Rootkit und Onlinebanking

#1 Hallo,

hab mir da offenbar was Nettes eingefangen. Das Programm loggt offenbar den https-traffic mit und bietet mir meine Onlinebanking-Seite in unverschlüsselter Form an. Nach dem Einloggen mit KtoNr. und PIN wird eine Meldung angezeigt, wonach das Konto gesperrt sei und durch eine bestimmte TAN freigeschaltet werden soll. Alles einwandfrei formuliert und schön seriös im Design meiner Bank gehalten, jedoch stammt zumindest dieser Teil der Seite von einer IP aus St.Petersburg.

Ich würde das Programm gerne loswerden - möglichst ohne mein System neu aufzusetzen.

Das Teil wird von Antivir und den mir bekannten Onlinescannern bisher nicht erkannt. Der Combofix-Scan brachte dann aber Folgendes (Auszug):

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-22 17:52:10
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwEnumerateKey, ZwEnumerateValueKey, ZwQueryDirectoryFile, ZwQuerySystemInformation

Scanne versteckte Prozesse...

C:\WINDOWS\system32\.c9a6b08c96ca8b92\c9a6b08c96ca8b92.exe [1812] 0x8A411320

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


C:\WINDOWS\system32\.c9a6b08c96ca8b92

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\c9a6b08c96ca8b92]
"ImagePath"="C:\WINDOWS\system32\.c9a6b08c96ca8b92\c9a6b08c96ca8b92.exe"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\.c9a6b08c96ca8b92\c9a6b08c96ca8b92.core.dll

#2 >>
Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis:

C:\WINDOWS\system32\.c9a6b08c96ca8b92\c9a6b08c96ca8b92.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

>>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
(Vor der Anwendung Update nicht vergessen)
http://virus-protect.org/artikel/tools/malwarebytes.html

>>
Erstelle ein neues Combofix-Log und poste das ganze hier.

Gruss Swiss

#3 Hallo,

Malwarebytes findet den Schädling jedoch NICHT und folglich sieht das combofix-Log auch weiterhin so aus wie oben.

Hier das Ergebnis von virustotal:

Datei c9a6b08c96ca8b92.exe empfangen 2008.10.23 10:16:50 (CET)
Status: Beendet
Ergebnis: 8/36 (22.23%)
Filter
Drucken der Ergebnisse
Email:



Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.22.0 2008.10.23 -
AntiVir 7.9.0.5 2008.10.22 -
Authentium 5.1.0.4 2008.10.23 -
Avast 4.8.1248.0 2008.10.22 Win32:Gamona
AVG 8.0.0.161 2008.10.23 Win32/Heur
BitDefender 7.2 2008.10.23 -
CAT-QuickHeal 9.50 2008.10.23 -
ClamAV 0.93.1 2008.10.23 -
DrWeb 4.44.0.09170 2008.10.23 -
eSafe 7.0.17.0 2008.10.22 Suspicious File
eTrust-Vet 31.6.6164 2008.10.22 -
Ewido 4.0 2008.10.22 -
F-Prot 4.4.4.56 2008.10.22 -
F-Secure 8.0.14332.0 2008.10.23 Suspicious:W32/Malware!Gemini
Fortinet 3.113.0.0 2008.10.22 -
GData 19 2008.10.23 Win32:Gamona
Ikarus T3.1.1.44.0 2008.10.23 -
K7AntiVirus 7.10.503 2008.10.22 -
Kaspersky 7.0.0.125 2008.10.23 -
McAfee 5412 2008.10.23 -
Microsoft 1.4005 2008.10.23 -
NOD32 3547 2008.10.22 -
Norman 5.80.02 2008.10.22 -
Panda 9.0.0.4 2008.10.22 -
PCTools 4.4.2.0 2008.10.22 -
Prevx1 V2 2008.10.23 Worm
Rising 21.00.31.00 2008.10.23 Trojan.DL.Win32.Undef.bfi
SecureWeb-Gateway 6.7.6 2008.10.22 -
Sophos 4.34.0 2008.10.23 -
Sunbelt 3.1.1747.1 2008.10.23 -
Symantec 10 2008.10.23 -
TheHacker 6.3.1.0.124 2008.10.23 -
TrendMicro 8.700.0.1004 2008.10.23 -
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.23.1433 2008.10.23 -
VirusBuster 4.5.11.0 2008.10.22 Trojan.Monder.Gen!Pac.2
weitere Informationen
File size: 44544 bytes
MD5...: 99faa05177ce42b7c18ccacf81852611
SHA1..: d6fe3bbd9f4d3f88a73e7b4a684ba60b6c576be6
SHA256: 0d284c1840b14ea5afabb835c44e4b3df58ba02847c64f1095aaf6f36efa6ede
SHA512: 14344ea5793edb49425d62ab22cf5c767e201c69cc9c32fe45d7f27a21c5f80c
e6d3d46797066d17febc764b415b0ab5633ab0b1b2eec098317ecf874e93d2bb
PEiD..: -
TrID..: File type identification
Win32 Dynamic Link Library (generic) (65.4%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40c000
timedatestamp.....: 0x8a2b1 (Wed Jan 07 13:12:17 1970)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x7000 0x400 0.00 0f343b0931126a20f133d67c2b018a3b
UPX1 0x8000 0x3000 0x2600 7.92 777a1993236666ef719a3818985cef2d
.rsrc 0xb000 0x1000 0x600 2.72 c3e604386b7cf3faa16a0d701bf458de
.protect 0xc000 0x8000 0x7a00 7.23 944e9881fb642e8040f7af77ab2375e9

