Trojaner-Board
Seite 1 von 7 1 23 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Rootkit.Gen und TR/Crypt.ZPACK.Gen (https://www.trojaner-board.de/87140-tr-rootkit-gen-tr-crypt-zpack-gen.html)

matthias2619 14.06.2010 14:26
TR/Rootkit.Gen und TR/Crypt.ZPACK.Gen
 
Hallo,
ich habe gestern von AntiVir mehrere Funde gemeldet bekommen!

Code:
c:\Dokumente und Einstellungen\xxxxxxx\wuaucldt.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6bfc5234.qua' verschoben!
Code:
C:\WINDOWS\system32\drivers\cdrom.sys
    [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
    [HINWEIS]  Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Cdrom\ImagePath> wurde erfolgreich entfernt.
    [HINWEIS]  Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Cdrom\ImagePath> wurde erfolgreich entfernt.
    [HINWEIS]  Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet003\Services\Cdrom\ImagePath> wurde erfolgreich entfernt.
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2e8b7f4d.qua' verschoben!
Code:
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\cbss.dll
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\xxxxxxxx\Lokale Einstellungen\Temp\yqtfdfqzqph.sys
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\Dokumente und Einstellungen\xxxxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8VFTB5I8\irs62[1].exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\e4f32aaa6bdf5384c8c43f807b\tmp15.tmp.exe
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\uqnrofov.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
Code:
Beginne mit der Suche in 'C:\Dokumente und Einstellungen\Matthias\Lokale Einstellungen\Temp\ahmboimikvq.sys'
C:\Dokumente und Einstellungen\xxxxxxxxx\Lokale Einstellungen\Temp\ahmboimikvq.sys
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e544dda.qua' verschoben!
Code:
Beginne mit der Suche in 'C:\System Volume Information\_restore{0885011B-D18C-4883-AD34-80FE29855AB5}\RP28\A0010166.sys'
C:\System Volume Information\_restore{0885011B-D18C-4883-AD34-80FE29855AB5}\RP28\A0010166.sys
    [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e90ae50.qua' verschoben!
Dann hat die heuristik noch Folgendes gefunden:
Code:
Beginne mit der Suche in 'C:'
C:\Dokumente und Einstellungen\xxxxxxxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8VFTB5I8\523d090610[1].exe
    [FUND]      Enthält verdächtigen Code: HEUR/Crypted
C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8VFTB5I8\523d090610[2].exe
    [FUND]      Enthält verdächtigen Code: HEUR/Crypted
C:\Dokumente und Einstellungen\xxxxxxxxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KKK03IM1\523d090610[1].exe
    [FUND]      Enthält verdächtigen Code: HEUR/Crypted
C:\Dokumente und Einstellungen\xxxxxxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KKK03IM1\523d090610[4].exe
    [FUND]      Enthält verdächtigen Code: HEUR/Crypted
C:\Dokumente und Einstellungen\xxxxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UAFWSXOE\523d090610[1].exe
    [FUND]      Enthält verdächtigen Code: HEUR/Crypted
C:\Dokumente und Einstellungen\xxxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UAFWSXOE\523d090610[2].exe
    [FUND]      Enthält verdächtigen Code: HEUR/Crypted
Bitte um Hilfe!
Lg

markusg 14.06.2010 14:30
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "run Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
poste die beiden, eventuell musst du sie aufteilen.

matthias2619 14.06.2010 14:36
Danke für die schnelle Hilfe.
Aber beim Scan von "dtgivmxn.sys" bleibt OTL hängen.
Genauso wie AntiVir.
Der Scan geht nicht weiter.
Lg

markusg 14.06.2010 14:43
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

matthias2619 14.06.2010 15:20
das klappt auch nicht.
bleibt auch hängen.
Lg

markusg 14.06.2010 15:33
Download den avenger:
Avenger
Füge das script ein, wie auf der seite beschrieben:


Drivers to disable:
dtgivmxn
uqnrofov
Drivers to delete:
dtgivmxn
uqnrofov
Files to delete:
C:\windows\system32\drivers\dtgivmxn.sys
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\cbss.dll
C:\WINDOWS\system32\drivers\uqnrofov.sys
Folders to delete:
C:\e4f32aaa6bdf5384c8c43f807b

