB Phone Parent; C:\WINDOWS\system32\drivers\ccdcmb.sys [2009-02-09 17664] S3 nmwcdc;Nokia USB Generic; C:\WINDOWS\system32\drivers\ccdcmbo.sys [2009-02-09 22016] S3 nmwcdnsu;Nokia USB Flashing Phone Parent; C:\WINDOWS\system32\drivers\nmwcdnsu.sys [2009-03-19 136704] S3 nmwcdnsuc;Nokia USB Flashing Generic; C:\WINDOWS\system32\drivers\nmwcdnsuc.sys [2009-03-19 8320] S3 pccsmcfd;PCCS Mode Change Filter Driver; C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys [2008-08-26 18816] S3 RT2500USB;RT2500 USB Wireless LAN Driver; C:\WINDOWS\system32\DRIVERS\rt2500usb.sys [2005-07-14 241536] S3 rtl8139;NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernet-Adapter; C:\WINDOWS\system32\DRIVERS\RTL8139.SYS [2004-08-03 20992] S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-03 11136] S3 SONYPVU1;Sony USB-Filtertreiber (SONYPVU1); C:\WINDOWS\system32\DRIVERS\SONYPVU1.SYS [2001-08-17 7552] S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-03 15360] S3 upperdev;upperdev; C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys [2009-02-09 7808] S3 USBAAPL;Apple Mobile USB Driver; C:\WINDOWS\System32\Drivers\usbaapl.sys [2009-08-28 40448] S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856] S3 usbser;USB Modem Driver; C:\WINDOWS\system32\drivers\usbser.sys [2004-08-03 25600] S3 UsbserFilt;UsbserFilt; C:\WINDOWS\system32\DRIVERS\usbser_lowerfltj.sys [2009-02-09 7808] S3 wanatw;WAN Miniport (ATW); C:\WINDOWS\system32\DRIVERS\wanatw4.sys [] S3 Wdf01000;Wdf01000; C:\WINDOWS\system32\DRIVERS\Wdf01000.sys [2008-03-27 503008] S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-03 19328] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2008-01-18 83328] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\system32\DRIVERS\sr.sys [2004-08-04 73472] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AgereModemAudio;Agere Modem Call Progress Audio; C:\WINDOWS\system32\agrsmsvc.exe [2008-03-18 13312] R2 AntiVirScheduler;Avira AntiVir Personal – Free Antivirus Planer; C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2009-02-24 68865] R2 AntiVirService;Avira AntiVir Personal – Free Antivirus Guard; C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2009-02-24 151297] R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2009-08-28 144672] R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2008-12-12 238888] R2 Fax;Fax; C:\WINDOWS\system32\fxssvc.exe [2004-08-04 268800] R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe [2005-11-15 73728] R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe [2003-06-20 322120] R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2005-10-10 131139] R2 RichVideo;Cyberlink RichVideo Service(CRVS); C:\Programme\CyberLink\Shared Files\RichVideo.exe [2006-02-22 167936] R2 vsmon;TrueVector Internet Monitor; C:\WINDOWS\system32\ZoneLabs\vsmon.exe [2008-07-09 75304] R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336] R2 x10nets;X10 Device Network Service; C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe [2001-11-12 20480] R3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2009-11-12 545568] R3 ServiceLayer;ServiceLayer; C:\Programme\PC Connectivity Solution\ServiceLayer.exe [2009-06-02 637952] S2 gupdate;Google Update Service (gupdate); C:\Programme\Google\Update\GoogleUpdate.exe [2009-02-04 133104] S2 gupdate1c986f4f2e30038;Google Update Service (gupdate1c986f4f2e30038); C:\Programme\Google\Update\GoogleUpdate.exe [2009-02-04 133104] S2 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-06-21 183280] S3 Adobe LM Service;Adobe LM Service; C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe [2006-07-21 68096] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240] S3 getPlusHelper;getPlus(R) Helper; C:\WINDOWS\System32\svchost.exe [2004-08-04 14336] S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632] S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-27 65824] S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136] S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184] S3 SolidWorks Licensing Service;SolidWorks Licensing Service; C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe [2008-04-14 79360] S3 WMConnectCDS;Windows Media Connect-Dienst; C:\Programme\Windows Media Connect 2\wmccds.exe [2005-10-06 856064] S3 xControlCOM;xControlCOM; C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe [2005-03-01 327680] -----------------EOF----------------- |
und hier der Inhalt der onfo.txt info.txt logfile of random's system information tool 1.06 2010-03-22 11:08:58 ======Uninstall list====== -->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL -->C:\WINDOWS\IsUn0407.exe -fC:\WINDOWS\orun32.isu -->C:\WINDOWS\UNNeroVision.exe /UNINSTALL -->C:\WINDOWS\UNNMP.exe /UNINSTALL -->C:\WINDOWS\UNNVEContent.exe /UNINSTALL -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf ABBYY FineReader OCR Engine-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{345C90FB-FA10-11D5-9C2A-0080C85A0C2D}\setup.exe" Adobe Acrobat 6.0 Professional - English, Français, Deutsch-->MsiExec.exe /I{AC76BA86-1033-F400-7760-000000000001} Adobe Download Manager-->"C:\WINDOWS\system32\rundll32.exe" "C:\Programme\NOS\bin\getPlus_Helper.dll",Uninstall /Get1 Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Adobe Photoshop CS-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{EFB21DE7-8C19-4A88-BB28-A766E16493BC}\setup.exe" -l0x7 Adobe Reader 7.0.7 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A70700000002} Apple Application Support-->MsiExec.exe /I{3FA365DF-2D68-45ED-8F83-8C8A33E65143} Apple Mobile Device Support-->MsiExec.exe /I{AADEA55D-C834-4BCB-98A3-4B8D1C18F4EE} Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033} Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE Bing Maps 3D-->MsiExec.exe /I{2D87E961-577B-492B-AD54-1368680FB9A7} Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B} BurnInTest v6.0 Pro-->"C:\Programme\BurnInTest\unins000.exe" Canon Camera Window for ZoomBrowser EX-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{A833A505-4D7A-41F5-9362-A2F8DFFE6E9B} Canon EOS Kiss REBEL 300D WIA-Treiber-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{31A57C3E-30DD-421F-B5C7-974DACB0D05F} Canon Utilities RemoteCapture 2.7-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{EF91B23E-3819-43A1-AE47-043E1900EB2B} CCleaner-->"C:\Programme\CCleaner\uninst.exe" C-Media USB2.0 Card Reader-->C:\WINDOWS\CmiUCRUninstall.exe C:\Programme\C-Media USB2.0 Card Reader DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER DivX Pro-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC DivX User Guide-->C:\Programme\DivX\DivXUserGuideUninstall /USERGUIDE eDrawings 2008-->MsiExec.exe /I{CD23CF22-1DA2-4351-B6C4-B1A2859C68AC} ElsterFormular 2007/2008-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B480BD2A-F1BA-4FE6-8C8E-34C6111B72C9}\setup.exe" -l0x7 -removeonly ElsterFormular 2008/2009-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}\setup.exe" -l0x7 -removeonly foobar2000 v0.9.6.9-->"C:\Programme\foobar2000\uninstall.exe" _?