TR/Monder.140288 lässt mir keine Ruhe |
||
|---|---|---|
| #0
| ||
|
03.07.2008, 15:42
Member
Beiträge: 13 |
||
 
|
|
|
|
03.07.2008, 16:14
Moderator
Beiträge: 5694 |
#2
Hallo Mr. Blume
Du hast einen Backdoortrojaner. Zitat F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,Ich würde Dir empfehlen, falls du die Möglichkeit hast, das System schnellst möglichst neu aufzusetzen und anbei alle Passwörter zu ändern. Aber wart noch was die Moderatoren dazu sagen. Gruss Swiss |
|
|
|
|
|
|
03.07.2008, 16:44
Member
Themenstarter Beiträge: 13 |
#3
Hallo Swiss,
zunächst mal danke für deine schnelle Antwort und erste Einschätzung. Das klingt ja gar nicht gut, schlimme Diagnose. Das System neu aufsetzen und das Ändern der Passwörter würde, wenn auch mit viel Aufwand verbunden, kein unlösbares Problem für mich darstellen. Aber meinst du wirklich alle Passwörter ändern? - Email, Paypal, ebay, Router, Firewall, Verschlüsselungen, Foren, usw.? Werde aber wie du geschrieben hast, noch auf Moderatorenmeinungen warten, auch wenn es eher unwahrscheinlich ist, das Problem anders zu beheben. Danke nochmal mfg Mr. Blume |
|
|
|
|
|
|
03.07.2008, 16:44
Ehrenmitglied
 Beiträge: 6028 |
#4
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei Zitat F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,klicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst Scanne mit SDFix - muss im abgesicherten Modus sein. Poste dann hier den Report http://virus-protect.org/artikel/tools/sdfix.html __________ MfG Argus |
|
|
|
|
|
|
03.07.2008, 18:29
Member
Themenstarter Beiträge: 13 |
#5
Hi Arnold,
dankeschön für deine Hilfe. Ich bin wie beschrieben nach deiner Anleitung vorgegangen. Hier der Report von SDFix: System Report ************* Run on 03.07.2008 at 18:01 Microsoft Windows XP [Version 5.1.2600] Current user is an administrator Running Processes: \SystemRoot\System32\smss.exe [512] \??\C:\WINDOWS\system32\csrss.exe [572] \??\C:\WINDOWS\system32\winlogon.exe [596] C:\WINDOWS\system32\services.exe [648] C:\WINDOWS\system32\lsass.exe [660] C:\WINDOWS\system32\svchost.exe [804] C:\WINDOWS\system32\svchost.exe [884] C:\WINDOWS\system32\svchost.exe [1000] C:\WINDOWS\system32\svchost.exe [1044] C:\WINDOWS\system32\svchost.exe [1156] C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe [1356] C:\WINDOWS\Explorer.EXE [1700] Drivers - Running: ACPI AFD AnyDVD atapi Beep Cdfs cdrbsdrv Cdrom Disk dmio dmload ElbyDelay Fastfat Fdc Flpydisk FltMgr Ftdisk GEARAspiWDM Gpc HidUsb Imapi IpNat IPSec isapnp Kbdclass kbdhid KSecDD Mouclass mouhid MountMgr MRxSmb Msfs mssmbios Mup NDIS NdisTapi Ndisuio NdisWan NDProxy NetBIOS NetBT Npfs Ntfs Null PartMgr PCI Point32 PptpMiniport PSched Ptilink PxHelp20 RasAcd Rasl2tp RasPppoe Raspti Rdbss RDPCDD rdpdr redbook sr Srv swenum Tcpip TermDD uagp35 Update usbccgp usbehci usbhub usbuhci VgaSave ViaIde viasraid VolSnap yukonwxp Drivers - Stopped: Abiosdsk abp480n5 ACPIEC adpu160m aeaudio aec Aha154x aic78u2 aic78xx AliIde AmdK7 amsint asc asc3350p asc3550 AsyncMac Atdisk Atmarpc audstub avgio avgntflt cbidf2k cd20xrnt Cdaudio Changer CmdIde Cpqarray dac960nt dmboot DMusic dpti2o drmkaud ElbyCDIO Fips hpn HTTP i2omgmt i2omp i8042prt ini910u IntelIde Ip6Fw IpFilterDriver IpInIp IRENUM kmixer lbrtfdc mnmdd Modem mraid35x MRxDAV MSKSSRV MSPCLOCK MSPQM nv NwlnkFlt NwlnkFwd Parport ParVdm PCIDump PCIIde Pcmcia pcouffin PDCOMP PDFRAME PDRELI PDRFRAME perc2 perc2hib ql1080 Ql10wnt ql12160 ql1240 ql1280 RDPWD Secdrv serenum Serial Sfloppy Simbad smwdm Sparrow splitter swmidi symc810 symc8xx sym_hi sym_u3 sysaudio TDPIPE TDTCP TosIde Udfs ultra USBAAPL usbscan USBSTOR Wanarp WDICA wdmaud WS2IFSL Services - Running: aawservice Browser CryptSvc DcomLaunch Dhcp dmserver Dnscache Eventlog helpsvc lanmanserver lanmanworkstation LmHosts Netman PlugPlay RpcSs SharedAccess srservice TermService winmgmt WZCSVC Services - Stopped: AdobeActiveFileMonitor5.0 Alerter ALG AntiVirScheduler AntiVirService Apple AppMgmt AudioSrv BITS Bonjour CiSvc ClipSrv COMSysApp dmadmin ERSvc EventSystem FastUserSwitchingCompatibility GoogleDesktopManager gusvc HidServ HTTPFilter ImapiService iPod Messenger mnmsrvc MSDTC MSIServer NBService NetDDE NetDDEdsdm Netlogon Nla NMIndexingService NtLmSsp NtmsSvc PolicyAgent ProtectedStorage RasAuto RasMan RDSessMgr RemoteAccess RemoteRegistry RpcLocator RSVP SamSs SCardSvr Schedule seclogon SENS ShellHWDetection SoundMAX Spooler SSDPSRV stisvc SwPrv SysmonLog TapiSrv Themes TlntSvr TrkWks UMWdf upnphost UPS VSS W32Time WebClient WmdmPmSN Wmi WmiApSrv wscsvc wuauserv xmlprov Files Created/Modified - 60 Days: C:\ 3 Jul 2008 14:49:32 805.306.368 A.SH. "C:\pagefile.sys" 4 May 2008 3:34:02 4.778 A.... "C:\rapport.txt" C:\WINDOWS\ 3 Jul 2008 14:49:46 0 A.... "C:\WINDOWS\0.log" 7 May 2008 2:52:50 74.240 ..... "C:\WINDOWS\AKDeInstall.exe" 3 Jul 2008 14:49:36 2.048 A.S.. "C:\WINDOWS\bootstat.dat" 29 Jun 2008 0:46:34 69 A.... "C:\WINDOWS\NeroDigital.ini" 3 Jul 2008 14:49:56 382.674 A.... "C:\WINDOWS\ntbtlog.txt" 5 Jun 2008 13:35:46 151 A.... "C:\WINDOWS\PhotoSnapViewer.INI" 3 Jul 2008 14:45:06 54.156 A..H. "C:\WINDOWS\QTFont.qfn" 29 Jun 2008 21:46:30 32.544 A.... "C:\WINDOWS\SchedLgU.Txt" 5 Jun 2008 13:37:50 178.415 A.... "C:\WINDOWS\setupact.log" 25 Jun 2008 18:09:02 337.296 A.... "C:\WINDOWS\setupapi.log" 3 Jul 2008 14:44:46 159 A.... "C:\WINDOWS\wiadebug.log" 3 Jul 2008 14:44:42 50 A.... "C:\WINDOWS\wiaservc.log" 27 Jun 2008 21:55:22 627 A.... "C:\WINDOWS\win.ini" 3 Jul 2008 14:45:32 1.997.552 A.... "C:\WINDOWS\WindowsUpdate.log" 12 Jun 2008 17:40:58 116.290 A.... "C:\WINDOWS\wmsetup.log" 3 Jul 2008 14:49:40 64 A.S.. "C:\WINDOWS\CSC\00000001" 2 Jul 2008 21:02:14 64 A.S.. "C:\WINDOWS\CSC\00000002" 3 Jul 2008 14:49:36 0 A.... "C:\WINDOWS\Debug\PASSWD.LOG" 7 May 2008 21:11:58 5.900 A.... "C:\WINDOWS\inf\GEARAspiWDM.PNF" 5 Jun 2008 13:37:42 12.624 A.... "C:\WINDOWS\inf\hidserv.PNF" 5 Jun 2008 13:37:26 1.376.296 A.... "C:\WINDOWS\inf\INFCACHE.1" 5 Jun 2008 13:37:32 100.964 A.... "C:\WINDOWS\inf\input.PNF" 4 Jun 2008 19:49:06 26.758 A.... "C:\WINDOWS\inf\oem10.PNF" 4 Jun 2008 19:49:46 4.336 A.... "C:\WINDOWS\inf\oem11.PNF" 4 Jun 2008 19:49:42 23.552 A.... "C:\WINDOWS\inf\oem12.PNF" 7 May 2008 21:11:58 43.968 A.... "C:\WINDOWS\inf\usb.PNF" 25 Jun 2008 18:07:46 6.684 A.... "C:\WINDOWS\system32\jupdate-1.6.0_06-b02.log" 4 May 2008 3:33:10 2.654 A.... "C:\WINDOWS\system32\tmp.reg" 4 May 2008 3:33:10 0 A.... "C:\WINDOWS\system32\tmp.txt" 2 Jul 2008 20:56:18 2.206 A.... "C:\WINDOWS\system32\wpa.dbl" 26 Jun 2008 21:39:06 276 A.... "C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" 3 Jul 2008 14:44:36 6 A..H. "C:\WINDOWS\Tasks\SA.DAT" 17 Jun 2008 20:35:36 49.664 A.... "C:\WINDOWS\Temp\3A5.tmp" 27 Jun 2008 12:39:42 41.472 A.... "C:\WINDOWS\Temp\5BC.tmp" 3 Jul 2008 18:01:04 1.625 A.... "C:\WINDOWS\Temp\scs9.tmp" 2 Jul 2008 20:56:34 0 A.... "C:\WINDOWS\Temp\tmp1.tmp" 3 Jul 2008 3:12:32 0 A.... "C:\WINDOWS\Temp\tmp11.tmp" 3 Jul 2008 3:12:32 0 A.... "C:\WINDOWS\Temp\tmp12.tmp" 3 Jul 2008 9:12:36 0 A.... "C:\WINDOWS\Temp\tmp13.tmp" 3 Jul 2008 9:12:36 0 A.... "C:\WINDOWS\Temp\tmp14.tmp" 2 Jul 2008 21:02:26 0 A.... "C:\WINDOWS\Temp\tmp2.tmp" 2 Jul 2008 21:00:04 0 A.... "C:\WINDOWS\Temp\tmp3.tmp" 3 Jul 2008 15:19:48 0 A.... "C:\WINDOWS\Temp\tmp4.tmp" 3 Jul 2008 15:19:50 0 A.... "C:\WINDOWS\Temp\tmp5.tmp" 27 Jun 2008 12:40:04 0 A.... "C:\WINDOWS\Temp\tmp5BD.tmp" 27 