Führe das script wie auf der seite beschrieben aus, poste das log.

matthias2619 14.06.2010 15:43
Hab alles wie beschrieben gemacht, aber es kommt die Fehlermeldung:
"Error: Could not query installed services.
Aborting execution! (error 0:der Vorgang wurde erfolgreich beendet.)":confused:
Lg

markusg 14.06.2010 15:45
gab es noch ein logfile oder war das alles?
hast du den avenger entpackt und wenn du vista oder windows 7 nutzt, das programm mit rechtsklick als admin ausgeführt?

matthias2619 14.06.2010 15:49
Ja, ich habe ihn entpackt und dann unter XP ausgeführt.
Script reinkopiert, execute gedrückt, "Ja" gedrückt, und dann auch schon die Fehlermeldung.
Aber ein Log gibt es:
Code:
//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:41:29 2010

16:41:29: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:44:22 2010

16:44:22: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:44:27 2010

16:44:27: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:45:35 2010

16:45:35: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:47:48 2010

16:47:48: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:47:59 2010

16:47:59: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////
Lg

markusg 14.06.2010 16:06
starte mal in den abgesicherten modus, meist ist das beim systemstart die f8 taste drücken, ein paar mal. dann versuche den avenger erneut, poste das log.

matthias2619 14.06.2010 16:27
Fertig :o
hat geklappt:)
und hier ist der log:
Code:
//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:41:29 2010

16:41:29: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:44:22 2010

16:44:22: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:44:27 2010

16:44:27: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:45:35 2010

16:45:35: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:47:48 2010

16:47:48: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Jun 14 16:47:59 2010

16:47:59: Error: Could not query installed services.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "dtgivmxn" disabled successfully.

Error:  could not open driver "uqnrofov"
Disablement of driver "uqnrofov" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Driver "dtgivmxn" deleted successfully.

Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\uqnrofov" not found!
Deletion of driver "uqnrofov" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\windows\system32\drivers\dtgivmxn.sys" deleted successfully.
File "C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\cbss.dll" deleted successfully.

Error:  file "C:\WINDOWS\system32\drivers\uqnrofov.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\uqnrofov.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Folder "C:\e4f32aaa6bdf5384c8c43f807b" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
ich weiss nicht ob da auch noch der andere log drin ist...
Lg

markusg 14.06.2010 16:32
ist kein problem. nun versuche noch mal combofix, poste das log.

matthias2619 14.06.2010 16:49
hat geklappt [:
Code:
ComboFix 10-06-13.04 - Matthias 14.06.2010  17:37:16.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.503.252 [GMT 2:00]
ausgeführt von:: c:\downloads\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\common.data
c:\dokumente und einstellungen\All Users\Dokumente\Settings
c:\dokumente und einstellungen\All Users\Dokumente\Settings\cbss.dll
c:\windows\system32\drivers\str.sys
.
---- Vorheriger Suchlauf -------
.
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\cift.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\common.data
c:\dokumente und einstellungen\Matthias\Anwendungsdaten\cift.exe
c:\dokumente und einstellungen\Matthias\oashdihasidhasuidhiasdhiashdiuasdhasd
c:\programme\RelevantKnowledge
c:\programme\RelevantKnowledge\MSVCP71.DLL
c:\programme\RelevantKnowledge\MSVCR71.DLL
c:\programme\RelevantKnowledge\rlservice.exe

-- Vorheriger Suchlauf --

c:\windows\system32\drivers\cdrom.sys fehlte
Kopie von - c:\windows\ServicePackFiles\i386\cdrom.sys wurde wiederhergestellt

--------

.
(((((((((((((((((((((((  Dateien erstellt von 2010-05-14 bis 2010-06-14  ))))))))))))))))))))))))))))))
.