=C:\Programme\foobar2000 Free WMA to MP3 Converter 1.16-->"C:\Programme\Free WMA to MP3 Converter\unins000.exe" FTP Voyager-->C:\WINDOWS\IsUninst.exe -f"C:\Programme\RhinoSoft.com\FTP Voyager\Uninst.isu" -c"C:\Programme\RhinoSoft.com\FTP Voyager\FVUninstall.dll" Gigaset SX3x3isdn-->MsiExec.exe /X{69CA3A84-6CE4-41C3-9E5F-69135D18D751} High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe" Hotfix for Windows Media Format SDK (KB902344)-->"C:\WINDOWS\$NtUninstallKB902344$\spuninst\spuninst.exe" Hotfix for Windows XP (KB915800)-->"C:\WINDOWS\$NtUninstallKB915800$\spuninst\spuninst.exe" Hotfix for Windows XP (KB915865)-->"C:\WINDOWS\$NtUninstallKB915865$\spuninst\spuninst.exe" iTunes-->MsiExec.exe /I{A6FDF86A-F541-4E7B-AEA0-8849A2A700D5} J2SE Runtime Environment 5.0 Update 6-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060} Macromedia Fireworks 4-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A8833100-1481-11D4-9731-00C04F8EEB39}\Setup.exe" UNINSTALL Macromedia Shockwave Player-->C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe" mb Software ArCon 6.5-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5B67E6E3-11AC-4228-BC57-9DFD56DC2ACD}\Setup.exe" -l0x7 Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe Microsoft Kernel-Mode Driver Framework Feature Pack 1.5-->"C:\WINDOWS\$NtUninstallWdf01005$\spuninst\spuninst.exe" Microsoft Kernel-Mode Driver Framework Feature Pack 1.7-->"C:\WINDOWS\$NtUninstallWdf01007$\spuninst\spuninst.exe" Microsoft Office Access MUI (German) 2007-->MsiExec.exe /X{90120000-0015-0407-0000-0000000FF1CE} Microsoft Office Enterprise 2007-->"C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall ENTERPRISE /dll OSETUP.DLL Microsoft Office Enterprise 2007-->MsiExec.exe /X{90120000-0030-0000-0000-0000000FF1CE} Microsoft Office Excel MUI (German) 2007-->MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE} Microsoft Office Groove MUI (German) 2007-->MsiExec.exe /X{90120000-00BA-0407-0000-0000000FF1CE} Microsoft Office InfoPath MUI (German) 2007-->MsiExec.exe /X{90120000-0044-0407-0000-0000000FF1CE} Microsoft Office OneNote MUI (German) 2007-->MsiExec.exe /X{90120000-00A1-0407-0000-0000000FF1CE} Microsoft Office Outlook MUI (German) 2007-->MsiExec.exe /X{90120000-001A-0407-0000-0000000FF1CE} Microsoft Office PowerPoint MUI (German) 2007-->MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE} Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE} Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE} Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE} Microsoft Office Proof (Italian) 2007-->MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE} Microsoft Office Proofing (German) 2007-->MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE} Microsoft Office Publisher MUI (German) 2007-->MsiExec.exe /X{90120000-0019-0407-0000-0000000FF1CE} Microsoft Office Shared MUI (German) 2007-->MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE} Microsoft Office Word MUI (German) 2007-->MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE} Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00} Microsoft User-Mode Driver Framework Feature Pack 1.7-->"C:\WINDOWS\$NtUninstallWudf01007$\spuninst\spuninst.exe" Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d} Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket-->"C:\WINDOWS\$NtUninstallbasecsp$\spuninst\spuninst.exe" Mozilla Firefox (3.5.8)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe MSN Messenger 7.5-->MsiExec.exe /I{0D93041A-03EC-11DA-BFBD-00065BBDC0B5} MSVC80_x86-->MsiExec.exe /I{212748BB-0DA5-46DE-82A1-403736DC9F27} MSXML 6.0 Parser-->MsiExec.exe /I{A43BF6A5-D5F0-4AAA-BF41-65995063EC44} Nero Suite-->C:\Programme\Gemeinsame Dateien\Nero\Uninstall\setupx.exe /uninstall ExtraUninstallID="" Nokia Connectivity Cable Driver-->MsiExec.exe /I{52D02A2B-03D2-4E34-A358-DC5D951FD296} Nokia PC Suite-->C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Nokia_PC_Suite_7_1_30_9_ger_web.exe Nokia PC Suite-->MsiExec.exe /I{3D39E775-DDDA-4327-B747-0BDC5F191331} Nokia Software Updater-->MsiExec.exe /X{F983B4FE-547B-4C44-BAF7-4F4DBA93D548} NVIDIA Drivers-->C:\WINDOWS\system32\nvudisp.exe UninstallGUI PC Connectivity Solution-->MsiExec.exe /I{0C973594-7DDF-4BD0-84ED-3517F7622037} Phase 5 HTML-Editor-->MsiExec.exe /I{BCB313A5-1AD0-4829-9D6F-EB41C3CFCD4B} phase5-->"C:\Programme\phase5\uninstall.exe" QuickTime-->MsiExec.exe /I{1451DE6B-ABE1-4F62-BE9A-B363A17588A2} Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x7 -removeonly RT2500 USB Wireless LAN Card-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5490B6EF-5A48-40B7-A9E0-D3B886D17A29}\setup.exe" -l0x7 -removeonly ScanWizard 5-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B08D262E-D902-11D5-9C28-0080C85A0C2D}\setup.exe" talk&surf 6.0-->MsiExec.exe /I{7E7C9FB7-711A-4FF0-B22F-42BD08652096} talk&surf CAPI-->MsiExec.exe /I{DF5F21A4-32FD-4A40-BEC0-7A147B7ED38C} talk&surf Fax-->MsiExec.exe /I{4DC5C87A-D5E8-4A69-86E8-AE4D98FC8196} Update für Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe" USB Wireless Keyboard Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B338EA45-9F18-4FE4-A079-89668D1F6519}\Setup.exe" -l0x7 Viewpoint Media Player-->C:\Programme\Viewpoint\Viewpoint Experience Technology\mtsAxInstaller.exe /u Winamp (remove only)-->"C:\Programme\Winamp\UninstWA.exe" Windows Genuine Advantage v1.3.0254.0-->MsiExec.exe /I{63569CE9-FA00-469C-AF5C-E5D4D93ACF91} Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe" Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe" Windows Media Connect-->"C:\WINDOWS\$NtUninstallWMCSetup$\spuninst\spuninst.exe" Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe" Windows Media Format SDK Hotfix - KB891122-->"C:\WINDOWS\$NtUninstallKB891122$\spuninst\spuninst.exe" Windows Media Player 10-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall Windows XP-Hotfix - KB885835-->C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe Windows XP-Hotfix - KB885836-->C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe Windows XP-Hotfix - KB885884-->C:\WINDOWS\$NtUninstallKB885884$\spuninst\spuninst.exe Windows XP-Hotfix - KB886185-->C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe Windows XP-Hotfix - KB887472-->C:\WINDOWS\$NtUninstallKB887472$\spuninst\spuninst.exe Windows XP-Hotfix - KB887742-->C:\WINDOWS\$NtUninstallKB887742$\spuninst\spuninst.exe Windows XP-Hotfix - KB887797-->C:\WINDOWS\$NtUninstallKB887797$\spuninst\spuninst.exe Windows XP-Hotfix - KB888113-->C:\WINDOWS\$NtUninstallKB888113$\spuninst\spuninst.exe Windows XP-Hotfix - KB888302-->C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe Windows XP-Hotfix - KB890859-->"C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe" Windows XP-Hotfix - KB891781-->C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe Windows XP-Hotfix - KB893086-->"C:\WINDOWS\$NtUninstallKB893086$\spuninst\spuninst.exe" Windows-Sicherungsprogramm-->MsiExec.exe /I{76EFFC7C-17A6-479D-9E47-8E658C1695AE} Windows-Treiberpaket - Nokia Modem (06/01/2009 4.1)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\nokia_blue_C08496D7A0050438DFE13C55799AE2D4157A8E7A\nokia_bluetooth.inf Windows-Treiberpaket - Nokia Modem (06/01/2009 7.01.0.3)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\nokbtmdm_9C48E34C57B7D4AAE5FFF5FB9B476B538394FD30\nokbtmdm.inf Windows-Treiberpaket - Nokia pccsmcfd (08/22/2008 7.0.0.0)-->C:\PROGRA~1\DIFX\B4723E9A0713E5B1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\pccsmcfd_A3B3916E5D8138F59EE218321B27B044D3B18294\pccsmcfd.inf WinFuture xp-Iso-Builder 3.0.3-->"C:\Programme\xp-Iso-Builder\unins000.exe" WinRAR-->C:\Programme\WinRAR\uninstall.exe X10 Hardware(TM)-->C:\WINDOWS\UNWISE.EXE C:\PROGRA~1\X10HAR~1\Install.log ZoneAlarm-->C:\Programme\Zone Labs\ZoneAlarm\zauninst.exe ======Security center information====== AV: Avira AntiVir PersonalEdition (outdated) FW: ZoneAlarm Firewall ======System event log====== Computer Name: FREDTEE1 Event Code: 7036 Message: Dienst "IMAPI-CD-Brenn-COM-Dienste" befindet sich jetzt im Status "Ausgeführt". Record Number: 16816 Source Name: Service Control Manager Time Written: 20100223140538.000000+060 Event Type: Informationen User: Computer Name: FREDTEE1 Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "IMAPI-CD-Brenn-COM-Dienste" gesendet. Record Number: 16815 Source Name: Service Control Manager Time Written: 20100223140538.000000+060 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: FREDTEE1 Event Code: 7036 Message: Dienst "Kompatibilität für schnelle Benutzerumschaltung" befindet sich jetzt im Status "Ausgeführt". Record Number: 16814 Source Name: Service Control Manager Time Written: 20100223140534.000000+060 Event Type: Informationen User: Computer Name: FREDTEE1 Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Kompatibilität für schnelle Benutzerumschaltung" gesendet. Record Number: 16813 Source Name: Service Control Manager Time Written: 20100223140534.000000+060 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: FREDTEE1 Event Code: 7036 Message: Dienst "Terminaldienste" befindet sich jetzt im Status "Ausgeführt". Record Number: 16812 Source Name: Service Control Manager Time Written: 20100223140534.000000+060 Event Type: Informationen User: =====Application event log===== Computer Name: FREDTEE1 Event Code: 4 Message: The LightScribe Service started successfully. Record Number: 58 Source Name: LightScribeService Time Written: 20090602140908.000000+120 Event Type: Informationen User: Computer Name: FREDTEE1 Event Code: 0 Message: Record Number: 57 Source Name: xControlCOM Time Written: 20090602140615.000000+120 Event Type: Informationen User: Computer Name: FREDTEE1 Event Code: 0 Message: Record Number: 56 Source Name: ServiceLayer Time Written: 20090602140614.000000+120 Event Type: Informationen User: Computer Name: FREDTEE1 Event Code: 1800 Message: Der Windows-Sicherheitscenterdienst wurde gestartet. Record Number: 55 Source Name: SecurityCenter Time Written: 20090602140557.000000+120 Event Type: Informationen User: Computer Name: FREDTEE1 Event Code: 0 Message: Record Number: 54 Source Name: gupdate1c986f4f2e30038 Time Written: 20090602140545.000000+120 Event Type: Informationen User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=C:\Programme\PC Connectivity Solution\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\QuickTime\QTSystem\ "windir"=%SystemRoot% "FP_NO_HOST_CHECK"=NO "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=15 "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 4 Stepping 7, GenuineIntel "PROCESSOR_REVISION"=0407 "NUMBER_OF_PROCESSORS"=2 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "CLASSPATH"=.;C:\Programme\Java\jre1.5.0_06\lib\ext\QTJava.zip "QTJAVA"=C:\Programme\Java\jre1.5.0_06\lib\ext\QTJava.zip "tvdumpflags"=8 -----------------EOF----------------- |
Zitat:
|
Zitat:
|
Malwarebytes starten und im Reiter Update "Suche nach Aktualisierungen" anklicken. Du musst nach der Installation übrigens den Haken selbst rausgenommen haben, dass nach Updates gesucht werden soll! Hättest Du vermeiden können, weil der nun erneut fällige Vollscan wieder 2 Std. bei Dir verbrät. |
Update erledigt, scan läuft, ich melde mich wieder. Danke erst mal. |
Zitat:
Datenbank Version: 3899 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 22.03.2010 18:20:33 mbam-log-2010-03-22 (18-20-33).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|L:\|) Durchsuchte Objekte: 438063 Laufzeit: 1 hour(s), 47 minute(s), 9 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 9 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{a3ba40a2-74f0-42bd-f434-00b15a2c8953} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a3ba40a2-74f0-42bd-f434-00b15a2c8953} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a3ba40a2-74f0-42bd-f434-00b15a2c8953} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\4dw4r3 (Rootkit.TDSS) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{a3ba40a2-74f0-42bd-f434-00b15a2c8953} (Trojan.BHO) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Friedi\Startmenü\Programme\Autostart\msconfig32.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\drivers\xname.sys (Rootkit.Agent) -> Delete on reboot. |