Jun 2008 12:40:06 0 A.... "C:\WINDOWS\Temp\tmp5BE.tmp" 2 Jul 2008 21:12:28 0 A.... "C:\WINDOWS\Temp\tmp6.tmp" 27 Jun 2008 18:40:12 0 A.... "C:\WINDOWS\Temp\tmp653.tmp" 27 Jun 2008 18:50:20 0 A.... "C:\WINDOWS\Temp\tmp654.tmp" 27 Jun 2008 19:00:28 0 A.... "C:\WINDOWS\Temp\tmp655.tmp" 27 Jun 2008 19:10:36 0 A.... "C:\WINDOWS\Temp\tmp656.tmp" 27 Jun 2008 19:20:44 0 A.... "C:\WINDOWS\Temp\tmp657.tmp" 27 Jun 2008 19:30:50 0 A.... "C:\WINDOWS\Temp\tmp658.tmp" 27 Jun 2008 19:40:56 0 A.... "C:\WINDOWS\Temp\tmp659.tmp" 27 Jun 2008 19:51:04 0 A.... "C:\WINDOWS\Temp\tmp65A.tmp" 27 Jun 2008 20:01:10 0 A.... "C:\WINDOWS\Temp\tmp65B.tmp" 27 Jun 2008 20:11:18 0 A.... "C:\WINDOWS\Temp\tmp65C.tmp" 27 Jun 2008 20:21:24 0 A.... "C:\WINDOWS\Temp\tmp65D.tmp" 27 Jun 2008 20:21:28 0 A.... "C:\WINDOWS\Temp\tmp65E.tmp" 28 Jun 2008 2:21:34 0 A.... "C:\WINDOWS\Temp\tmp6C3.tmp" 28 Jun 2008 2:21:34 0 A.... "C:\WINDOWS\Temp\tmp6C4.tmp" 28 Jun 2008 8:21:38 0 A.... "C:\WINDOWS\Temp\tmp6C7.tmp" 28 Jun 2008 8:21:38 0 A.... "C:\WINDOWS\Temp\tmp6C8.tmp" 2 Jul 2008 21:12:28 0 A.... "C:\WINDOWS\Temp\tmp7.tmp" 28 Jun 2008 14:21:44 0 A.... "C:\WINDOWS\Temp\tmp70C.tmp" 28 Jun 2008 14:21:44 0 A.... "C:\WINDOWS\Temp\tmp70D.tmp" 30 Jun 2008 3:02:24 0 A.... "C:\WINDOWS\Temp\tmp77.tmp" 30 Jun 2008 3:02:26 0 A.... "C:\WINDOWS\Temp\tmp78.tmp" 28 Jun 2008 20:21:52 0 A.... "C:\WINDOWS\Temp\tmp795.tmp" 28 Jun 2008 20:21:56 0 A.... "C:\WINDOWS\Temp\tmp796.tmp" 30 Jun 2008 9:02:28 0 A.... "C:\WINDOWS\Temp\tmp7A.tmp" 30 Jun 2008 9:02:30 0 A.... "C:\WINDOWS\Temp\tmp7B.tmp" 30 Jun 2008 15:02:30 0 A.... "C:\WINDOWS\Temp\tmp7D.tmp" 29 Jun 2008 2:22:02 0 A.... "C:\WINDOWS\Temp\tmp820.tmp" 29 Jun 2008 2:22:02 0 A.... "C:\WINDOWS\Temp\tmp821.tmp" 29 Jun 2008 8:22:06 0 A.... "C:\WINDOWS\Temp\tmp824.tmp" 29 Jun 2008 8:22:06 0 A.... "C:\WINDOWS\Temp\tmp825.tmp" 29 Jun 2008 14:22:12 0 A.... "C:\WINDOWS\Temp\tmp858.tmp" 29 Jun 2008 14:22:14 0 A.... "C:\WINDOWS\Temp\tmp859.tmp" 29 Jun 2008 20:22:20 0 A.... "C:\WINDOWS\Temp\tmp882.tmp" 29 Jun 2008 20:32:32 0 A.... "C:\WINDOWS\Temp\tmp883.tmp" 29 Jun 2008 20:42:40 0 A.... "C:\WINDOWS\Temp\tmp884.tmp" 29 Jun 2008 20:52:46 0 A.... "C:\WINDOWS\Temp\tmp885.tmp" 29 Jun 2008 20:52:46 0 A.... "C:\WINDOWS\Temp\tmp886.tmp" 21 Jun 2008 1:12:10 318.558 A.... "C:\WINDOWS\Debug\UserMode\userenv.bak" 3 Jul 2008 16:40:46 84.812 A.... "C:\WINDOWS\Debug\UserMode\userenv.log" 8 Jun 2008 14:55:36 6.129 A.... "C:\WINDOWS\Downloaded Installations\{FFC1EB03-BC9F-457A-B158-BC8578E312DA}\0x0409.ini" 8 Jun 2008 14:55:36 2.059 A.... "C:\WINDOWS\Downloaded Installations\{FFC1EB03-BC9F-457A-B158-BC8578E312DA}\Setup.INI" 8 Jun 2008 14:55:36 128.625 A.... "C:\WINDOWS\Downloaded Installations\{FFC1EB03-BC9F-457A-B158-BC8578E312DA}\setup.isn" 8 Jun 2008 14:55:44 14.478.848 A.... "C:\WINDOWS\Downloaded Installations\{FFC1EB03-BC9F-457A-B158-BC8578E312DA}\veoh.msi" 2 Jul 2008 20:44:08 16.384 A.... "C:\WINDOWS\Temp\Cookies\index.dat" 4 Jun 2008 19:49:32 8 A.... "C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\TimeStamp" 3 Jul 2008 14:49:50 349 A.... "C:\WINDOWS\system32\drivers\etc\hosts" 2 Jul 2008 20:44:08 49.152 A.... "C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\index.dat" 2 Jul 2008 20:44:08 32.768 A.... "C:\WINDOWS\Temp\Verlauf\History.IE5\index.dat" 4 Jun 2008 19:49:38 23.552 A.... "C:\WINDOWS\system32\ReinstallBackups\0001\DriverFiles\point32.PNF" 5 Jun 2008 21:39:08 21.958 A.... "C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\09UFS563\061-3964.German[1].dist" 19 Jun 2008 21:39:06 21.094 A.... "C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\09UFS563\061-4339.German[1].dist" 19 Jun 2008 21:39:08 33.128 A.... "C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\09UFS563\061-4603.German[1].dist" 5 Jun 2008 21:39:12 30.783 A.... "C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\09UFS563\061-4642.German[1].dist" 19 Jun 2008 21:39:08 40.020 A.... "C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\09UFS563\061-4802.German[1].dist" 19 Jun 2008 21:39:08 3.780 A.... "C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\49IVC9Q7\061-3452.German[1].dist" 5 Jun 2008 21:39:08 21.951 A.... "C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\49IVC9Q7\061-3965.German[1].dist" 19 Jun 2008 21:39:06 30.767 A.... "C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\49IVC9Q7\061-4457.German[1].dist" 19 Jun 2008 21:39:08 6.774 A.... "C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\49IVC9Q7\061-4512.German[1].dist" 19 Jun 2008 21:39:08 31.954 A.... "C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\49IVC9Q7\061-4633.German[1].dist" 19 Jun 2008 21:39:08 39.420 A.... "C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\49IVC9Q7\061-4804.German[1].dist" 19 Jun 2008 21:39:06 48.206 A.... "C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\49IVC9Q7\index-windows-1[1].sucatalog" 19 Jun 2008 21:39:06 6.080 A.... "C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\8TYN01UZ\061-4249.German[1].dist" 19 Jun 2008 21:39:08 6.498 A.... "C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\8TYN01UZ\061-4514.German[1].dist" 5 Jun 2008 21:39:10 39.420 A.... "C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\8TYN01UZ\061-4639.German[1].dist" 19 Jun 2008 21:39:08 21.829 A.... "C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\8TYN01UZ\061-4609.German[1].dist" 19 Jun 2008 21:39:06 6.344 A.... "C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\CDQ3KDMN\061-4200.German[1].dist" 19 Jun 2008 21:39:08 6.883 A.... "C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\CDQ3KDMN\061-4513.German[1].dist" 5 Jun 2008 21:39:10 40.020 A.... "C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\CDQ3KDMN\061-4638.German[1].dist" 19 Jun 2008 21:39:08 21.836 A.... "C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\CDQ3KDMN\061-4608.German[1].dist" C:\Programme\ 6 Jun 2008 22:54:00 168.310 A.... "C:\Programme\AntiVir PersonalEdition Classic\aecore.dll" 7 May 2008 21:46:04 430.451 A.... "C:\Programme\AntiVir PersonalEdition Classic\aeemu.dll" 20 Jun 2008 22:54:52 307.573 A.... "C:\Programme\AntiVir PersonalEdition Classic\aegen.dll" 29 May 2008 21:43:54 115.063 A.... "C:\Programme\AntiVir PersonalEdition Classic\aehelp.dll" 20 Jun 2008 22:54:58 1.274.231 A.... "C:\Programme\AntiVir PersonalEdition Classic\aeheur.dll" 20 Jun 2008 22:54:58 192.891 A.... "C:\Programme\AntiVir PersonalEdition Classic\aeoffice.dll" 20 Jun 2008 22:55:00 364.918 A.... "C:\Programme\AntiVir PersonalEdition Classic\aepack.dll" 20 Jun 2008 22:55:00 119.157 A.... "C:\Programme\AntiVir PersonalEdition Classic\aescn.dll" 20 Jun 2008 22:55:02 278.907 A.... "C:\Programme\AntiVir PersonalEdition Classic\aescript.dll" 20 Jun 2008 22:55:02 2.049 A.... "C:\Programme\AntiVir PersonalEdition Classic\aeset.dat" 30 May 2008 21:45:14 124.161 A.... "C:\Programme\AntiVir PersonalEdition Classic\avgio.dll" 30 May 2008 21:45:30 52.032 A.... "C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys" 30 May 2008 21:45:16 147.201 A.... "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" 30 May 2008 21:45:22 208.592 A.... "C:\Programme\AntiVir PersonalEdition Classic\avwsc.exe" 30 May 2008 21:45:30 16.478 A.... "C:\Programme\AntiVir PersonalEdition Classic\build.dat" 30 May 2008 21:45:28 631.041 A.... "C:\Programme\AntiVir PersonalEdition Classic\setup.exe" 30 May 2008 21:45:28 57.601 