2010-06-14 15:11 . 2010-06-14 15:11        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Eigene Dateien
2010-06-14 15:11 . 2010-06-14 15:11        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-06-14 15:10 . 2010-06-14 15:10        --------        d-sh--w-        c:\dokumente und einstellungen\Administrator\PrivacIE
2010-06-14 14:41 . 2010-06-14 14:41        --------        d-----w-        c:\dokumente und einstellungen\Matthias\Lokale Einstellungen\Anwendungsdaten\Eraser 6
2010-06-14 14:14 . 2008-04-13 22:10        62976        -c--a-w-        c:\windows\system32\dllcache\cdrom.sys
2010-06-14 14:14 . 2008-04-13 22:10        62976        ----a-w-        c:\windows\system32\drivers\cdrom.sys
2010-06-13 15:21 . 2010-06-13 15:21        --------        d-----w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\FastStone
2010-06-13 14:09 . 2010-06-13 14:09        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Eraser 6
2010-06-13 13:48 . 2010-06-13 13:48        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avira
2010-06-13 13:46 . 2010-06-13 13:46        18824        ----a-w-        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-06-13 13:44 . 2010-06-13 13:44        --------        d-----w-        c:\programme\Eraser
2010-06-13 11:44 . 2010-06-13 11:44        --------        d-----w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\Avira
2010-06-13 11:41 . 2010-03-01 08:05        124784        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2010-06-13 11:41 . 2010-02-16 12:24        60936        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2010-06-13 11:41 . 2009-05-11 10:49        22360        ----a-w-        c:\windows\system32\drivers\avgntmgr.sys
2010-06-13 11:41 . 2010-06-13 11:41        --------        d-----w-        c:\programme\Avira
2010-06-13 11:41 . 2010-06-13 11:41        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-06-13 11:41 . 2009-05-11 10:49        45416        ----a-w-        c:\windows\system32\drivers\avgntdd.sys
2010-06-12 22:02 . 2010-06-12 22:02        --------        d-sh--w-        c:\windows\system32\config\systemprofile\IETldCache
2010-06-12 14:11 . 2009-12-29 13:08        15360        ----a-w-        c:\windows\system32\drivers\nnrnstdi.sys
2010-06-12 14:11 . 2009-12-29 13:08        10368        ----a-w-        c:\windows\system32\drivers\km_filter.sys
2010-06-12 14:11 . 2008-03-21 11:57        14640        ------w-        c:\windows\system32\spmsgXP_2k3.dll
2010-06-12 14:10 . 2008-12-16 10:44        1112288        ----a-w-        c:\windows\system32\WdfCoInstaller01007.dll
2010-06-12 14:06 . 2010-06-12 14:06        --------        d-----w-        c:\programme\NetRatingsNetSight
2010-06-12 13:51 . 2010-06-12 13:51        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\RoboForm
2010-06-12 13:51 . 2010-06-12 13:51        --------        d-----w-        c:\programme\Siber Systems
2010-06-12 13:41 . 2010-06-12 13:41        --------        d-----w-        c:\windows\Sun
2010-06-11 17:10 . 2010-06-11 17:59        --------        d-----w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\MyPhoneExplorer
2010-06-11 17:10 . 2010-06-11 17:10        --------        d-----w-        c:\programme\MyPhoneExplorer
2010-06-11 15:53 . 2002-02-18 01:58        98304        ----a-w-        c:\windows\system32\unzip32.dll
2010-06-11 15:53 . 2010-06-11 15:57        --------        d-----w-        c:\programme\flatster
2010-06-10 17:44 . 2010-06-10 17:44        --------        d-sh--w-        c:\dokumente und einstellungen\Matthias\PrivacIE
2010-06-10 16:38 . 2010-06-12 15:09        --------        d-----w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\vlc
2010-06-10 13:48 . 2010-06-10 13:49        --------        d-----w-        c:\programme\IrfanView
2010-06-10 13:26 . 2010-06-10 13:30        --------        d-----w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\PhotoFiltre
2010-06-10 13:25 . 2010-06-10 13:28        --------        d-----w-        c:\programme\PhotoFiltre
2010-06-09 14:25 . 2010-05-06 10:31        743424        -c----w-        c:\windows\system32\dllcache\iedvtool.dll
2010-06-08 19:34 . 2010-06-02 11:41        179144        ----a-w-        c:\windows\system32\drivers\PCGenFAM.sys
2010-06-08 19:34 . 2010-06-08 19:35        --------        d-----w-        c:\programme\Soluto
2010-06-08 19:34 . 2010-06-08 19:34        --------        d-----w-        c:\dokumente und einstellungen\All Users\Soluto