Rechner bitte neustarten (falls noch nicht gemacht) und ein Log mit CF machen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hallo Cosinus, ich habe die Schritte in der Reihenfolge abgearbeitet. Hier das Protokoll: ComboFix 10-03-22.02 - Friedi 23.03.2010 8:56.2.2 - x86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.1022.682 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Friedi\Desktop\CoFix.exe FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat c:\dokumente und einstellungen\Friedi\Anwendungsdaten\oaozf.exe c:\windows\system32\Temp c:\windows\system32\Temp\KSKD87SFDS ----- BITS: Eventuell infizierte Webseiten ----- hxxp://bazarvokzalsz.com -- Vorheriger Suchlauf -- Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert Kopie von - Kitty ate it :p wurde wiederhergestellt c:\windows\system32\drivers\aec.sys . . . ist infiziert!! Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert Kopie von - Kitty ate it :p wurde wiederhergestellt c:\windows\system32\drivers\aec.sys . . . ist infiziert!! c:\windows\system32\hid.dll . . . ist infiziert!! Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert Kopie von - Kitty ate it :p wurde wiederhergestellt c:\windows\system32\drivers\aec.sys . . . ist infiziert!! c:\windows\system32\hid.dll . . . ist infiziert!! c:\windows\system32\midimap.dll . . . ist infiziert!! Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert Kopie von - Kitty ate it :p wurde wiederhergestellt c:\windows\system32\drivers\aec.sys . . . ist infiziert!! c:\windows\system32\hid.dll . . . ist infiziert!! c:\windows\system32\midimap.dll . . . ist infiziert!! c:\windows\system32\rasauto.dll . . . ist infiziert!! Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert Kopie von - Kitty ate it :p wurde wiederhergestellt c:\windows\system32\drivers\aec.sys . . . ist infiziert!! c:\windows\system32\hid.dll . . . ist infiziert!! c:\windows\system32\midimap.dll . . . ist infiziert!! c:\windows\system32\rasauto.dll . . . ist infiziert!! c:\windows\system32\qmgr.dll . . . ist infiziert!! Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert Kopie von - Kitty ate it :p wurde wiederhergestellt c:\windows\system32\drivers\aec.sys . . . ist infiziert!! c:\windows\system32\hid.dll . . . ist infiziert!! c:\windows\system32\midimap.dll . . . ist infiziert!! c:\windows\system32\rasauto.dll . . . ist infiziert!! c:\windows\system32\qmgr.dll . . . ist infiziert!! c:\windows\system32\netlogon.dll . . . ist infiziert!! Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert Kopie von - Kitty ate it :p wurde wiederhergestellt c:\windows\system32\drivers\aec.sys . . . ist infiziert!! c:\windows\system32\hid.dll . . . ist infiziert!! c:\windows\system32\midimap.dll . . . ist infiziert!! c:\windows\system32\rasauto.dll . . . ist infiziert!! c:\windows\system32\qmgr.dll . . . ist infiziert!! c:\windows\system32\netlogon.dll . . . ist infiziert!! c:\windows\system32\scecli.dll . . . ist infiziert!! -------- Infizierte Kopie von c:\windows\system32\userinit.exe wurde gefunden und desinfiziert Kopie von - c:\windows\system32\dllcache\userinit.exe wurde wiederhergestellt . ((((((((((((((((((((((( Dateien erstellt von 2010-02-23 bis 2010-03-23 )))))))))))))))))))))))))))))) . 2010-03-22 10:08 . 2010-03-22 10:08 -------- d-----w- c:\programme\trend micro 2010-03-22 10:08 . 2010-03-22 10:08 -------- d-----w- C:\rsit 2010-03-22 07:42 . 2010-03-22 07:42 -------- d-----w- c:\dokumente und einstellungen\Friedi\Anwendungsdaten\Malwarebytes 2010-03-22 07:42 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-03-22 07:42 . 2010-03-22 07:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-03-22 07:42 . 2010-03-22 12:16 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-03-22 07:42 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-03-16 06:43 . 2004-08-04 12:00 25088 ----a-w- c:\windows\system32\stu2.exe 2010-03-15 16:26 . 2010-03-15 16:27 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten 2010-03-13 14:01 . 2009-03-09 14:27 4178264 ----a-w- c:\windows\system32\D3DX9_41.dll 2010-03-13 14:01 . 2010-03-13 14:01 -------- d-----w- c:\windows\Logs 2010-03-13 14:01 . 2010-03-13 14:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PassMark 2010-03-08 10:16 . 2010-03-08 10:16 -------- d-----w- c:\dokumente und einstellungen\Administrator.FREDTEE1\Anwendungsdaten\AdobeUM 2010-03-03 11:06 . 2010-03-03 11:06 -------- d-s---w- c:\dokumente und einstellungen\LocalService\UserData 2010-03-02 07:39 . 2010-03-02 07:39 -------- d-s---w- c:\dokumente und einstellungen\NetworkService\UserData 2010-02-27 11:47 . 2010-03-13 13:54 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2010-02-27 11:47 . 2006-09-28 15:05 2414360 ----a-w- c:\windows\system32\d3dx9_31.dll 2010-02-27 11:47 . 2010-03-13 14:01 -------- d-----w- c:\programme\BurnInTest 2010-02-26 10:35 . 2010-02-26 10:35 -------- d-----w- c:\programme\Free WMA to MP3 Converter 2010-02-23 18:08 . 2010-03-22 07:36 -------- d-----w- c:\programme\CCleaner 2010-02-23 13:38 . 2010-03-23 08:05 860672 ----a-w- c:\windows\system32\drivers\xname.sys 2010-02-23 11:14 . 2010-02-23 11:14 -------- d-----w- c:\programme\mp3DirectCut . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-03-23 08:04 . 2008-07-28 08:35 21872672 --sha-w- c:\windows\system32\drivers\fidbox.dat 2010-03-23 08:02 . 2008-07-28 08:35 261476 --sha-w- c:\windows\system32\drivers\fidbox.idx 2010-03-22 12:14 . 2005-10-09 05:46 80618 ----a-w- c:\windows\system32\perfc007.dat 2010-03-22 12:14 . 2005-10-09 05:46 429854 ----a-w- c:\windows\system32\perfh007.dat 2010-03-16 06:59 . 2008-07-13 16:05 -------- d-----w- c:\dokumente und einstellungen\Friedi\Anwendungsdaten\uTorrent 2010-02-26 15:34 . 2010-02-26 15:38 3213824 ----a-w- c:\windows\Internet Logs\xDB17.tmp 2010-02-26 09:45 . 2006-07-06 21:03 -------- d-----w- c:\dokumente und einstellungen\Friedi\Anwendungsdaten\AdobeUM 2010-02-23 15:11 . 2007-02-09 08:42 -------- d-----w- c:\programme\Winamp 2010-02-23 15:10 . 2005-10-09 09:27 -------- d--h--w- c:\programme\InstallShield Installation Information 2010-02-23 15:10 . 2006-10-20 07:34 -------- d-----w- c:\programme\ElsterFormular2005 2010-02-23 14:45 . 2010-02-23 14:51 3188224 ----a-w- c:\windows\Internet Logs\xDB16.tmp 2010-02-23 14:45 . 