A.... "C:\Programme\AntiVir PersonalEdition Classic\wksstats.dll" 12 Jun 2008 16:29:54 98.305 A.... "C:\Programme\FLV Player\uninst.exe" 2 Jul 2008 21:32:12 1.550 A.... "C:\Programme\Hijack This\unins000.dat" 2 Jul 2008 21:32:00 684.313 A.... "C:\Programme\Hijack This\unins000.exe" 13 May 2008 20:45:08 2.958 A.... "C:\Programme\IpodConverter\unins000.dat" 13 May 2008 20:44:52 675.756 A.... "C:\Programme\IpodConverter\unins000.exe" 10 Jun 2008 10:47:22 646.368 A.... "C:\Programme\Orbitdownloader\download.dll" 10 Jun 2008 10:47:16 457.848 A.... "C:\Programme\Orbitdownloader\GrabPro.dll" 10 Jun 2008 10:47:14 187.512 A.... "C:\Programme\Orbitdownloader\orbitcth.dll" 10 Jun 2008 10:47:18 1.690.824 A.... "C:\Programme\Orbitdownloader\orbitdm.exe" 10 Jun 2008 10:47:10 56.440 A.... "C:\Programme\Orbitdownloader\orbitmxt.dll" 25 Jun 2008 19:03:12 68.631 A.... "C:\Programme\Orbitdownloader\unins000.dat" 25 Jun 2008 19:02:44 683.888 A.... "C:\Programme\Orbitdownloader\unins000.exe" 7 May 2008 2:53:00 190.865 A.... "C:\Programme\Z-Cron\unins2.dat" 6 Jun 2008 22:54:00 168.310 A.... "C:\Programme\AntiVir PersonalEdition Classic\FAILSAFE\aecore.dll" 7 May 2008 21:46:00 168.310 A.... "C:\Programme\AntiVir PersonalEdition Classic\FAILSAFE\aecore.dll.tmp" 7 May 2008 21:46:04 430.451 A.... "C:\Programme\AntiVir PersonalEdition Classic\FAILSAFE\aeemu.dll" 20 Jun 2008 22:54:52 307.573 A.... "C:\Programme\AntiVir PersonalEdition Classic\FAILSAFE\aegen.dll" 7 May 2008 21:46:06 299.380 A.... "C:\Programme\AntiVir PersonalEdition Classic\FAILSAFE\aegen.dll.tmp" 29 May 2008 21:43:54 115.063 A.... "C:\Programme\AntiVir PersonalEdition Classic\FAILSAFE\aehelp.dll" 20 Jun 2008 22:54:58 1.274.231 A.... "C:\Programme\AntiVir PersonalEdition Classic\FAILSAFE\aeheur.dll" 9 May 2008 21:44:22 1.237.366 A.... "C:\Programme\AntiVir PersonalEdition Classic\FAILSAFE\aeheur.dll.tmp" 20 Jun 2008 22:54:58 192.891 A.... "C:\Programme\AntiVir PersonalEdition Classic\FAILSAFE\aeoffice.dll" 20 Jun 2008 22:55:00 364.918 A.... "C:\Programme\AntiVir PersonalEdition Classic\FAILSAFE\aepack.dll" 20 Jun 2008 22:55:00 119.157 A.... "C:\Programme\AntiVir PersonalEdition Classic\FAILSAFE\aescn.dll" 7 May 2008 21:46:10 119.156 A.... "C:\Programme\AntiVir PersonalEdition Classic\FAILSAFE\aescn.dll.tmp" 20 Jun 2008 22:55:02 278.907 A.... "C:\Programme\AntiVir PersonalEdition Classic\FAILSAFE\aescript.dll" 9 May 2008 21:44:24 262.522 A.... "C:\Programme\AntiVir PersonalEdition Classic\FAILSAFE\aescript.dll.tmp" 20 Jun 2008 22:55:02 2.049 A.... "C:\Programme\AntiVir PersonalEdition Classic\FAILSAFE\aeset.dat" 17 May 2008 15:37:18 72.704 ..SHR "C:\Programme\eRightSoft\SUPER\Setup.exe" 8 Jun 2008 15:02:44 1.991.481 A.... "C:\Programme\InstallShield Installation Information\{0405E51E-9582-4207-8F38-AC44201D3808}\ISSetup.dll" 8 Jun 2008 14:55:52 294.912 A.... "C:\Programme\InstallShield Installation Information\{0405E51E-9582-4207-8F38-AC44201D3808}\setup.exe" 2 Jul 2008 21:31:02 396.288 A.... "C:\Programme\Trend Micro\HijackThis\HijackThis.exe" 15 May 2008 16:00:12 180.224 A.... "C:\Programme\Veoh Networks\Veoh\BsSndRpt.exe" 15 May 2008 16:00:14 106.555 A.... "C:\Programme\Veoh Networks\Veoh\BugSplat.dll" 15 May 2008 16:00:14 53.309 A.... "C:\Programme\Veoh Networks\Veoh\BugSplatRc.dll" 15 May 2008 16:00:14 986.112 A.... "C:\Programme\Veoh Networks\Veoh\dbghelp.dll" 15 May 2008 16:11:16 3.644.464 A.... "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" 15 May 2008 15:59:56 587 A.... "C:\Programme\Veoh Networks\Veoh\Html\loading.html" 15 May 2008 15:59:56 781 A.... "C:\Programme\Veoh Networks\Veoh\Html\no_connection.html" 15 May 2008 15:59:54 237.568 A.... "C:\Programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll" 15 May 2008 15:59:54 352.256 A.... "C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll" 15 May 2008 15:59:54 128.872 A.... "C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohVersion4.dll" 13 May 2008 20:37:16 4.600 A.... "C:\Programme\ICQ6\services\icqXtraz\ver1\content\game_center\index2.html" 13 May 2008 20:37:16 593 A.... "C:\Programme\ICQ6\services\icqXtraz\ver1\content\game_center\lobby_banner.html" Files with hidden attributes: Wed 3 May 2006 163,328 ..SHR --- "C:\WINDOWS\system32\flvDX.dll" Wed 21 Feb 2007 31,232 ..SHR --- "C:\WINDOWS\system32\msfDX.dll" Mon 17 Dec 2007 27,648 ..SH. --- "C:\WINDOWS\system32\Smab0.dll" Sun 27 Aug 2006 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak" Sun 26 Jun 2005 616,448 ..SHR --- "C:\Programme\eRightSoft\SUPER\cygwin1.dll" Tue 21 Jun 2005 45,568 ..SHR --- "C:\Programme\eRightSoft\SUPER\cygz.dll" Fri 14 Mar 2008 13,824 A.SHR --- "C:\Programme\eRightSoft\SUPER\DXdump.exe" Sat 17 May 2008 72,704 ..SHR --- "C:\Programme\eRightSoft\SUPER\Setup.exe" Tue 2 Oct 2007 16,896 A.SHR --- "C:\Programme\eRightSoft\SUPER\_Setup.dll" Tue 4 Jun 2002 84,992 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\14_43260.dll" Tue 4 Jun 2002 44,032 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\28_83260.dll" Tue 10 Dec 2002 73,766 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\atrc3260.dll" Tue 10 Dec 2002 65,575 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\cook3260.dll" Sun 9 Jun 2002 36,864 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\ddnt3260.dll" Tue 4 Jun 2002 20,480 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\dnet3260.dll" Tue 10 Dec 2002 102,437 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv13260.dll" Tue 10 Dec 2002 176,165 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv23260.dll" Tue 10 Dec 2002 208,935 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv33260.dll" Tue 10 Dec 2002 217,127 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv43260.dll" Sun 9 Jun 2002 40,448 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\dspr3260.dll" Sun 4 Nov 2001 225,280 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\ivvideo.dll" Tue 10 Apr 2001 225,280 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\qtmlClient.dll" Fri 20 Feb 2004 232,960 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\raac.dll" Sun 9 Jun 2002 525,824 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rnco3260.dll" Tue 10 Dec 2002 245,805 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rnlt3260.dll" Tue 10 Dec 2002 45,093 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv103260.dll" Tue 10 Dec 2002 98,341 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv203260.dll" Tue 10 Dec 2002 94,247 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv303260.dll" Tue 10 Dec 2002 90,151 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv403260.dll" Tue 10 Dec 2002 102,439 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\sipr3260.dll" Sun 9 Jun 2002 49,152 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\tokr3260.dll" Thu 20 Mar 2008 5,632 ..SHR --- "C:\Programme\eRightSoft\SUPER\spk\1stRun.exe" Sun 27 Aug 2006 4,348 ...H. --- "C:\Dokumente und Einstellungen\Toni\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1key.bak" Sat 14 Oct 2006 20 A..H. --- "C:\Dokumente und Einstellungen\Toni\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1lic.bak" Sun 27 Aug 2006 400 A.SH. --- "C:\Dokumente und Einstellungen\Toni\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv2key.bak" Sun 27 Aug 2006 4,348 A..H. --- "C:\Dokumente und Einstellungen\Toni\Eigene Dateien\Itunesmediathek\Lizenzsicherung\drmv1key.bak" Sat 