2010-06-08 19:34 . 2010-06-08 19:34        892680        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Soluto\Installer\SolutoInstaller.exe
2010-06-08 19:34 . 2010-06-09 14:20        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Soluto
2010-06-08 17:21 . 2010-06-08 17:21        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tracker Software
2010-06-07 14:14 . 2007-11-06 13:39        69632        ----a-w-        c:\windows\Alcmtr.exe
2010-06-07 13:42 . 2010-06-07 13:42        --------        d-----w-        c:\programme\Rockstar Games
2010-06-07 11:57 . 2010-06-07 11:57        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService\IETldCache
2010-06-06 19:25 . 2008-04-13 22:17        25856        -c--a-w-        c:\windows\system32\dllcache\usbprint.sys
2010-06-06 19:25 . 2008-04-13 22:17        25856        ----a-w-        c:\windows\system32\drivers\usbprint.sys
2010-06-06 19:25 . 2008-04-13 22:15        15104        -c--a-w-        c:\windows\system32\dllcache\usbscan.sys
2010-06-06 19:25 . 2008-04-13 22:15        15104        ----a-w-        c:\windows\system32\drivers\usbscan.sys
2010-06-06 18:23 . 2010-06-06 18:23        --------        d-----w-        c:\programme\Veoh Networks
2010-06-06 13:17 . 2010-06-06 13:18        --------        d-----w-        C:\mgolf
2010-06-05 22:26 . 2010-06-05 22:39        --------        d-----w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\SimpleGlass
2010-06-05 22:26 . 2010-06-05 22:26        --------        d-----w-        c:\programme\SimpleGlass
2010-06-05 22:24 . 2010-06-05 22:24        --------        d-----w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\Styler
2010-06-05 22:22 . 2010-06-10 14:44        --------        d-----w-        c:\programme\Styler
2010-06-05 21:54 . 2010-06-05 21:54        --------        d-----w-        c:\dokumente und einstellungen\Matthias\Lokale Einstellungen\Anwendungsdaten\Ahead
2010-06-05 21:50 . 2005-09-01 09:03        5888        ------w-        c:\windows\system32\drivers\imagedrv.sys
2010-06-05 21:50 . 2005-09-01 09:03        127488        ------w-        c:\windows\system32\drivers\imagesrv.sys
2010-06-05 21:49 . 2004-07-09 06:43        364544        ------w-        c:\windows\system32\TwnLib4.dll
2010-06-05 21:49 . 2000-06-26 08:45        106496        ----a-w-        c:\windows\system32\TwnLib20.dll
2010-06-05 21:49 . 2004-07-26 14:16        476320        ------w-        c:\windows\system32\ImagXpr7.dll
2010-06-05 21:49 . 2004-07-26 14:16        471040        ------w-        c:\windows\system32\ImagXRA7.dll
2010-06-05 21:49 . 2004-07-26 14:16        262144        ------w-        c:\windows\system32\ImagXR7.dll
2010-06-05 21:49 . 2004-07-26 14:16        1568768        ------w-        c:\windows\system32\ImagX7.dll
2010-06-05 21:49 . 2001-07-09 08:50        155648        ----a-w-        c:\windows\system32\NeroCheck.exe
2010-06-05 21:49 . 2010-06-05 21:49        --------        d-----w-        c:\programme\Gemeinsame Dateien\Ahead
2010-06-05 21:49 . 2010-06-05 21:49        --------        d-----w-        c:\programme\Ahead
2010-06-05 21:45 . 2010-06-05 21:58        --------        d-----w-        c:\programme\Yahoo!
2010-06-05 21:15 . 2010-06-05 22:01        --------        d-----w-        c:\programme\Pinnacle
2010-06-05 21:14 . 2010-06-05 21:14        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Pinnacle
2010-06-05 21:13 . 2010-06-05 21:13        --------        d-----w-        c:\dokumente und einstellungen\Matthias\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
2010-06-05 12:58 . 2010-06-05 12:58        --------        d-----w-        c:\programme\Gemeinsame Dateien\Windows Live
2010-06-05 12:42 . 2010-06-11 13:49        --------        d-----w-        c:\programme\JDownloader
2010-06-05 12:36 . 2010-06-11 21:50        --------        d-----w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\dvdcss
2010-06-04 22:22 . 2008-04-14 05:52        28160        -c--a-w-        c:\windows\system32\dllcache\irmon.dll
2010-06-04 22:22 . 2008-04-14 05:52        28160        ----a-w-        c:\windows\system32\irmon.dll
2010-06-04 22:22 . 2008-04-14 05:52        153088        -c--a-w-        c:\windows\system32\dllcache\irftp.exe
2010-06-04 22:22 . 2008-04-14 05:52        153088        ----a-w-        c:\windows\system32\irftp.exe
2010-06-04 22:22 . 2008-04-14 05:52        8192        -c--a-w-        c:\windows\system32\dllcache\wshirda.dll
2010-06-04 22:22 . 2008-04-14 05:52        8192        ----a-w-        c:\windows\system32\wshirda.dll