( 2 imports )
> KERNEL32.DLL: CompareStringA, ExitThread, GetLastError, GetPrivateProfileStringA, GetStartupInfoA, GetSystemTime, GetTimeFormatA, GetVersion, InitializeCriticalSection, RaiseException, RtlUnwind, SetCurrentDirectoryA, SetEndOfFile, SetLastError, TlsSetValue, VirtualAlloc, lstrcatA, lstrcmpiA, lstrcpyA, lstrcpynA, lstrlenA
> USER32.DLL: ActivateKeyboardLayout, BeginPaint, ChangeMenuA, CharToOemBuffA, CopyRect, CreatePopupMenu, DestroyIcon, DestroyMenu, DestroyWindow, DialogBoxParamA, DrawIcon, DrawMenuBar, EnableWindow, EndDialog, EndMenu, GetDlgItem, GetFocus, IsCharLowerA, IsCharUpperA, LoadAcceleratorsW, SetCursor

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=CABBAEC2004AF8D1AE15009B2623C6005F1D642A

#4 Du solltest C:\WINDOWS\system32\.c9a6b08c96ca8b92\c9a6b08c96ca8b92.core.dll bei Virustotal pruefen und den Rest vom Combofix Report.
__________
MfG Ralf
SEO-Spam Hunter

#5 OK. Erst einmal das Ergebnis für die dll:

Datei c9a6b08c96ca8b92.core.dll empfangen 2008.10.23 12:36:38 (CET)
Status: Beendet
Ergebnis: 6/36 (16.67%)
Filter
Drucken der Ergebnisse
Email:



Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.22.0 2008.10.23 -
AntiVir 7.9.0.5 2008.10.23 -
Authentium 5.1.0.4 2008.10.23 -
Avast 4.8.1248.0 2008.10.22 Win32:Gamona
AVG 8.0.0.161 2008.10.23 -
BitDefender 7.2 2008.10.23 -
CAT-QuickHeal 9.50 2008.10.23 -
ClamAV 0.93.1 2008.10.23 -
DrWeb 4.44.0.09170 2008.10.23 -
eSafe 7.0.17.0 2008.10.22 Suspicious File
eTrust-Vet 31.6.6164 2008.10.22 -
Ewido 4.0 2008.10.22 -
F-Prot 4.4.4.56 2008.10.22 -
F-Secure 8.0.14332.0 2008.10.23 -
Fortinet 3.113.0.0 2008.10.22 -
GData 19 2008.10.23 Win32:Gamona
Ikarus T3.1.1.44.0 2008.10.23 Virus.Win32.Gamona
K7AntiVirus 7.10.503 2008.10.22 -
Kaspersky 7.0.0.125 2008.10.23 -
McAfee 5412 2008.10.23 -
Microsoft 1.4005 2008.10.23 -
NOD32 3548 2008.10.23 -
Norman 5.80.02 2008.10.22 -
Panda 9.0.0.4 2008.10.23 -
PCTools 4.4.2.0 2008.10.22 -
Prevx1 V2 2008.10.23 Worm
Rising 21.00.32.00 2008.10.23 -
SecureWeb-Gateway 6.7.6 2008.10.23 -
Sophos 4.34.0 2008.10.23 -
Sunbelt 3.1.1747.1 2008.10.23 -
Symantec 10 2008.10.23 -
TheHacker 6.3.1.0.124 2008.10.23 -
TrendMicro 8.700.0.1004 2008.10.23 -
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.23.1434 2008.10.23 -
VirusBuster 4.5.11.0 2008.10.22 Trojan.Monder.Gen!Pac.2
weitere Informationen
File size: 140288 bytes
MD5...: d19789cdc94d3240bc560e53e5f9290c
SHA1..: 7d3fda2e78e6d6b10ece943e8afe5c0af33cdeff
SHA256: 61a7e89a3d0c1944225b865110bc3ce9901aadd3c9ed2a9f8342ef4f2163012f
SHA512: f9404c070fdcc2378015d63c44a5a3b2c741f8f8b5ad80d6b1bf883466f74e10
3c029b6a03a93c237db240ad7bb7656f1a62fb66da04a77d228d8bd29f09f260
PEiD..: -
TrID..: File type identification
Win32 Dynamic Link Library (generic) (65.4%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1005e000
timedatestamp.....: 0x8a31e (Wed Jan 07 13:14:06 1970)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x41000 0x400 0.00 0f343b0931126a20f133d67c2b018a3b
UPX1 0x42000 0x1b000 0x1a800 8.00 2f7abca73ef1e13f5e19e0a520027f2e
.rsrc 0x5d000 0x1000 0x600 2.72 ba4e7820396f669af88bbaf565b11604
.protect 0x5e000 0x7000 0x6e00 7.23 f71cbd46ceed61687d0bda50b0b723b6

( 2 imports )
> KERNEL32.DLL: CompareStringA, ExitThread, GetLastError, GetPrivateProfileStringA, GetStartupInfoA, GetSystemTime, GetTimeFormatA, GetVersion, InitializeCriticalSection, RaiseException, RtlUnwind, SetCurrentDirectoryA, SetEndOfFile, SetLastError, TlsSetValue, VirtualAlloc, lstrcatA, lstrcmpiA, lstrcpyA, lstrcpynA, lstrlenA
> USER32.DLL: ActivateKeyboardLayout, BeginPaint, ChangeMenuA, CharToOemBuffA, CopyRect, CreatePopupMenu, DestroyIcon, DestroyMenu, DestroyWindow, DialogBoxParamA, DrawIcon, DrawMenuBar, EnableWindow, EndDialog, EndMenu, GetDlgItem, GetFocus, IsCharLowerA, IsCharUpperA, LoadAcceleratorsW, SetCursor

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=45CD036600D7039A246D020688E9AB00232CFD3C

#6 >>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
(Vor der Anwendung Update nicht vergessen)
http://virus-protect.org/artikel/tools/malwarebytes.html

>>
Erstelle ein neues Combofix-Log und poste das ganze hier.

#7

Zitat

raman postete
Du solltest C:\WINDOWS\system32\.c9a6b08c96ca8b92\c9a6b08c96ca8b92.core.dll bei Virustotal pruefen und den Rest vom Combofix Report.

OK, habe inzwischen sämtliche im Combofix-Log aufgeführten Dateien bei Virustotal überprüfen lassen:

Funde gabs bei folgenden 3 Dateien:

C:\WINDOWS\bwUnin-8.1.1.50-8876480SL.exe

C:\Programme\QuickTime\QTTask.exe

C:\Programme\Mozilla Firefox\plugins\npbasic.dll

Und das sind die Ergebnisse von Virustotal:

Datei bwUnin-8.1.1.50-8876480SL.exe empfangen 2008.10.23 13:50:24 (CET)
Status: Beendet
Ergebnis: 1/36 (2.78%)