14 Oct 2006 20 A..H. --- "C:\Dokumente und Einstellungen\Toni\Eigene Dateien\Itunesmediathek\Lizenzsicherung\drmv1lic.bak" Sun 27 Aug 2006 400 A.SH. --- "C:\Dokumente und Einstellungen\Toni\Eigene Dateien\Itunesmediathek\Lizenzsicherung\drmv2key.bak" Program Folders: C:\Programme\ Ableton Adobe Ahead All Sound Recorder XP Analog Devices AntiVir PersonalEdition Classic AOMrecord Apple Software Update Atari Audacity Azureus BitTorrent BitTorrent++ Bonjour ComPlus Applications DivX download Elaborate Bytes eRightSoft flight2 FLV Player FotoWorks Gemeinsame Dateien GoldEsel Hijack This ICQ6 ICQToolbar InstallShield Installation Information Internet Explorer iPod IpodConverter iTunes Java KaLoMa Lavasoft LimeWire Marvell Messenger microsoft frontpage Microsoft IntelliPoint Microsoft IntelliType Pro Microsoft Office Movie Maker Mozilla Firefox mp3DirectCut mresreg MSN MSN Gaming Zone Nero NetMeeting Nikon Online Services Online-Dienste Orbitdownloader Outlook Express QuickTime Real RealPlayer Setup Skype SlySoft Sun Trend Micro Tweak-XP Pro Uninstall Information Veoh Networks VIA VideoLAN vso Webteh WinAce Windows Media Player Windows NT WindowsUpdate WinRAR xerox Yahoo! Z-Cron C:\Programme\Gemeinsame Dateien\ Adobe Ahead Apple Designer Dienste InstallShield Java Microsoft Shared MSSoap Nikon ODBC Real SpeechEngines System Wise Installation Wizard xing shared Add/Remove Programs: Adobe Flash Player ActiveX Adobe Flash Player Plugin Adobe Photoshop Elements 5.0 All Sound Recorder XP 2.30 Avira AntiVir Personal – Free Antivirus AnyDVD Audacity 1.2.4 Azureus BSplayer CloneDVD2 FLV Player 2.0, build 24 FotoWorks Google Desktop GrabPro - Toolbar Hijack This 2.0.2 HijackThis 2.0.2 VeohTV BETA VIA Integrated Setup Wizard IpodConverter 1.1 KaLoMa 4.53(beta2) Windows XP-Hotfix - KB873339 Windows XP-Hotfix - KB885835 Windows XP-Hotfix - KB885836 Windows XP-Hotfix - KB886185 Windows XP-Hotfix - KB888302 Sicherheitsupdate für Windows XP (KB890046) Windows XP-Hotfix - KB890859 Windows XP-Hotfix - KB891781 Sicherheitsupdate für Windows XP (KB893756) Windows Installer 3.1 (KB893803) Update für Windows XP (KB894391) Sicherheitsupdate für Windows XP (KB896358) Sicherheitsupdate für Windows XP (KB896423) Sicherheitsupdate für Windows XP (KB896428) Update für Windows XP (KB898461) Sicherheitsupdate für Windows XP (KB899587) Sicherheitsupdate für Windows XP (KB899591) Update für Windows XP (KB900485) Sicherheitsupdate für Windows XP (KB900725) Sicherheitsupdate für Windows XP (KB901017) Sicherheitsupdate für Windows XP (KB901214) Sicherheitsupdate für Windows XP (KB902400) Sicherheitsupdate für Windows XP (KB904706) Sicherheitsupdate für Windows XP (KB905414) Sicherheitsupdate für Windows XP (KB905749) Sicherheitsupdate für Windows XP (KB908519) Update für Windows XP (KB908531) Update für Windows XP (KB910437) Update für Windows XP (KB911280) Sicherheitsupdate für Windows XP (KB911562) Sicherheitsupdate für Windows Media Player (KB911564) Sicherheitsupdate für Windows XP (KB911927) Sicherheitsupdate für Windows XP (KB913580) Sicherheitsupdate für Windows XP (KB914388) Sicherheitsupdate für Windows XP (KB914389) Update für Windows XP (KB916595) Sicherheitsupdate für Windows XP (KB917344) Sicherheitsupdate für Windows Media Player 10 (KB917734) Sicherheitsupdate für Windows XP (KB917953) Sicherheitsupdate für Windows XP (KB918118) Sicherheitsupdate für Windows XP (KB918439) Sicherheitsupdate für Windows XP (KB919007) Sicherheitsupdate für Windows XP (KB920213) Sicherheitsupdate für Windows XP (KB920670) Sicherheitsupdate für Windows XP (KB920683) Sicherheitsupdate für Windows XP (KB920685) Update für Windows XP (KB920872) Update für Windows XP (KB922582) Sicherheitsupdate für Windows XP (KB922819) Sicherheitsupdate für Windows XP (KB923191) Sicherheitsupdate für Windows XP (KB923414) Sicherheitsupdate für Windows XP (KB923689) Sicherheitsupdate für Windows XP (KB923980) Sicherheitsupdate für Windows XP (KB924191) Sicherheitsupdate für Windows XP (KB924270) Sicherheitsupdate für Windows XP (KB924496) Sicherheitsupdate für Windows XP (KB924667) Sicherheitsupdate für Windows Media Player 6.4 (KB925398) Sicherheitsupdate für Windows XP (KB925902) Sicherheitsupdate für Windows XP (KB926255) Sicherheitsupdate für Windows XP (KB926436) Sicherheitsupdate für Windows XP (KB927779) Sicherheitsupdate für Windows XP (KB927802) Update für Windows XP (KB927891) Sicherheitsupdate für Windows XP (KB928255) Sicherheitsupdate für Windows XP (KB928843) Sicherheitsupdate für Windows XP (KB929123) Sicherheitsupdate für Windows XP (KB929969) Sicherheitsupdate für Windows XP (KB930178) Update für Windows XP (KB930916) Sicherheitsupdate für Windows XP (KB931261) Sicherheitsupdate für Windows XP (KB931784) Update für Windows XP (KB931836) Sicherheitsupdate für Windows XP (KB932168) Sicherheitsupdate für Windows XP (KB933566) Sicherheitsupdate für Windows XP (KB935839) Sicherheitsupdate für Windows XP (KB935840) LimeWire 4.16.6 Live 5.0.1 Mozilla Firefox (2.0.0.14) Orbit Downloader RealPlayer Adobe Flash Player 9 ActiveX Skype 2.5 Video Access Codec v1.4 VideoLAN VLC media player 0.8.6a Windows Media Format Runtime Windows Media Player 10 WinRAR archiver ICQ Toolbar Z-Cron Microsoft Office 2000 Small Business DRIV3R Apple Software Update VeohTV BETA Microsoft IntelliPoint 6.1 QuickTime Google Toolbar for Internet Explorer Adobe Help Center 2.1 Ahead Nero Burning Rom PlugIn Pack 2.0.2 by J2SE Runtime Environment 5.0 Update 3 Java(TM) 6 Update 6 Google Earth Apple Mobile Device Support Ad-Aware 2007 Bonjour neroxml iTunes ICQ6 Microsoft Office PowerPoint Viewer 2003 VIA Integrated Setup Wizard Nikon Scan Nero 7 Premium Adobe Photoshop Elements 5.0 Nikon View 6 Adobe Reader 7.0 - Deutsch DivX Web Player Tweak-XP Pro EUROCOMP · AOMrecord Microsoft IntelliType Pro 6.1 Marvell Miniport Driver DivX Content Uploader Nero 7 Premium OpenOffice.org Installer 1.0 SoundMAX Nero Reloaded PlugIn Pack 2.0.4 by GEAR Run Values: [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "Smapp"="C:\\Programme\\Analog Devices\\SoundMAX\\SMTray.exe" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.6.0_06\\bin\\jusched.exe\"" "TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "Google Desktop Search"="\"C:\\Programme\\Google\\Google Desktop Search\\GoogleDesktop.exe\" /startup" "NeroFilterCheck"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe" "Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Photoshop Elements 5.0\\apdproxy.exe\"" "AnyDVD"="\"C:\\Programme\\SlySoft\\AnyDVD\\AnyDVD.exe\"" "QuickTime Task"="\"C:\\Programme\\QuickTime\\QTTask.exe\" -atboottime" "iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\"" "itype"="\"C:\\Programme\\Microsoft IntelliType Pro\\itype.exe\"" "IntelliPoint"="\"C:\\Programme\\Microsoft IntelliPoint\\ipoint.exe\"" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "NoChange"="1" "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "BlockAds"="" "TransparentIcons"="" "TransTask"="" "Tweak-XP"="" "Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized" "swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe" "BitTorrent"="\"C:\\Programme\\BitTorrent\\bittorrent.exe\" --force_start_minimized" "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NMBgMonitor.exe\"" "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" "Veoh"="\"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe\" /VeohHide" @="" Bot