2010-06-04 22:05 . 2010-06-04 22:05        --------        d-----w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\KC Softwares
2010-06-04 21:58 . 2010-06-04 21:58        --------        d-----w-        c:\programme\ConvertHelper
2010-06-04 21:57 . 2010-06-04 21:58        --------        d-----w-        c:\dokumente und einstellungen\Matthias\dwhelper
2010-06-04 16:52 . 2010-06-04 16:52        --------        d-----w-        c:\programme\KC Softwares
2010-06-04 16:40 . 2010-06-04 22:38        --------        d-----w-        c:\programme\XMedia Recode
2010-06-04 16:40 . 2010-06-04 16:40        --------        d-----w-        c:\programme\IObit
2010-06-04 15:50 . 2010-06-13 14:15        --------        d-----w-        c:\windows\system32\NtmsData
2010-06-04 15:04 . 2010-05-07 14:40        30536        ----a-w-        c:\windows\system32\TURegOpt.exe
2010-06-04 15:04 . 2010-05-07 14:34        30024        ----a-w-        c:\windows\system32\uxtuneup.dll
2010-06-04 15:04 . 2010-06-04 15:04        --------        d-----w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\TuneUp Software
2010-06-04 15:04 . 2010-06-04 15:04        --------        d-----w-        c:\programme\TuneUp Utilities 2010
2010-06-04 15:03 . 2010-06-04 15:04        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2010-06-04 15:03 . 2010-06-04 15:03        --------        d-sh--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
2010-06-03 22:28 . 2010-06-10 19:30        18792        ---ha-w-        c:\windows\system32\mlfcache.dat
2010-06-03 22:14 . 2010-06-03 22:14        --------        d-----w-        c:\programme\XviD
2010-06-03 22:11 . 2010-06-03 22:11        --------        d-----w-        c:\programme\Tracker Software
2010-06-03 22:09 . 2010-06-03 22:09        --------        d-----w-        c:\programme\CCleaner
2010-06-03 22:06 . 2010-06-13 14:26        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-06-03 22:06 . 2010-06-04 16:16        --------        d-----w-        c:\programme\Spybot - Search & Destroy
2010-06-03 22:04 . 2010-06-10 16:37        --------        d-----w-        c:\programme\VideoLAN
2010-06-03 20:56 . 2010-06-03 20:56        --------        d-----w-        C:\CFLog
2010-06-03 19:36 . 2003-06-18 15:31        18944        ----a-w-        c:\windows\system32\Spool\prtprocs\w32x86\mdippr.dll
2010-06-03 19:36 . 2003-06-18 15:31        17920        ----a-w-        c:\windows\system32\mdimon.dll
2010-06-03 19:35 . 2010-06-03 19:35        --------        d-----w-        c:\windows\SHELLNEW
2010-06-03 19:33 . 2010-06-04 14:50        --------        d-----w-        c:\programme\Microsoft.NET
2010-06-03 19:30 . 2010-06-03 19:30        --------        d-----r-        C:\MSOCache
2010-06-03 19:12 . 2010-06-03 19:12        --------        d-----w-        c:\dokumente und einstellungen\Matthias\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-06-03 14:49 . 2007-11-06 14:13        77824        ----a-w-        c:\windows\system32\tosmreg.exe
2010-06-03 14:49 . 2007-11-06 14:13        491520        ----a-w-        c:\windows\system32\cselect.exe
2010-06-03 14:49 . 2007-11-06 14:13        45056        ----a-w-        c:\windows\system32\csellang.dll
2010-06-03 14:49 . 2010-06-03 14:49        --------        d-----w-        c:\programme\ltmoh
2010-06-03 14:49 . 2010-06-03 14:49        --------        d-----w-        c:\windows\Options
2010-06-03 14:48 . 2007-11-06 14:13        9216        ----a-w-        c:\windows\system32\agrsmsvc.exe
2010-06-03 14:48 . 2007-11-06 14:13        50752        ------w-        c:\windows\agrsmdel.exe
2010-06-03 14:48 . 2007-11-06 14:13        1161888        ----a-w-        c:\windows\system32\drivers\AGRSM.sys
2010-06-03 14:48 . 2007-11-06 14:13        13312        ----a-w-        c:\windows\system32\agrscoin.dll
2010-06-03 14:32 . 2010-06-03 14:32        --------        d-sh--w-        c:\dokumente und einstellungen\NetworkService\IETldCache
2010-06-03 14:28 . 2010-06-03 14:28        --------        d-----w-        c:\windows\system32\XPSViewer
2010-06-03 14:28 . 2010-06-03 14:28        --------        d-----w-        c:\programme\MSBuild
2010-06-03 14:28 . 2008-07-06 12:06        89088        ----a-w-        c:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll
2010-06-03 14:28 . 2008-07-06 12:06        89088        -c----w-        c:\windows\system32\dllcache\filterpipelineprintproc.dll
2010-06-03 14:28 . 2008-07-06 12:06        117760        ------w-        c:\windows\system32\prntvpt.dll