2010-02-23 14:50 494080 ----a-w- c:\windows\Internet Logs\xDB15.tmp 2010-02-23 14:41 . 2009-09-12 18:09 -------- d-----w- c:\programme\AVS4YOU 2010-02-23 13:51 . 2010-02-23 13:56 2621440 ----a-w- c:\windows\Internet Logs\xDB14.tmp 2010-02-23 11:08 . 2009-06-06 15:40 -------- d-----w- c:\dokumente und einstellungen\Friedi\Anwendungsdaten\foobar2000 2010-02-19 17:01 . 2009-02-25 16:15 53248 ----a-w- c:\windows\W_ZIPPER.EXE 2010-02-10 07:50 . 2009-09-13 08:48 -------- d-----w- c:\programme\uTorrent 2010-02-09 13:38 . 2006-02-28 14:02 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ahead 2007-08-12 17:06 . 2007-08-12 17:06 8192 --sha-w- c:\windows\o2cLicStore.bin 2008-12-28 11:33 . 2008-12-28 11:33 0 --sha-w- c:\windows\S72B4CEC2.tmp 2005-10-09 10:25 . 2005-10-09 10:25 8 -csh--r- c:\windows\system32\A3DA537E26.sys 2005-10-09 10:25 . 2005-10-09 10:25 4704 -csha-w- c:\windows\system32\KGyGaAvL.sys . ------- Sigcheck ------- [-] 2005-05-25 . 88763A98A4C26C409741B4AA162720C9 . 359808 . . [5.1.2600.2685] . . c:\windows\system32\dllcache\tcpip.sys [-] 2005-05-25 . 88763A98A4C26C409741B4AA162720C9 . 359808 . . [5.1.2600.2685] . . c:\windows\system32\drivers\tcpip.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PC Suite Tray"="c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2009-06-25 1414144] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-11-10 417792] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-11-12 141600] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-10-10 7286784] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Acrobat Assistant.lnk - c:\programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-5-15 217193] Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-7-21 113664] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=c:\windows\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] 2005-10-10 19:49 7286784 ----a-w- c:\windows\system32\nvcpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2009-11-10 22:08 417792 ----a-w- c:\programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%ProgramFiles%\\Messenger\\msmsgs.exe"= "%WinDir%\\system32\\fxsclnt.exe"= "c:\\Programme\\MSN Messenger\\msnmsgr.exe"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "c:\\Programme\\uTorrent\\uTorrent.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= R2 CAPI;CAPI 2.0 Service;c:\windows\system32\drivers\capi.sys [02.12.2008 21:31 28740] R2 NDISCAPI;NDIS CAPI Service;c:\windows\system32\drivers\ndiscapi.sys [02.12.2008 21:31 41037] R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [18.10.2005 14:01 826752] R3 CMISTOR;CMIUCR.SYS CM220 Card Reader Driver;c:\windows\system32\drivers\cmiucr.SYS [28.02.2006 14:51 72320] R3 DectEnum;DectEnum;c:\windows\system32\drivers\DectEnum.sys [01.03.2005 10:36 8448] R3 Gigusb;Dect USB Driver;c:\windows\system32\drivers\Gigusb.sys [02.12.2008 21:21 53632] R3 HRCMPA;ISDN Wan driver (Ver. 1.20.0032);c:\windows\system32\drivers\hrcmpa.sys [02.12.2008 21:22 263751] R3 IUAPIWDM;ISDN USB Interface (Ver. 1.20.0032);c:\windows\system32\drivers\IUAPIWDM.sys [02.12.2008 21:21 50759] R3 siellif;siellif;c:\windows\system32\drivers\siellif.sys [02.12.2008 21:21 113408] R3 vmdmd;Softmodem/Fax Port Driver;c:\windows\system32\drivers\vmdmd.sys [17.06.2003 09:04 185696] S0 rseb;rseb; [x] S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [04.02.2009 19:12 133104] S2 gupdate1c986f4f2e30038;Google Update Service (gupdate1c986f4f2e30038);c:\programme\Google\Update\GoogleUpdate.exe [04.02.2009 19:12 133104] S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [07.08.2009 12:16 136704] S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [07.08.2009 12:16 8320] S3 xControlCOM;xControlCOM;c:\programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe [01.03.2005 10:45 327680] --- Andere Dienste/Treiber im Speicher --- *Deregistered* - xname [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] getPlusHelper REG_MULTI_SZ getPlusHelper . Inhalt des "geplante Tasks" Ordners 2010-03-17 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34] 2010-03-22 c:\windows\Tasks\Google Software Updater.job - c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-02-14 15:56] 2010-03-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-02-04 18:11] 2010-03-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-02-04 18:11] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.aldi-essen.de/ uInternet Settings,ProxyOverride = *.local uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=%s IE: Nach Microsoft &Excel exportieren IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\Friedi\Anwendungsdaten\Mozilla\Firefox\Profiles\8o7hi5lz.default\ FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - hxxp://www.aldi-essen.de/ FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q= FF - plugin: c:\dokumente und einstellungen\Friedi\Anwendungsdaten\Mozilla\Firefox\Profiles\8o7hi5lz.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava11.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava12.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava13.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava14.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava32.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPOJI610.dll FF - plugin: c:\programme\Virtual Earth 3D\npVE3D.dll . - - - - Entfernte verwaiste Registrierungseinträge - - - - MSConfigStartUp-PCMService - c:\programme\Home Cinema\PowerCinema\PCMService.exe AddRemove-{FAF88B432344413595BB2DED98385684} - c:\programme\DivX\DivXUserGuideUninstall ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2010-03-23 09:04 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xname] . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-4288555866-2816581167-2556335597-1008\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F10B1C42-2918-D78A-ADF8-D875F2600307}*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) "iaebafnpajfdaickpf"=hex:6b,61,68,63,66,6d,6d,66,6e,6c,6a,68,65,66,69,62,6e,70, 64,64,6b,62,00,00 "haobeonojgdbidnf"=hex:6b,61,68,63,6d,6e,64,6a,68,6d,6a,64,64,6a,66,67,62,6b, 6c,69,63,65,00,00 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(3544) c:\progra~1\WINDOW~2\wmpband.dll c:\progra~1\MICROS~4\Office12\OLKFSTUB.DLL c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\ftpshext.dll c:\programme\Nokia\Nokia PC Suite 7\PhoneBrowser.dll c:\programme\Nokia\Nokia PC Suite 7\NGSCM.DLL c:\programme\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_ger.nlr c:\programme\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\agrsmsvc.exe c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\programme\Bonjour\mDNSResponder.exe c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe c:\windows\system32\nvsvc32.exe c:\programme\CyberLink\Shared Files\RichVideo.exe c:\progra~1\COMMON~1\X10\Common\x10nets.exe c:\windows\system32\fxssvc.exe c:\windows\system32\wscntfy.exe c:\programme\iPod\bin\iPodService.exe c:\programme\PC Connectivity Solution\ServiceLayer.exe c:\programme\PC Connectivity Solution\Transports\NclUSBSrv.exe c:\programme\PC Connectivity Solution\Transports\NclRSSrv.exe . ************************************************************************** . Zeit der Fertigstellung: 2010-03-23 09:15:06 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-03-23 08:15 Vor Suchlauf: 17 Verzeichnis(se), 17.864.941.568 Bytes frei Nach Suchlauf: 20 Verzeichnis(se), 17.824.772.096 Bytes frei - - End Of File - - 79257B6C562498A0085AC19296401F3A |
Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: RegNull::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
und weiter im Text: ComboFix 10-03-22.03 - Friedi 23.03.2010 11:45:43.4.2 - x86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.1022.651 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Friedi\Desktop\CoFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Friedi\Desktop\CFScript.txt FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B} FILE :: "c:\windows\S72B4CEC2.tmp" . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\S72B4CEC2.tmp . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_rseb ((((((((((((((((((((((( Dateien erstellt von 2010-02-23 bis 2010-03-23 )))))))))))))))))))))))))))))) . 2010-03-22 10:08 . 2010-03-22 10:08 -------- d-----w- c:\programme\trend micro 2010-03-22 10:08 . 2010-03-22 10:08 -------- d-----w- C:\rsit 2010-03-22 07:42 . 2010-03-22 07:42 -------- d-----w- c:\dokumente und einstellungen\Friedi\Anwendungsdaten\Malwarebytes 2010-03-22 07:42 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-03-22 07:42 . 2010-03-22 07:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-03-22 07:42 . 2010-03-22 12:16 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-03-22 07:42 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-03-16 06:43 . 2004-08-04 12:00 25088 ----a-w- c:\windows\system32\stu2.exe 2010-03-15 16:26 . 2010-03-15 16:27 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten 2010-03-13 14:01 . 2009-03-09 14:27 4178264 ----a-w- c:\windows\system32\D3DX9_41.dll 2010-03-13 14:01 . 2010-03-13 14:01 -------- d-----w- c:\windows\Logs 2010-03-13 14:01 . 2010-03-13 14:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PassMark 2010-03-08 10:16 . 2010-03-08 10:16 -------- d-----w- c:\dokumente und einstellungen\Administrator.FREDTEE1\Anwendungsdaten\AdobeUM 2010-03-03 11:06 . 2010-03-03 11:06 -------- d-s---w- c:\dokumente und einstellungen\LocalService\UserData 2010-03-02 07:39 . 2010-03-02 07:39 -------- d-s---w- c:\dokumente und einstellungen\NetworkService\UserData 2010-02-27 11:47 . 2010-03-13 13:54 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2010-02-27 11:47 . 2006-09-28 15:05 2414360 ----a-w- c:\windows\system32\d3dx9_31.dll 2010-02-27 11:47 . 2010-03-13 14:01 -------- d-----w- c:\programme\BurnInTest 2010-02-26 10:35 . 2010-02-26 10:35 -------- d-----w- c:\programme\Free WMA to MP3 Converter 2010-02-23 18:08 . 2010-03-22 07:36 -------- d-----w- c:\programme\CCleaner 2010-02-23 13:38 . 2010-03-23 10:54 860672 ----a-w- c:\windows\system32\drivers\xname.sys 2010-02-23 11:14 . 2010-02-23 11:14 -------- d-----w- c:\programme\mp3DirectCut . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-03-23 10:56 . 2008-07-28 08:35 22022176 --sha-w- c:\windows\system32\drivers\fidbox.dat 2010-03-23 10:51 . 2008-07-28 08:35 263204 --sha-w- c:\windows\system32\drivers\fidbox.idx 2010-03-22 12:14 . 2005-10-09 05:46 80618 ----a-w- c:\windows\system32\perfc007.dat 2010-03-22 12:14 . 2005-10-09 05:46 429854 ----a-w- c:\windows\system32\perfh007.dat 2010-03-16 06:59 . 2008-07-13 16:05 -------- d-----w- c:\dokumente und einstellungen\Friedi\Anwendungsdaten\uTorrent 2010-02-26 15:34 . 2010-02-26 15:38 3213824 ----a-w- c:\windows\Internet Logs\xDB17.tmp 2010-02-26 09:45 . 2006-07-06 21:03 -------- d-----w- c:\dokumente und einstellungen\Friedi\Anwendungsdaten\AdobeUM 2010-02-23 15:11 . 2007-02-09 08:42 -------- d-----w- c:\programme\Winamp 2010-02-23 15:10 . 2005-10-09 09:27 -------- d--h--w- c:\programme\InstallShield Installation Information 2010-02-23 15:10 . 2006-10-20 07:34 -------- d-----w- c:\programme\ElsterFormular2005 2010-02-23 14:45 . 2010-02-23 14:51 3188224 ----a-w- c:\windows\Internet Logs\xDB16.tmp 2010-02-23 14:45 . 2010-02-23 14:50 494080 ----a-w- c:\windows\Internet Logs\xDB15.tmp 2010-02-23 14:41 . 2009-09-12 18:09 -------- d-----w- c:\programme\AVS4YOU 2010-02-23 13:51 . 2010-02-23 13:56 2621440 ----a-w- c:\windows\Internet Logs\xDB14.tmp 2010-02-23 11:08 . 2009-06-06 15:40 -------- d-----w- c:\dokumente und einstellungen\Friedi\Anwendungsdaten\foobar2000 2010-02-19 17:01 . 2009-02-25 16:15 53248 ----a-w- c:\windows\W_ZIPPER.EXE 2010-02-10 07:50 . 2009-09-13 08:48 -------- d-----w- c:\programme\uTorrent 2010-02-09 13:38 . 2006-02-28 14:02 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ahead 2007-08-12 17:06 . 2007-08-12 17:06 8192 --sha-w- c:\windows\o2cLicStore.bin 2005-10-09 10:25 . 2005-10-09 10:25 8 -csh--r- c:\windows\system32\A3DA537E26.sys 2005-10-09 10:25 . 2005-10-09 10:25 4704 -csha-w- c:\windows\system32\KGyGaAvL.sys . ------- Sigcheck ------- [-] 2005-05-25 . 88763A98A4C26C409741B4AA162720C9 . 359808 . . [5.1.2600.2685] . . c:\windows\system32\dllcache\tcpip.sys [-] 2005-05-25 . 88763A98A4C26C409741B4AA162720C9 . 359808 . . [5.1.2600.2685] . . c:\windows\system32\drivers\tcpip.