Check: SERVICE_NAME: wscsvc DISPLAY_NAME : Sicherheitscenter START_TYPE : 2 AUTO_START SERVICE_NAME: sharedaccess DISPLAY_NAME : Windows-Firewall/Gemeinsame Nutzung der Internetverbindung START_TYPE : 2 AUTO_START SERVICE_NAME: wuauserv DISPLAY_NAME : Automatische Updates START_TYPE : 2 AUTO_START SERVICE_NAME: srservice DISPLAY_NAME : Systemwiederherstellungsdienst START_TYPE : 2 AUTO_START [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole] "EnableDCOM"="Y" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "restrictanonymous"=dword:00000000 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update] "AUOptions"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "AntiVirusDisableNotify"=dword:00000000 "FirewallDisableNotify"=dword:00000000 "UpdatesDisableNotify"=dword:00000000 "AntiVirusOverride"=dword:00000000 "FirewallOverride"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "WaitToKillServiceTimeout"="20000" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "SFCDisable"=dword:00000000 "Shell"="Explorer.exe" "Userinit"="C:\\WINDOWS\\SYSTEM32\\Userinit.exe,C:\\WINDOWS\\system32\\ntos.exe," [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shell extensions] @="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters] "TransportBindName"="\\Device\\" ShellExecuteHooks: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" Environment: HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\environment ComSpec REG_EXPAND_SZ %SystemRoot%\system32\cmd.exe Path REG_EXPAND_SZ %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\QuickTime\QTSystem\ windir REG_EXPAND_SZ %SystemRoot% OS REG_SZ Windows_NT PATHEXT REG_SZ .COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH TEMP REG_EXPAND_SZ %SystemRoot%\TEMP TMP REG_EXPAND_SZ %SystemRoot%\TEMP CLASSPATH REG_SZ .;C:\Programme\Java\jre1.5.0_03\lib\ext\QTJava.zip QTJAVA REG_SZ C:\Programme\Java\jre1.5.0_03\lib\ext\QTJava.zip SAFEBOOT_OPTION REG_SZ NETWORK SecurityProviders: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders SecurityProviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll Authentication Packages: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa Authentication Packages REG_MULTI_SZ msv1_0\0\0 Subsystem Startup: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems] "Windows"="%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16" Midi Drivers: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32] "midi"="wdmaud.drv" "MIDI1"="SYNCOR11.DLL" Non-Default IFEO Debugger: Non-Default Installed Components: Non-Default Safeboot Minimal: File Associations: [HKEY_CLASSES_ROOT\batfile\shell\open\command] @="\"%1\" %*" [HKEY_CLASSES_ROOT\cmdfile\shell\open\command] @="\"%1\" %*" [HKEY_CLASSES_ROOT\comfile\shell\open\command] @="\"%1\" %*" [HKEY_CLASSES_ROOT\exefile\shell\open\command] @="\"%1\" %*" [HKEY_CLASSES_ROOT\htafile\shell\open\command] @="C:\\WINDOWS\\system32\\mshta.exe \"%1\" %*" [HKEY_CLASSES_ROOT\http\shell\open\command] @="\"C:\\Programme\\Internet Explorer\\iexplore.exe\" -nohome" [HKEY_CLASSES_ROOT\htmlfile\shell\open\command] @="\"C:\\Programme\\Internet Explorer\\iexplore.exe\" -nohome" [HKEY_CLASSES_ROOT\regedit\shell\open\command] @="regedit.exe %1" [HKEY_CLASSES_ROOT\regfile\shell\open\command] @="regedit.exe \"%1\"" [HKEY_CLASSES_ROOT\scrfile\shell\open\command] @="\"%1\" /S" [HKEY_CLASSES_ROOT\txtfile\shell\open\command] @="%SystemRoot%\system32\NOTEPAD.EXE %1" Finished! Gruß Mr. Blume |
|
|
|
|
|
|
03.07.2008, 19:34
Ehrenmitglied
Beiträge: 6028 |
#6
SDFix ist auch ein Virenscanner
unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken schreibe: Y folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag, den du im Sicherheitsforum eröffnet hast __________ MfG Argus |
|
|
|
|
|
|
03.07.2008, 20:19
Ehrenmitglied
 Beiträge: 29434 |
#7
Hallo Mr. Blume
nach dem Abarbeiten + posten vom Sdfix-Log: 1. Gehe in die Registry Start - Ausführen - regedit [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "SFCDisable"=dword:00000000 "Shell"="Explorer.exe" "Userinit"="C:\\WINDOWS\\SYSTEM32\\Userinit.exe,C:\\WINDOWS\\system32\\ntos.exe - auslöschen hier ist es eine andere exe, aber im Prinzip ist es die gleiche Prozedur rechtsklick auf: "Userinit" (nicht auf "Shell" wie auf dem Bild) - dann lösche nur die C:\\WINDOWS\\system32\\ntos.exe aus  2. http://virus-protect.org/artikel/tools/otmoveIt.html Download OTMoveIt zum Desktop OTMoveIt öffne: OTMoveIt.exe OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move Zitat C:\WINDOWS\SYSTEM32\wsnpoemKlicke auf den Roten MoveIt! 2. Gmer - anwenden - poste dann hier den report http://www2.gmer.net/mbr/mbr.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
03.07.2008, 21:02
Member
Themenstarter Beiträge: 13 |
#8
Hallo Sabina, hallo Arnold,
ich hänge noch an der Beschreibung von Arnolds letzten Beitrag. Und zwar habe ich wie beschrieben SDFix im abgesicherten Modus gestartet (RunThis und y eingegeben). Dann hat es einige Minuten gedauert und der Rechner startete neu (windows normal). Als nun die Desktopoberfläche erschien öffnete sich SDFix automatisch mit der Anweisung einen Moment Geduld zu haben und genau in diesem Augenblick bombardierte mich Antivir mit ca. 20 aufeinanderfolgenden Meldungen (In der Datei 'C:\WINDOWS\system32\.00000000a8d8a5c4\00000000a8d8a5c4.core.dll' wurde ein Virus oder unerwünschtes Programm 'TR/Monder.140288' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern) und der Folge, dass ich keine weiteren Aktionen unter Windows ausführen konnte, da immer wieder diese Meldungen auftauchten. Daraufhin bin ich also wieder in den abgesicherten Modus, hab SDFix nochmal gestartet, nur habe ich diesmal beim Neustart in den abgesicherten Modus gebootet, allerdings mit dem Problem dass sich SDFix diesmal nicht automatisch geöffnet hat. Jetzt weiß ich nicht mehr weiter, im SDFix Ordner befinden sich sehr viele Dateien, vielleicht ist der benötigte Scan darin enthalten (siehe Anhang). Ich hoffe ich strapaziere eure Nerven nicht zu sehr... Anhang: Unbenannt.JPG Dieser Beitrag wurde am 03.07.2008 um 21:15 Uhr von Mr. Blume editiert.
|
|
|
|
|
|
|
03.07.2008, 21:15
Ehrenmitglied
Beiträge: 29434 |
#9
sdfix: schau mal unter Report
+ Gmer - anwenden - poste dann hier den report http://www2.gmer.net/mbr/mbr.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
03.07.2008, 21:47
Member
Themenstarter Beiträge: 13 |
#10
Hallo Sabina,
unter SDFix - Report stand folgendes: SDFix: Version 1.201 Run by Toni on 03.07.2008 at 20:12 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File hab mir das Programm Gmer geholt, jedoch lässt es sich nicht richtig öffnen, es blingt lediglich für den Bruchteil einer Sekunde ein Bild auf, welches gleich wieder verschwindet. mit freundlichen Grüßen Mr. Blume |
|
|
|
|
|
|
03.07.2008, 22:00
Ehrenmitglied
Beiträge: 29434 |
#11
versuche es mit gmer.zip - dann alles scannen lassen + das log hier posten
http://virus-protect.org/artikel/tools/gmer.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
03.07.2008, 22:32
Ehrenmitglied
Beiträge: 6028 |
#12
Mr. Blume
Wenn MBR.exe auf den Desktop runtergeladen wurde steht da auch mbr.log dessen Inhalt hier posten __________ MfG Argus |
|
|
|
|
|
|
03.07.2008, 22:59
Member
Themenstarter Beiträge: 13 |
#13
Sorry, hat ein bisschen gedauert aber jetzt hats funktioniert.