2010-06-03 14:28 . 2008-07-06 10:50        597504        -c----w-        c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2010-06-03 14:28 . 2008-07-06 10:50        597504        ------w-        c:\windows\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-13 17:34 . 2010-06-02 20:03        --------        d-----w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\Orbit
2010-06-12 14:11 . 2010-06-12 14:11        0        ---ha-w-        c:\windows\system32\drivers\Msft_Kernel_nielprt_01007.Wdf
2010-06-12 14:11 . 2010-06-12 14:11        0        ---ha-w-        c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2010-06-11 18:03 . 2003-04-02 11:00        516834        ----a-w-        c:\windows\system32\perfh007.dat
2010-06-11 18:03 . 2003-04-02 11:00        100880        ----a-w-        c:\windows\system32\perfc007.dat
2010-06-08 19:35 . 2010-06-02 18:58        18824        ----a-w-        c:\dokumente und einstellungen\Matthias\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-06-06 19:26 . 2010-06-06 19:26        --------        d--h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ
2010-06-04 15:34 . 2010-06-02 19:23        --------        d-----w-        c:\programme\Opera
2010-06-03 22:10 . 2010-06-03 22:10        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java
2010-06-03 22:10 . 2010-06-03 22:10        503808        ----a-w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-3ef1923a-n\msvcp71.dll
2010-06-03 22:10 . 2010-06-03 22:10        499712        ----a-w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-3ef1923a-n\jmc.dll
2010-06-03 22:10 . 2010-06-03 22:10        348160        ----a-w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-3ef1923a-n\msvcr71.dll
2010-06-03 22:10 . 2010-06-03 22:10        61440        ----a-w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-706bac85-n\decora-sse.dll
2010-06-03 22:10 . 2010-06-03 22:10        12800        ----a-w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-706bac85-n\decora-d3d.dll
2010-06-03 22:10 . 2010-06-03 22:10        411368        ----a-w-        c:\windows\system32\deployJava1.dll
2010-06-03 22:10 . 2010-06-03 22:10        --------        d-----w-        c:\programme\Java
2010-06-03 22:10 . 2010-06-03 22:10        --------        d-----w-        c:\programme\FastStone Capture
2010-06-02 20:46 . 2010-06-02 20:46        --------        d-----w-        c:\programme\Paint.NET
2010-06-02 20:45 . 2010-06-02 20:45        --------        d-----w-        c:\programme\Reference Assemblies
2010-06-02 20:33 . 2010-06-02 20:33        --------        d-----w-        c:\programme\Z8Games
2010-06-02 20:03 . 2010-06-02 20:03        --------        d-----w-        c:\dokumente und einstellungen\Matthias\Anwendungsdaten\GrabPro
2010-06-02 20:03 . 2010-06-02 20:03        --------        d-----w-        c:\programme\Orbitdownloader
2010-06-02 20:02 . 2010-06-02 20:02        --------        d-----w-        c:\programme\Realtek
2010-06-02 20:02 . 2010-06-02 19:10        --------        d--h--w-        c:\programme\InstallShield Installation Information
2010-06-02 19:32 . 2010-06-02 19:32        315392        ----a-w-        c:\windows\HideWin.exe
2010-06-02 19:32 . 2010-06-02 19:32        --------        d-----w-        c:\programme\Gemeinsame Dateien\InstallShield
2010-06-02 19:10 . 2010-06-02 19:10        --------        d-----w-        c:\programme\Realtek WLAN Driver
2010-06-02 18:53 . 2010-06-02 18:33        86327        ----a-w-        c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
2010-06-02 18:34 . 2010-06-02 18:34        --------        d-----w-        c:\programme\microsoft frontpage
2010-06-02 18:33 . 2010-06-02 18:33        --------        d-----w-        c:\programme\Online-Dienste
2010-06-02 18:32 . 2010-06-02 18:32        --------        d-----w-        c:\programme\Gemeinsame Dateien\Dienste
2010-06-02 18:31 . 2010-06-02 18:31        21740        ----a-w-        c:\windows\system32\emptyregdb.dat
2010-05-06 10:31 . 2003-04-02 11:00        916480        ----a-w-        c:\windows\system32\wininet.dll
2010-05-02 08:05 . 2003-04-02 11:00        1851392        ----a-w-        c:\windows\system32\win32k.sys
2010-04-25 14:53 . 2010-04-25 14:53        323624        ----a-w-        c:\windows\system32\wiaaut.dll
2010-04-24 16:33 . 2010-04-24 16:33        73000        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.1.1.11\SetupAdmin.exe
2010-04-20 05:29 . 2003-04-02 11:00        285696        ----a-w-        c:\windows\system32\atmfd.dll