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.22.0 2008.10.23 -
AntiVir 7.9.0.5 2008.10.23 -
Authentium 5.1.0.4 2008.10.23 -
Avast 4.8.1248.0 2008.10.22 -
AVG 8.0.0.161 2008.10.23 -
BitDefender 7.2 2008.10.23 -
CAT-QuickHeal 9.50 2008.10.23 -
ClamAV 0.93.1 2008.10.23 -
DrWeb 4.44.0.09170 2008.10.23 -
eSafe 7.0.17.0 2008.10.22 -
eTrust-Vet 31.6.6164 2008.10.22 -
Ewido 4.0 2008.10.23 -
F-Prot 4.4.4.56 2008.10.22 -
F-Secure 8.0.14332.0 2008.10.23 Suspicious:W32/Netsnake.n!Gemini
Fortinet 3.113.0.0 2008.10.22 -
GData 19 2008.10.23 -
Ikarus T3.1.1.44.0 2008.10.23 -
K7AntiVirus 7.10.503 2008.10.22 -
Kaspersky 7.0.0.125 2008.10.23 -
McAfee 5412 2008.10.23 -
Microsoft 1.4005 2008.10.23 -
NOD32 3548 2008.10.23 -
Norman 5.80.02 2008.10.22 -
Panda 9.0.0.4 2008.10.23 -
PCTools 4.4.2.0 2008.10.22 -
Prevx1 V2 2008.10.23 -
Rising 21.00.32.00 2008.10.23 -
SecureWeb-Gateway 6.7.6 2008.10.23 -
Sophos 4.34.0 2008.10.23 -
Sunbelt 3.1.1747.1 2008.10.23 -
Symantec 10 2008.10.23 -
TheHacker 6.3.1.0.124 2008.10.23 -
TrendMicro 8.700.0.1004 2008.10.23 -
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.23.1434 2008.10.23 -
VirusBuster 4.5.11.0 2008.10.22 -
weitere Informationen
File size: 127034 bytes
MD5...: 21007bd289539a3ca0d0f3653dc11258
SHA1..: 3f748144d07cd7609dae51ae0588f46e994c73c4
SHA256: 072408c4c02de98c6dfcfa83b86f2dfebeadd1a085c371d2d8b78df9c9e670dc
SHA512: 1063aac29899b35575a6f6369033b4855dcfcddfe733b7690042cd7af9d692c5
ca62c73f4fbb12707abb4ed8be4215b4b369f5a55a34407309bb815bf51cf90b
PEiD..: Armadillo v1.71
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40e536
timedatestamp.....: 0x455910f7 (Tue Nov 14 00:42:31 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xe10e 0xf000 6.21 e916f8864e9c7b2fe0b96bef1e5f7e45
.rdata 0x10000 0x3c02 0x4000 5.35 5a9c9f9f9ff15ff15dcdd43eb0033aa1
.data 0x14000 0xb6e8 0x9000 4.90 fa1f2d7ab0d9fd1e4b379009d219da58
.rsrc 0x20000 0x1480 0x2000 3.33 5d1e5c5971a2cfe084c97dd0e154025e