Hier also der gmer-log: GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2008-07-03 22:56:52 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.14 ---- Code 00050B7A LdrGetDllHandle Code 00050CFE NtEnumerateKey Code 00050E98 NtEnumerateValueKey Code 00050BBD NtQueryDirectoryFile Code 00050A65 NtQuerySystemInformation Code 00050B37 NtResumeThread Code 00050A65 RtlGetNativeSystemInformation Code 00050CFE ZwEnumerateKey Code 00050E98 ZwEnumerateValueKey Code 00050BBD ZwQueryDirectoryFile Code 00050A65 ZwQuerySystemInformation Code 00050B37 ZwResumeThread ---- Kernel code sections - GMER 1.0.14 ---- ? C:\DOKUME~1\Gerber\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. ! ---- User code sections - GMER 1.0.14 ---- .text C:\Dokumente und Einstellungen\Gerber\regedit.exe[336] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 000A0D03 .text C:\Dokumente und Einstellungen\Gerber\regedit.exe[336] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 000A0E9D .text C:\Dokumente und Einstellungen\Gerber\regedit.exe[336] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 000A0BC2 .text C:\Dokumente und Einstellungen\Gerber\regedit.exe[336] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 000A0A6A .text C:\Dokumente und Einstellungen\Gerber\regedit.exe[336] ntdll.dll!NtResumeThread 7C91E45F 5 Bytes JMP 000A0B3C .text C:\Dokumente und Einstellungen\Gerber\regedit.exe[336] ntdll.dll!LdrGetDllHandle 7C926586 5 Bytes JMP 000A0B7F .text C:\Dokumente und Einstellungen\Gerber\regedit.exe[336] ADVAPI32.dll!EnumServicesStatusExW 77E0681B 5 Bytes JMP 004E10B4 .text C:\Dokumente und Einstellungen\Gerber\regedit.exe[336] ADVAPI32.dll!EnumServicesStatusW 77E07B91 5 Bytes JMP 004E0FF3 .text C:\Programme\Microsoft Office\Office\WINWORD.EXE[384] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 00150D03 .text C:\Programme\Microsoft Office\Office\WINWORD.EXE[384] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 00150E9D .text C:\Programme\Microsoft Office\Office\WINWORD.EXE[384] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 00150BC2 .text C:\Programme\Microsoft Office\Office\WINWORD.EXE[384] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 00150A6A .text C:\Programme\Microsoft Office\Office\WINWORD.EXE[384] ntdll.dll!NtResumeThread 7C91E45F 5 Bytes JMP 00150B3C .text C:\Programme\Microsoft Office\Office\WINWORD.EXE[384] ntdll.dll!LdrGetDllHandle 7C926586 5 Bytes JMP 00150B7F .text C:\Programme\Microsoft Office\Office\WINWORD.EXE[384] ADVAPI32.dll!EnumServicesStatusExW 77E0681B 5 Bytes JMP 005910B4 .text C:\Programme\Microsoft Office\Office\WINWORD.EXE[384] ADVAPI32.dll!EnumServicesStatusW 77E07B91 5 Bytes JMP 00590FF3 .text C:\WINDOWS\msagent\AgentSvr.exe[408] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 00080D03 .text C:\WINDOWS\msagent\AgentSvr.exe[408] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 00080E9D .text C:\WINDOWS\msagent\AgentSvr.exe[408] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 00080BC2 .text C:\WINDOWS\msagent\AgentSvr.exe[408] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 00080A6A .text C:\WINDOWS\msagent\AgentSvr.exe[408] ntdll.dll!NtResumeThread 7C91E45F 5 Bytes JMP 00080B3C .text C:\WINDOWS\msagent\AgentSvr.exe[408] ntdll.dll!LdrGetDllHandle 7C926586 5 Bytes JMP 00080B7F .text C:\WINDOWS\msagent\AgentSvr.exe[408] ADVAPI32.dll!EnumServicesStatusExW 77E0681B 5 Bytes JMP 003910B4 .text C:\WINDOWS\msagent\AgentSvr.exe[408] ADVAPI32.dll!EnumServicesStatusW 77E07B91 5 Bytes JMP 00390FF3 .text C:\WINDOWS\System32\smss.exe[512] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 00300D03 .text C:\WINDOWS\System32\smss.exe[512] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 00300E9D .text C:\WINDOWS\System32\smss.exe[512] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 00300BC2 .text C:\WINDOWS\System32\smss.exe[512] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 00300A6A .text C:\WINDOWS\System32\smss.exe[512] ntdll.dll!NtResumeThread 7C91E45F 5 Bytes JMP 00300B3C .text C:\WINDOWS\System32\smss.exe[512] ntdll.dll!LdrGetDllHandle 7C926586 5 Bytes JMP 00300B7F .text C:\Dokumente und Einstellungen\Gerber\Desktop\OTMoveIt2.exe[532] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 00140D03 .text C:\Dokumente und Einstellungen\Gerber\Desktop\OTMoveIt2.exe[532] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 00140E9D .text C:\Dokumente und Einstellungen\Gerber\Desktop\OTMoveIt2.exe[532] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 00140BC2 .text C:\Dokumente und Einstellungen\Gerber\Desktop\OTMoveIt2.exe[532] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 00140A6A .text C:\Dokumente und Einstellungen\Gerber\Desktop\OTMoveIt2.exe[532] ntdll.dll!NtResumeThread 7C91E45F 5 Bytes JMP 00140B3C .text C:\Dokumente und Einstellungen\Gerber\Desktop\OTMoveIt2.exe[532] ntdll.dll!LdrGetDllHandle 7C926586 5 Bytes JMP 00140B7F .text C:\Dokumente und Einstellungen\Gerber\Desktop\OTMoveIt2.exe[532] advapi32.dll!EnumServicesStatusExW 77E0681B 5 Bytes JMP 00E310B4 .text C:\Dokumente und Einstellungen\Gerber\Desktop\OTMoveIt2.exe[532] advapi32.dll!EnumServicesStatusW 77E07B91 5 Bytes JMP 00E30FF3 .text C:\WINDOWS\system32\csrss.exe[572] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 00E90D03 .text C:\WINDOWS\system32\csrss.exe[572] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 00E90E9D .text C:\WINDOWS\system32\csrss.exe[572] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 00E90BC2 .text C:\WINDOWS\system32\csrss.exe[572] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 00E90A6A .text C:\WINDOWS\system32\csrss.exe[572] ntdll.dll!NtResumeThread 7C91E45F 5 Bytes JMP 00E90B3C .text C:\WINDOWS\system32\csrss.exe[572] ntdll.dll!LdrGetDllHandle 7C926586 5 Bytes JMP 00E90B7F .text C:\WINDOWS\system32\csrss.exe[572] ADVAPI32.dll!EnumServicesStatusExW 77E0681B 5 Bytes JMP 00E910B4 .text C:\WINDOWS\system32\csrss.exe[572] ADVAPI32.dll!EnumServicesStatusW 77E07B91 5 Bytes JMP 00E90FF3 .text C:\WINDOWS\system32\winlogon.exe[596] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 00C90D03 .text C:\WINDOWS\system32\winlogon.exe[596] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 00C90E9D .text C:\WINDOWS\system32\winlogon.exe[596] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 00C90BC2 .text C:\WINDOWS\system32\winlogon.exe[596] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 00C90A6A .text C:\WINDOWS\system32\winlogon.exe[596] ntdll.dll!NtResumeThread 7C91E45F 5 Bytes JMP 00C90B3C .text C:\WINDOWS\system32\winlogon.exe[596] ntdll.dll!LdrGetDllHandle 7C926586 5 Bytes JMP 00C90B7F .text C:\WINDOWS\system32\winlogon.exe[596] ADVAPI32.dll!EnumServicesStatusExW 77E0681B 5 Bytes JMP 00C910B4 .text C:\WINDOWS\system32\winlogon.exe[596] ADVAPI32.dll!EnumServicesStatusW 77E07B91 5 Bytes JMP 00C90FF3 .text C:\WINDOWS\system32\services.exe[648] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 00A40D03 .text C:\WINDOWS\system32\services.exe[648] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 00A40E9D .text C:\WINDOWS\system32\services.exe[648] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 00A40BC2 .text C:\WINDOWS\system32\services.exe[648] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 00A40A6A .text C:\WINDOWS\system32\services.exe[648] ntdll.dll!NtResumeThread 7C91E45F 5 Bytes JMP 00A40B3C .text C:\WINDOWS\system32\services.exe[648] ntdll.dll!LdrGetDllHandle 7C926586 5 Bytes JMP 00A40B7F .text C:\WINDOWS\system32\services.exe[648] ADVAPI32.dll!EnumServicesStatusExW 77E0681B 5 Bytes JMP 00A410B4 .text C:\WINDOWS\system32\services.exe[648] ADVAPI32.dll!EnumServicesStatusW 77E07B91 5 Bytes JMP 00A40FF3 .text C:\WINDOWS\system32\lsass.exe[660] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 00BA0D03 .text C:\WINDOWS\system32\lsass.exe[660] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 00BA0E9D .text C:\WINDOWS\system32\lsass.exe[660] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 00BA0BC2 .text C:\WINDOWS\system32\lsass.exe[660] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 00BA0A6A .text C:\WINDOWS\system32\lsass.exe[660] ntdll.dll!NtResumeThread 7C91E45F 5 Bytes JMP 00BA0B3C .text C:\WINDOWS\system32\lsass.exe[660] ntdll.dll!LdrGetDllHandle 7C926586 5 Bytes JMP 00BA0B7F .text C:\WINDOWS\system32\lsass.exe[660] ADVAPI32.dll!EnumServicesStatusExW 77E0681B 5 Bytes JMP 00BA10B4 .text C:\WINDOWS\system32\lsass.exe[660] ADVAPI32.dll!EnumServicesStatusW 77E07B91 5 Bytes JMP 00BA0FF3 .text C:\WINDOWS\system32\svchost.exe[812] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 00870D03 .text C:\WINDOWS\system32\svchost.exe[812] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 00870E9D .text C:\WINDOWS\system32\svchost.exe[812] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 00870BC2 .text C:\WINDOWS\system32\svchost.exe[812] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 00870A6A .text C:\WINDOWS\system32\svchost.exe[812] ntdll.dll!NtResumeThread 7C91E45F 5 Bytes JMP 00870B3C .text C:\WINDOWS\system32\svchost.exe[812] ntdll.dll!LdrGetDllHandle 7C926586 5 Bytes JMP 00870B7F .text C:\WINDOWS\system32\svchost.exe[812] ADVAPI32.dll!EnumServicesStatusExW 77E0681B 5 Bytes JMP 008710B4 .text C:\WINDOWS\system32\svchost.exe[812] ADVAPI32.dll!EnumServicesStatusW 77E07B91 5 Bytes JMP 00870FF3 .text C:\WINDOWS\system32\svchost.exe[884] ntdll.dll!NtEnumerateKey 7C91D94C 3 Bytes JMP 00920D03 .text C:\WINDOWS\system32\svchost.exe[884] ntdll.dll!NtEnumerateKey + 4 7C91D950 1 Byte [ 84 ] .text