2010-04-08 11:20 . 2010-04-08 11:20        91424        ----a-w-        c:\windows\system32\dnssd.dll
2010-04-08 11:20 . 2010-04-08 11:20        107808        ----a-w-        c:\windows\system32\dns-sd.exe
2010-03-18 14:47 . 2010-03-18 14:47        17760        ----a-w-        c:\windows\system32\aspnet_counters.dll
2010-03-18 11:16 . 2010-03-18 11:16        771424        ----a-w-        c:\windows\system32\msvcr100_clr0400.dll
2010-03-18 11:16 . 2010-03-18 11:16        70472        ----a-w-        c:\windows\system32\dxva2.dll
2010-03-18 11:16 . 2010-03-18 11:16        486216        ----a-w-        c:\windows\system32\evr.dll
2010-03-18 08:09 . 2010-03-18 08:09        99176        ----a-w-        c:\windows\system32\PresentationHostProxy.dll
2010-03-18 08:09 . 2010-03-18 08:09        49488        ----a-w-        c:\windows\system32\netfxperf.dll
2010-03-18 08:09 . 2010-03-18 08:09        297808        ----a-w-        c:\windows\system32\mscoree.dll
2010-03-18 08:09 . 2010-03-18 08:09        295264        ----a-w-        c:\windows\system32\PresentationHost.exe
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SimpleGlass"="c:\programme\SimpleGlass\SGlass.exe" [2007-08-29 997888]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SkyTel"="SkyTel.EXE" [2007-11-06 1826816]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"Eraser"="c:\progra~1\Eraser\Eraser.exe" [2010-04-10 979344]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
"VeohPlugin"="c:\programme\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"HotKeysCmds"=c:\windows\system32\hkcmd.exe
"Persistence"=c:\windows\system32\igfxpers.exe
"IgfxTray"=c:\windows\system32\igfxtray.exe
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
"BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R0 PCGenFAM;PCGenFAM;c:\windows\system32\drivers\PCGenFAM.sys [08.06.2010 21:34 179144]
R1 nnrnstdi;nnrnstdi;c:\windows\system32\drivers\nnrnstdi.sys [12.06.2010 16:11 15360]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [13.06.2010 13:41 135336]
R2 SolutoService;Soluto PCGenome Core Service;c:\programme\Soluto\SolutoService.exe [02.06.2010 13:51 338464]
R3 km_filter;km_filter;c:\windows\system32\drivers\km_filter.sys [12.06.2010 16:11 10368]
R3 RTL8187B;Realtek RTL8187B Wireless 802.11b/g 54 MBit/s USB 2.0 Netzwerkadapter;c:\windows\system32\drivers\RTL8187B.sys [02.06.2010 21:10 341376]
S0 nielprt;Nielsen Patch Service;c:\windows\system32\DRIVERS\nielprt.sys --> c:\windows\system32\DRIVERS\nielprt.sys [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 cykpzlnr;\??\c:\d;\??\c:\dokume~1\Matthias\LOKALE~1\Temp\ahmboimikvq.sys --> c:\dokume~1\Matthias\LOKALE~1\Temp\ahmboimikvq.sys [?]
S2 pgrenvt;\??\c:\;\??\c:\dokume~1\Matthias\LOKALE~1\Temp\flptjyedgvc.sys --> c:\dokume~1\Matthias\LOKALE~1\Temp\flptjyedgvc.sys [?]
S3 NielGfx;Nielsen USB GFX;c:\windows\system32\drivers\nielgfx.sys --> c:\windows\system32\drivers\nielgfx.sys [?]
S3 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [07.05.2010 16:38 1051976]
S3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [25.02.2010 11:18 10064]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
S3 XDva349;XDva349;\??\c:\windows\system32\XDva349.sys --> c:\windows\system32\XDva349.sys [?]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-06-02 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: &Download by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/204
IE: Do&wnload selected by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/202
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: RF - Formular ausfüllen - file://c:\programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
IE: RF - Formular speichern - file://c:\programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
IE: RF - Menü anpassen - file://c:\programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
IE: RF - RoboForm-Leiste ein/aus - file://c:\programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
FF - ProfilePath - c:\dokumente und einstellungen\Matthias\Anwendungsdaten\Mozilla\Firefox\Profiles\90ll2qq4.default\
FF - component: c:\programme\NetRatingsNetSight\NetSight\meter1\FFAddon\components\nsgkff36_meter1.dll
FF - component: c:\programme\Siber Systems\AI RoboForm\Firefox\components\rfproxy_31.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npPDFXCviewNPPlugin.dll
FF - plugin: c:\programme\Opera\program\plugins\nporbit.dll
FF - plugin: c:\programme\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SafeBoot-dtgivmxn
SafeBoot-uqnrofov