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PC Suite Tray"="c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2009-06-25 1414144] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-11-10 417792] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-11-12 141600] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-10-10 7286784] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Acrobat Assistant.lnk - c:\programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-5-15 217193] Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-7-21 113664] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=c:\windows\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] 2005-10-10 19:49 7286784 ----a-w- c:\windows\system32\nvcpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2009-11-10 22:08 417792 ----a-w- c:\programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%ProgramFiles%\\Messenger\\msmsgs.exe"= "%WinDir%\\system32\\fxsclnt.exe"= "c:\\Programme\\MSN Messenger\\msnmsgr.exe"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "c:\\Programme\\uTorrent\\uTorrent.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= R2 CAPI;CAPI 2.0 Service;c:\windows\system32\drivers\capi.sys [02.12.2008 21:31 28740] R2 NDISCAPI;NDIS CAPI Service;c:\windows\system32\drivers\ndiscapi.sys [02.12.2008 21:31 41037] R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [18.10.2005 14:01 826752] R3 CMISTOR;CMIUCR.SYS CM220 Card Reader Driver;c:\windows\system32\drivers\cmiucr.SYS [28.02.2006 14:51 72320] R3 DectEnum;DectEnum;c:\windows\system32\drivers\DectEnum.sys [01.03.2005 10:36 8448] R3 Gigusb;Dect USB Driver;c:\windows\system32\drivers\Gigusb.sys [02.12.2008 21:21 53632] R3 HRCMPA;ISDN Wan driver (Ver. 1.20.0032);c:\windows\system32\drivers\hrcmpa.sys [02.12.2008 21:22 263751] R3 IUAPIWDM;ISDN USB Interface (Ver. 1.20.0032);c:\windows\system32\drivers\IUAPIWDM.sys [02.12.2008 21:21 50759] R3 siellif;siellif;c:\windows\system32\drivers\siellif.sys [02.12.2008 21:21 113408] R3 vmdmd;Softmodem/Fax Port Driver;c:\windows\system32\drivers\vmdmd.sys [17.06.2003 09:04 185696] S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [04.02.2009 19:12 133104] S2 gupdate1c986f4f2e30038;Google Update Service (gupdate1c986f4f2e30038);c:\programme\Google\Update\GoogleUpdate.exe [04.02.2009 19:12 133104] S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [07.08.2009 12:16 136704] S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [07.08.2009 12:16 8320] S3 xControlCOM;xControlCOM;c:\programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe [01.03.2005 10:45 327680] --- Andere Dienste/Treiber im Speicher --- *Deregistered* - xname [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] getPlusHelper REG_MULTI_SZ getPlusHelper . Inhalt des "geplante Tasks" Ordners 2010-03-17 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34] 2010-03-22 c:\windows\Tasks\Google Software Updater.job - c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-02-14 15:56] 2010-03-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-02-04 18:11] 2010-03-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-02-04 18:11] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.aldi-essen.de/ uInternet Settings,ProxyOverride = *.local uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=%s IE: Nach Microsoft &Excel exportieren IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\Friedi\Anwendungsdaten\Mozilla\Firefox\Profiles\8o7hi5lz.default\ FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - hxxp://www.aldi-essen.de/ FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q= FF - plugin: c:\dokumente und einstellungen\Friedi\Anwendungsdaten\Mozilla\Firefox\Profiles\8o7hi5lz.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava11.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava12.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava13.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava14.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava32.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPOJI610.dll FF - plugin: c:\programme\Virtual Earth 3D\npVE3D.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2010-03-23 11:53 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xname] . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(440) c:\progra~1\WINDOW~2\wmpband.dll c:\progra~1\MICROS~4\Office12\OLKFSTUB.DLL c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\ftpshext.dll c:\programme\Nokia\Nokia PC Suite 7\PhoneBrowser.dll c:\programme\Nokia\Nokia PC Suite 7\NGSCM.DLL c:\programme\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_ger.nlr c:\programme\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\agrsmsvc.exe c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\programme\Bonjour\mDNSResponder.exe c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe c:\windows\system32\nvsvc32.exe c:\programme\CyberLink\Shared Files\RichVideo.exe c:\progra~1\COMMON~1\X10\Common\x10nets.exe c:\windows\system32\fxssvc.exe c:\windows\system32\wscntfy.exe c:\programme\iPod\bin\iPodService.exe c:\programme\PC Connectivity Solution\ServiceLayer.exe c:\programme\PC Connectivity Solution\Transports\NclUSBSrv.exe c:\programme\PC Connectivity Solution\Transports\NclRSSrv.exe . ************************************************************************** . Zeit der Fertigstellung: 2010-03-23 11:58:51 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-03-23 10:58 ComboFix2.txt 2010-03-23 08:32 ComboFix3.txt 2010-03-23 08:15 Vor Suchlauf: 19 Verzeichnis(se), 17.817.374.720 Bytes frei Nach Suchlauf: 20 Verzeichnis(se), 17.777.524.736 Bytes frei - - End Of File - - 3208F2530838187B8C098606220B0DD0 |
Ok - Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten. |
Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3902 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 23.03.2010 16:09:02 mbam-log-2010-03-23 (16-09-02).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|L:\|) Durchsuchte Objekte: 439794 Laufzeit: 1 hour(s), 23 minute(s), 32 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\drivers\xname.sys (Rootkit.Agent) -> Delete on reboot. |
Der taucht immer wieder auf. Bitte ein Log mit GMER machen und posten! |
Zitat:
der Rechner schmiert mir mitten im Scan ab. Habe schon 3 Versuche gemacht und immer wieder das Gleiche. |
Bitte mal den Avenger anwenden: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: Files to delete:5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken |
Hallo Arne, alles abgearbeitet: hier der Inhalt aus dem Logfile: Logfile of The Avenger Version 2.0, (c) by Swandog46 Swandog46's Public Anti-Malware Tools Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\WINDOWS\system32\drivers\xname.sys" deleted successfully. Driver "xname" deleted successfully. Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\xname.sys" not found! Deletion of driver "xname.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. und hier der link zu backup.zip: hxxp://www.file-upload.net/download-2374661/backup.zip.html |
Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten. Probier auch GMER nochmal. Der Link ist nicht klickbar zu der backup.zip. |
so nun aber... Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3902 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 24.03.2010 17:18:52 mbam-log-2010-03-24 (17-18-52).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|L:\|) Durchsuchte Objekte: 439854 Laufzeit: 1 hour(s), 13 minute(s), 39 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP1\A0002479.sys (Rootkit.Agent) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP1\A0002489.sys (Rootkit.Agent) -> Quarantined and deleted successfully. bei GMER schmiert der Rechner noch immer ab, kann aber auch daran liegen, dass ich am Anfang yes und nicht no gerdückt habe.:Boogie: brauchst Du den Link unbedingt klickbar? Wenn Du ausschneidest im Browser einfügst und die Sternchen im http: ersetzt funzt das fein chic |
Zitat:
Den Link brauch ich nicht klickbar, ist nice2have aber etwas copy&paste bekomm sogar ich noch hin :D |
hallo Arne, hier das Ergebnis meines letzten Scanns, hatte vorher aktualisiert: Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3909 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 24.03.2010 20:20:42 mbam-log-2010-03-24 (20-20-42).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|L:\|) Durchsuchte Objekte: 440190 Laufzeit: 1 hour(s), 8 minute(s), 40 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Ok. Schade, dass GMER nicht läuft, aber das Rootkit (xname.sys) haben wir erwischt. Probier sonst mal RootRepeal:
Zitat:
|
und hier ist er: ROOTREPEAL (c) AD, 2007-2009 ================================================== Scan Start Time: 2010/03/25 06:58 Program Version: Version 1.3.5.0 Windows Version: Windows XP SP2 ================================================== Drivers ------------------- Name: dump_atapi.sys Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys Address: 0xF380B000 Size: 98304 File Visible: No Signed: - Status: - Name: dump_WMILIB.SYS Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS Address: 0xF7B38000 Size: 8192 File Visible: No Signed: - Status: - Name: rootrepeal.sys Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys Address: 0xB9442000 Size: 49152 File Visible: No Signed: - Status: - Name: srescan.sys Image Path: srescan.sys Address: 0xF736F000 Size: 81920 File Visible: No Signed: - Status: - Hidden/Locked Files ------------------- Path: C:\hiberfil.sys Status: Locked to the Windows API! SSDT ------------------- #: 031 Function Name: NtConnectPort Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf398a040 #: 037 Function Name: NtCreateFile Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf3986930 #: 041 Function Name: NtCreateKey Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf3991a80 #: 046 Function Name: NtCreatePort Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf398a510 #: 047 Function Name: NtCreateProcess Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf3990870 #: 048 Function Name: NtCreateProcessEx Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf3990aa0 #: 050 Function Name: NtCreateSection Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf3993fd0 #: 056 Function Name: NtCreateWaitablePort Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf398a600 #: 062 Function Name: NtDeleteFile Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf3986f20 #: 063 Function Name: NtDeleteKey Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf39926e0 #: 065 Function Name: NtDeleteValueKey Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf3992440 #: 068 Function Name: NtDuplicateObject Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf3990580 #: 098 Function Name: NtLoadKey Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf39928b0 #: 116 Function Name: NtOpenFile Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf3986d70 #: 122 Function Name: NtOpenProcess Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf3990350 #: 128 Function Name: NtOpenThread Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf3990150 #: 192 Function Name: NtRenameKey Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf3993250 #: 193 Function Name: NtReplaceKey Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf3992cb0 #: 200 Function Name: NtRequestWaitReplyPort Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf3989c00 #: 204 Function Name: NtRestoreKey Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf3993080 #: 210 Function Name: NtSecureConnectPort Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf398a220 #: 224 Function Name: NtSetInformationFile Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf3987120 #: 247 Function Name: NtSetValueKey Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf3992140 #: 257 Function Name: NtTerminateProcess Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf3990cd0 Shadow SSDT ------------------- #: 460 Function Name: NtUserMessageCall Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf3988250 #: 475 Function Name: NtUserPostMessage Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf39882e0 #: 476 Function Name: NtUserPostThreadMessage Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf3988360 #: 502 Function Name: NtUserSendInput Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf3988520 ==EOF== |
Sieht ok aus. Ich würde Dir noch empfehlen, statt ZoneAlarm lieber die Windows-Firewall zu verwenden. Grund ist, dass Personal Firewalls sich in den TCP-IP-Stack von Windows einklinken und den netzwerkrelevanten Code erheblich vergrößern. Das erhöht die Komplexität und Angriffsfläche des Systems. Bei der Windows-Firewall ist das anders; sie basiert auf IPSec, ist fest im TCP-IP-Stack von Windows drin, selbst wenn Du sie deaktivierst würde sich nur unwesentlich etwas ändern. Wenn jetzt wieder alles okay ist bitte die Updates prüfen: Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Hallo Arne, ich werde auf jeden Fall Deine Ratschläge umsetzen. Vielen Dank für Deine geduldige und kompetente Hilfe. Danke noch einmal und Grüsse |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:42 Uhr. |
Copyright ©2000-2025, Trojaner-Board