C:\WINDOWS\system32\svchost.exe[884] ntdll.dll!NtEnumerateValueKey 7C91D976 3 Bytes JMP 00920E9D .text C:\WINDOWS\system32\svchost.exe[884] ntdll.dll!NtEnumerateValueKey + 4 7C91D97A 1 Byte [ 84 ] .text C:\WINDOWS\system32\svchost.exe[884] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 3 Bytes JMP 00920BC2 .text C:\WINDOWS\system32\svchost.exe[884] ntdll.dll!NtQueryDirectoryFile + 4 7C91DF62 1 Byte [ 84 ] .text C:\WINDOWS\system32\svchost.exe[884] ntdll.dll!NtQuerySystemInformation 7C91E1AA 3 Bytes JMP 00920A6A .text C:\WINDOWS\system32\svchost.exe[884] ntdll.dll!NtQuerySystemInformation + 4 7C91E1AE 1 Byte [ 84 ] .text C:\WINDOWS\system32\svchost.exe[884] ntdll.dll!NtResumeThread 7C91E45F 3 Bytes JMP 00920B3C .text C:\WINDOWS\system32\svchost.exe[884] ntdll.dll!NtResumeThread + 4 7C91E463 1 Byte [ 84 ] .text C:\WINDOWS\system32\svchost.exe[884] ntdll.dll!LdrGetDllHandle 7C926586 5 Bytes JMP 00920B7F .text C:\WINDOWS\system32\svchost.exe[884] ADVAPI32.dll!EnumServicesStatusExW 77E0681B 5 Bytes JMP 009210B4 .text C:\WINDOWS\system32\svchost.exe[884] ADVAPI32.dll!EnumServicesStatusW 77E07B91 5 Bytes JMP 00920FF3 .text C:\WINDOWS\system32\svchost.exe[996] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 008B0D03 .text C:\WINDOWS\system32\svchost.exe[996] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 008B0E9D .text C:\WINDOWS\system32\svchost.exe[996] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 008B0BC2 .text C:\WINDOWS\system32\svchost.exe[996] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 008B0A6A .text C:\WINDOWS\system32\svchost.exe[996] ntdll.dll!NtResumeThread 7C91E45F 5 Bytes JMP 008B0B3C .text C:\WINDOWS\system32\svchost.exe[996] ntdll.dll!LdrGetDllHandle 7C926586 5 Bytes JMP 008B0B7F .text C:\WINDOWS\system32\svchost.exe[996] ADVAPI32.dll!EnumServicesStatusExW 77E0681B 5 Bytes JMP 008B10B4 .text C:\WINDOWS\system32\svchost.exe[996] ADVAPI32.dll!EnumServicesStatusW 77E07B91 5 Bytes JMP 008B0FF3 .text C:\WINDOWS\system32\svchost.exe[1044] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 00720D03 .text C:\WINDOWS\system32\svchost.exe[1044] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 00720E9D .text C:\WINDOWS\system32\svchost.exe[1044] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 00720BC2 .text C:\WINDOWS\system32\svchost.exe[1044] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 00720A6A .text C:\WINDOWS\system32\svchost.exe[1044] ntdll.dll!NtResumeThread 7C91E45F 5 Bytes JMP 00720B3C .text C:\WINDOWS\system32\svchost.exe[1044] ntdll.dll!LdrGetDllHandle 7C926586 5 Bytes JMP 00720B7F .text C:\WINDOWS\system32\svchost.exe[1044] ADVAPI32.dll!EnumServicesStatusExW 77E0681B 5 Bytes JMP 007210B4 .text C:\WINDOWS\system32\svchost.exe[1044] ADVAPI32.dll!EnumServicesStatusW 77E07B91 5 Bytes JMP 00720FF3 .text C:\Programme\WinRAR\WinRAR.exe[1148] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 00150D03 .text C:\Programme\WinRAR\WinRAR.exe[1148] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 00150E9D .text C:\Programme\WinRAR\WinRAR.exe[1148] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 00150BC2 .text C:\Programme\WinRAR\WinRAR.exe[1148] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 00150A6A .text C:\Programme\WinRAR\WinRAR.exe[1148] ntdll.dll!NtResumeThread 7C91E45F 5 Bytes JMP 00150B3C .text C:\Programme\WinRAR\WinRAR.exe[1148] ntdll.dll!LdrGetDllHandle 7C926586 5 Bytes JMP 00150B7F .text C:\Programme\WinRAR\WinRAR.exe[1148] ADVAPI32.DLL!EnumServicesStatusExW 77E0681B 5 Bytes JMP 003510B4 .text C:\Programme\WinRAR\WinRAR.exe[1148] ADVAPI32.DLL!EnumServicesStatusW 77E07B91 5 Bytes JMP 00350FF3 .text C:\DOKUME~1\Gerber\LOKALE~1\Temp\Rar$EX00.234\gmer.exe[1168] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 00140D03 .text C:\DOKUME~1\Gerber\LOKALE~1\Temp\Rar$EX00.234\gmer.exe[1168] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 00140E9D .text C:\DOKUME~1\Gerber\LOKALE~1\Temp\Rar$EX00.234\gmer.exe[1168] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 00140BC2 .text C:\DOKUME~1\Gerber\LOKALE~1\Temp\Rar$EX00.234\gmer.exe[1168] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 00140A6A .text C:\DOKUME~1\Gerber\LOKALE~1\Temp\Rar$EX00.234\gmer.exe[1168] ntdll.dll!NtResumeThread 7C91E45F 5 Bytes JMP 00140B3C .text C:\DOKUME~1\Gerber\LOKALE~1\Temp\Rar$EX00.234\gmer.exe[1168] ntdll.dll!LdrGetDllHandle 7C926586 5 Bytes JMP 00140B7F .text C:\DOKUME~1\Gerber\LOKALE~1\Temp\Rar$EX00.234\gmer.exe[1168] ADVAPI32.dll!EnumServicesStatusExW 77E0681B 5 Bytes JMP 003910B4 .text C:\DOKUME~1\Gerber\LOKALE~1\Temp\Rar$EX00.234\gmer.exe[1168] ADVAPI32.dll!EnumServicesStatusW 77E07B91 5 Bytes JMP 00390FF3 .text C:\WINDOWS\system32\svchost.exe[1176] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 007B0D03 .text C:\WINDOWS\system32\svchost.exe[1176] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 007B0E9D .text C:\WINDOWS\system32\svchost.exe[1176] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 007B0BC2 .text C:\WINDOWS\system32\svchost.exe[1176] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 007B0A6A .text C:\WINDOWS\system32\svchost.exe[1176] ntdll.dll!NtResumeThread 7C91E45F 5 Bytes JMP 007B0B3C .text C:\WINDOWS\system32\svchost.exe[1176] ntdll.dll!LdrGetDllHandle 7C926586 5 Bytes JMP 007B0B7F .text C:\WINDOWS\system32\svchost.exe[1176] ADVAPI32.dll!EnumServicesStatusExW 77E0681B 5 Bytes JMP 007B10B4 .text C:\WINDOWS\system32\svchost.exe[1176] ADVAPI32.dll!EnumServicesStatusW 77E07B91 5 Bytes JMP 007B0FF3 .text C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe[1356] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 00150D03 .text C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe[1356] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 00150E9D .text C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe[1356] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 00150BC2 .text C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe[1356] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 00150A6A .text C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe[1356] ntdll.dll!NtResumeThread 7C91E45F 5 Bytes JMP 00150B3C .text C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe[1356] ntdll.dll!LdrGetDllHandle 7C926586 5 Bytes JMP 00150B7F .text C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe[1356] ADVAPI32.dll!EnumServicesStatusExW 77E0681B 5 Bytes JMP 00C410B4 .text C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe[1356] ADVAPI32.dll!EnumServicesStatusW 77E07B91 5 Bytes JMP 00C40FF3 .text C:\WINDOWS\Explorer.EXE[1632] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 00090D03 .text C:\WINDOWS\Explorer.EXE[1632] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 00090E9D .text C:\WINDOWS\Explorer.EXE[1632] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 00090BC2 .text C:\WINDOWS\Explorer.EXE[1632] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 00090A6A .text C:\WINDOWS\Explorer.EXE[1632] ntdll.dll!NtResumeThread 7C91E45F 5 Bytes JMP 00090B3C .text C:\WINDOWS\Explorer.EXE[1632] ntdll.dll!LdrGetDllHandle 7C926586 5 Bytes JMP 00090B7F .text C:\WINDOWS\Explorer.EXE[1632] ADVAPI32.dll!EnumServicesStatusExW 77E0681B 5 Bytes JMP 002810B4 .text C:\WINDOWS\Explorer.EXE[1632] ADVAPI32.dll!EnumServicesStatusW 77E07B91 5 Bytes JMP 00280FF3 .text C:\Programme\Mozilla Firefox\firefox.exe[1876] ntdll.dll!NtEnumerateKey 7C91D94C 5 Bytes JMP 00150D03 .text C:\Programme\Mozilla Firefox\firefox.exe[1876] ntdll.dll!NtEnumerateValueKey 7C91D976 5 Bytes JMP 00150E9D .text C:\Programme\Mozilla Firefox\firefox.exe[1876] ntdll.dll!NtQueryDirectoryFile 7C91DF5E 5 Bytes JMP 00150BC2 .text C:\Programme\Mozilla Firefox\firefox.exe[1876] ntdll.dll!NtQuerySystemInformation 7C91E1AA 5 Bytes JMP 00150A6A .text C:\Programme\Mozilla Firefox\firefox.exe[1876] ntdll.dll!NtResumeThread 7C91E45F 5 Bytes JMP 00150B3C .text C:\Programme\Mozilla Firefox\firefox.exe[1876] ntdll.dll!LdrGetDllHandle 7C926586 5 Bytes JMP 00150B7F .text C:\Programme\Mozilla Firefox\firefox.exe[1876] ADVAPI32.dll!EnumServicesStatusExW 77E0681B 5 Bytes JMP 003A10B4 .text C:\Programme\Mozilla Firefox\firefox.exe[1876] ADVAPI32.dll!EnumServicesStatusW 77E07B91 5 Bytes JMP 003A0FF3 ---- User IAT/EAT - GMER 1.0.14 ---- IAT C:\Programme\Mozilla Firefox\firefox.exe[1876] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01A173CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[1876] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryA] [01A17376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[1876] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryA] [01A17376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[1876] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01A173CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[1876] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!LoadLibraryA] [01A17376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[1876] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01A173CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[1876] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01A173CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[1876] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!LoadLibraryA] [01A17376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[1876] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryA] [01A17376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[1876] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01A173CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[1876] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01A173CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[1876] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryA] [01A17376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[1876] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01A173CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[1876] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA] [01A17376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[1876] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01A173CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[1876] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryA] [01A17376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[1876] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryA] [01A17376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[1876] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01A173CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[1876] @ C:\WINDOWS\system32\iphlpapi.