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-06-14 17:43
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2672)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-06-14  17:48:02 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-06-14 15:47

Vor Suchlauf: 11 Verzeichnis(se), 53.557.751.808 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 53.519.695.872 Bytes frei

- - End Of File - - 2A729B1F9B279028E0AE13772DD588F7
Lg

markusg 14.06.2010 17:00
neues avenger script:


Files to delete:
c:\dokume~1\Matthias\LOKALE~1\Temp\ahmboimikvq.sys
c:\dokume~1\Matthias\LOKALE~1\Temp\flptjyedgvc.sys

es sollte im normalen modus klappen, wenn nciht im abgesicherten durchführen.
poste das log.

matthias2619 14.06.2010 17:07
hat im normalen modus geklappt!
Code:
Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  could not open driver "drivers to delete"
Disablement of driver "drivers to delete" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\dokume~1\Matthias\LOKALE~1\Temp\ahmboimikvq.sys" not found!
Deletion of file "c:\dokume~1\Matthias\LOKALE~1\Temp\ahmboimikvq.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\dokume~1\Matthias\LOKALE~1\Temp\flptjyedgvc.sys" not found!
Deletion of file "c:\dokume~1\Matthias\LOKALE~1\Temp\flptjyedgvc.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
File not found?
Lg


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:14 Uhr.
Seite 1 von 7 1 23 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19