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01A173CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[1876] @ C:\WINDOWS\system32\iphlpapi.dll [KERNEL32.dll!LoadLibraryA] [01A17376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[1876] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01A173CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[1876] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!LoadLibraryA] [01A17376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[1876] @ C:\WINDOWS\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryA] [01A17376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[1876] @ C:\WINDOWS\system32\CRYPT32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01A173CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[1876] @ C:\WINDOWS\system32\USERENV.dll [KERNEL32.dll!LoadLibraryA] [01A17376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[1876] @ C:\WINDOWS\system32\USERENV.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01A173CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[1876] @ C:\WINDOWS\system32\NETAPI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01A173CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[1876] @ C:\WINDOWS\system32\NETAPI32.dll [KERNEL32.dll!LoadLibraryA] [01A17376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[1876] @ C:\WINDOWS\System32\SAMLIB.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01A173CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[1876] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [01A173CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[1876] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!LoadLibraryA] [01A17376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) ---- Devices - GMER 1.0.14 ---- Device \Driver\Gpc \Device\Gpc msgpc.sys (MS General Packet Classifier/Microsoft Corporation) ---- Processes - GMER 1.0.14 ---- Process C:\WINDOWS\system32\.00000000a8d8a5c4\00000000a8d8a5c4.exe (*** hidden *** ) 1304 ---- Services - GMER 1.0.14 ---- Service C:\WINDOWS\system32\.00000000a8d8a5c4\00000000a8d8a5c4.exe (*** hidden *** ) [AUTO] 00000000a8d8a5c4 <-- ROOTKIT !!! ---- Registry - GMER 1.0.14 ---- Reg HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\00000000a8d8a5c4 Reg HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\00000000a8d8a5c4@ Service Reg HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Network\00000000a8d8a5c4 Reg HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Network\00000000a8d8a5c4@ Service Reg HKLM\SYSTEM\ControlSet002\Services\00000000a8d8a5c4 Reg HKLM\SYSTEM\ControlSet002\Services\00000000a8d8a5c4@Type 272 Reg HKLM\SYSTEM\ControlSet002\Services\00000000a8d8a5c4@Start 2 Reg HKLM\SYSTEM\ControlSet002\Services\00000000a8d8a5c4@ErrorControl 0 Reg HKLM\SYSTEM\ControlSet002\Services\00000000a8d8a5c4@ImagePath C:\WINDOWS\system32\.00000000a8d8a5c4\00000000a8d8a5c4.exe Reg HKLM\SYSTEM\ControlSet002\Services\00000000a8d8a5c4@DisplayName Microsoft DDE+ server Reg HKLM\SYSTEM\ControlSet002\Services\00000000a8d8a5c4@ObjectName LocalSystem Reg HKLM\SYSTEM\ControlSet002\Services\00000000a8d8a5c4\Security Reg HKLM\SYSTEM\ControlSet002\Services\00000000a8d8a5c4\Security@Security 0x01 0x00 0x14 0x80 ... Reg HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\00000000a8d8a5c4 Reg HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\00000000a8d8a5c4@ Service Reg HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\00000000a8d8a5c4 Reg HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\00000000a8d8a5c4@ Service Reg HKLM\SYSTEM\CurrentControlSet\Services\00000000a8d8a5c4 Reg HKLM\SYSTEM\CurrentControlSet\Services\00000000a8d8a5c4@Type 272 Reg HKLM\SYSTEM\CurrentControlSet\Services\00000000a8d8a5c4@Start 2 Reg HKLM\SYSTEM\CurrentControlSet\Services\00000000a8d8a5c4@ErrorControl 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\00000000a8d8a5c4@ImagePath C:\WINDOWS\system32\.00000000a8d8a5c4\00000000a8d8a5c4.exe Reg HKLM\SYSTEM\CurrentControlSet\Services\00000000a8d8a5c4@DisplayName Microsoft DDE+ server Reg HKLM\SYSTEM\CurrentControlSet\Services\00000000a8d8a5c4@ObjectName LocalSystem Reg HKLM\SYSTEM\CurrentControlSet\Services\00000000a8d8a5c4\Security Reg HKLM\SYSTEM\CurrentControlSet\Services\00000000a8d8a5c4\Security@Security 0x01 0x00 0x14 0x80 ... Reg HKLM\SYSTEM\ControlSet004\Control\SafeBoot\Minimal\00000000a8d8a5c4 Reg HKLM\SYSTEM\ControlSet004\Control\SafeBoot\Minimal\00000000a8d8a5c4@ Service Reg HKLM\SYSTEM\ControlSet004\Control\SafeBoot\Network\00000000a8d8a5c4 Reg HKLM\SYSTEM\ControlSet004\Control\SafeBoot\Network\00000000a8d8a5c4@ Service Reg HKLM\SYSTEM\ControlSet004\Services\00000000a8d8a5c4 Reg HKLM\SYSTEM\ControlSet004\Services\00000000a8d8a5c4@Type 272 Reg HKLM\SYSTEM\ControlSet004\Services\00000000a8d8a5c4@Start 2 Reg HKLM\SYSTEM\ControlSet004\Services\00000000a8d8a5c4@ErrorControl 0 Reg HKLM\SYSTEM\ControlSet004\Services\00000000a8d8a5c4@ImagePath C:\WINDOWS\system32\.00000000a8d8a5c4\00000000a8d8a5c4.exe Reg HKLM\SYSTEM\ControlSet004\Services\00000000a8d8a5c4@DisplayName Microsoft DDE+ server Reg HKLM\SYSTEM\ControlSet004\Services\00000000a8d8a5c4@ObjectName LocalSystem Reg HKLM\SYSTEM\ControlSet004\Services\00000000a8d8a5c4\Security Reg HKLM\SYSTEM\ControlSet004\Services\00000000a8d8a5c4\Security@Security 0x01 0x00 0x14 0x80 ... ---- Files - GMER 1.0.14 ---- File C:\WINDOWS\system32\.00000000a8d8a5c4 0 bytes File C:\WINDOWS\system32\.00000000a8d8a5c4\00000000a8d8a5c4.AT.config 102 bytes File C:\WINDOWS\system32\.00000000a8d8a5c4\00000000a8d8a5c4.core.dll 140288 bytes executable File C:\WINDOWS\system32\.00000000a8d8a5c4\00000000a8d8a5c4.exe 41472 bytes executable <-- ROOTKIT !!! File C:\WINDOWS\system32\.00000000a8d8a5c4\00000000a8d8a5c4.ServerPlugin.config 45 bytes File C:\WINDOWS\Temp\tmp7D.tmp.00000000a8d8a5c4.tmp 237 bytes ---- EOF - GMER 1.0.14 ---- |
|
|
|
|
|
|
03.07.2008, 23:04
Ehrenmitglied
Beiträge: 29434 |
#14
««
http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) 00000000a8d8a5c4 in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
03.07.2008, 23:14
Member
Themenstarter Beiträge: 13 |
#15
Regsearch Text:
Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 03.07.2008 23:13:09 for strings: ; '00000000a8d8a5c4' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
mein Name ist Mr. Blume und ich habe ein Problem mit dem bereits im Betreff genannten Virus "TR/Monder.140288". Vor ca. 2 Tagen wurde mein Virenscanner Avira AntiVir Personal - Free Antivirus auf den Virus aufmerksam. Leider konnte ich den Virus durch die Optionen des Scanners (Verweigern, in Quarantäne verschieben...) nicht loswerden, Antivir zeigt die Meldung laufend an.
Seit der 1. Meldung des Virenscanners ist die PC-Leistung wie auch die Internetgeschwindigkeit sehr reduziert. Deshalb blieb mir auch nur die Möglichkeit über den abgesicherten Modus mit Netzwerkverbindungen diesen Hilferuf abzusenden (Rechner und Internet funktionieren im abgesicherten Modus fehlerfrei).
Über die Suchmaschine habe ich 5 Einträge gefunden die sich mit dem Virus TR/Monder.140288 befassen und wäre ich auf diesem Gebiet etwas erfahrener, könnte ich dieses Problem vielleicht auch selbst lösen. Da dies bedauerlicherweise nicht der Fall ist würde ich mich über Hilfe sehr freuen.
Als Ansatz habe ich folgend mal die Virusmeldungen und einen HijackThis-Scan angegeben.
Also hier die Meldung vom Virenscanner:
Fehler in AntiVir Guard.
Fehlertext: Aktion ist fehlgeschlagen für die Datei: C:\WINDOWS\system32\.00000000a8d8a5c4\00000000a8d8a5c4.core.dll
Fehlercode: [0x00000005 - Zugriff verweigert].
und
In der Datei 'C:\WINDOWS\system32\.00000000a8d8a5c4\00000000a8d8a5c4.core.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Monder.140288' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
Hier der HijackThis- Report:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:54:31, on 03.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hijack This\hijackthis.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe"
O4 - HKLM\..\Run: [AnyDVD] "C:\Programme\SlySoft\AnyDVD\AnyDVD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=21871
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
Da dies bereits mein 2. Beitrag ist indem ich nach Hilfe frage und mir bereits das 1. Mal, ohne Gegenleistung von meiner Seite, erfolgreich geholfen wurde, hoffe ich und würde mich wirklich freuen wenn das noch ein 2. Mal möglich wäre.
Bis dahin...
Mr. Blume
--
End of file - 7733 bytes