( 8 imports )
> MSVCRT.dll: _except_handler3, _controlfp, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, _onexit, __dllonexit, _chsize, fseek, fwrite, fread, _get_osfhandle, sscanf, _stat, swprintf, memset, strchr, realloc, atoi, fgets, _mbschr, _mbsdec, strncat, malloc, free, _purecall, ctime, fprintf, fflush, ftell, rename, memcpy, _iob, vfprintf, fopen, _unlink, _ftime, _strnicmp, memcmp, strrchr, _setmbcp, _snprintf, _mbslwr, strcpy, strlen, _errno, sprintf, _mbsrchr, __CxxFrameHandler, _mbsicmp, __3@YAXPAX@Z, strcat, strcmp, _rmdir, toupper, _ultoa, strncmp, _findnext, remove, strncpy, strstr, _findclose, __2@YAPAXI@Z, _chmod, _findfirst, _stricmp, fclose
> MFC42.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> KERNEL32.dll: ReleaseMutex, GetModuleHandleA, GetFileType, PeekNamedPipe, GetFileTime, GetFileSize, RemoveDirectoryA, LocalFree, OpenMutexA, Sleep, lstrlenW, WideCharToMultiByte, GetTickCount, MultiByteToWideChar, CreateDirectoryA, MoveFileExA, GetWindowsDirectoryA, GetCurrentThread, GetPrivateProfileSectionNamesA, GetPrivateProfileStringA, GetPrivateProfileSectionA, SetLastError, ExpandEnvironmentStringsA, GetEnvironmentVariableA, SetEnvironmentVariableA, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, GetCurrentThreadId, GetCurrentProcess, OpenProcess, TerminateProcess, GetSystemDirectoryA, WritePrivateProfileStringA, lstrcmpA, GetTempPathA, LoadLibraryExA, GetFileAttributesA, DeleteFileA, CopyFileA, GetLocaleInfoA, SetFileAttributesA, lstrcatA, SleepEx, FindResourceA, LoadResource, SearchPathA, GetShortPathNameA, GetModuleFileNameA, GetStartupInfoA, CreateProcessA, LoadLibraryA, GetProcAddress, FreeLibrary, CloseHandle, CreateMutexA, lstrlenA, GetLastError, lstrcpyA, GetVersionExA, WaitForSingleObject
> USER32.dll: GetClassNameA, SendMessageTimeoutA, FindWindowA, EnumWindows, GetLastActivePopup, IsWindow, PostMessageA, ExitWindowsEx, IsIconic, GetClientRect, DrawIcon, MessageBoxA, SystemParametersInfoA, UpdateWindow, KillTimer, SendMessageA, SetTimer, EnableWindow, LoadIconA, MsgWaitForMultipleObjects, PeekMessageA, GetSystemMetrics, DispatchMessageA, TranslateMessage, LoadStringA
> ADVAPI32.dll: RegEnumKeyA, RegDeleteKeyA, RegFlushKey, GetServiceKeyNameA, OpenSCManagerA, CloseServiceHandle, LookupPrivilegeValueA, AdjustTokenPrivileges, GetUserNameA, RegSetValueExA, RegEnumValueA, RegCloseKey, RegCreateKeyExA, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, OpenProcessToken, RegDeleteValueA, RegQueryInfoKeyA, RegOpenKeyExA, RegQueryValueExA
> SHELL32.dll: SHGetSpecialFolderLocation, SHGetPathFromIDListA, SHGetMalloc
> ole32.dll: CoTaskMemFree, CoUninitialize, StringFromCLSID, CLSIDFromProgID, CoInitialize, CoCreateInstance
> OLEAUT32.dll: -, -

( 2 exports )
GetUninstallerPath, RemoveUnusedVersions

*******************************************************

Datei QTTask.exe empfangen 2008.10.23 18:06:55 (CET)
Status: Beendet
Ergebnis: 2/36 (5.56%)


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.22.0 2008.10.23 -
AntiVir 7.9.0.5 2008.10.23 -
Authentium 5.1.0.4 2008.10.23 -
Avast 4.8.1248.0 2008.10.23 -
AVG 8.0.0.161 2008.10.23 -
BitDefender 7.2 2008.10.23 -
CAT-QuickHeal 9.50 2008.10.23 -
ClamAV 0.93.1 2008.10.23 -
DrWeb 4.44.0.09170 2008.10.23 -
eSafe 7.0.17.0 2008.10.22 -
eTrust-Vet 31.6.6164 2008.10.22 -
Ewido 4.0 2008.10.23 -
F-Prot 4.4.4.56 2008.10.23 -
F-Secure 8.0.14332.0 2008.10.23 Suspicious:W32/MicroFake.b!Gemini
Fortinet 3.113.0.0 2008.10.23 -
GData 19 2008.10.23 -
Ikarus T3.1.1.44.0 2008.10.23 -
K7AntiVirus 7.10.505 2008.10.23 -
Kaspersky 7.0.0.125 2008.10.23 -
McAfee 5412 2008.10.23 -
Microsoft 1.4005 2008.10.23 -
NOD32 3549 2008.10.23 -
Norman 5.80.02 2008.10.23 -
Panda 9.0.0.4 2008.10.23 -
PCTools 4.4.2.0 2008.10.23 -
Prevx1 V2 2008.10.23 -
Rising 21.00.32.00 2008.10.23 -
SecureWeb-Gateway 6.7.6 2008.10.23 -
Sophos 4.34.0 2008.10.23 -
Sunbelt 3.1.1747.1 2008.10.23 -
Symantec 10 2008.10.23 -
TheHacker 6.3.1.0.124 2008.10.23 -
TrendMicro 8.700.0.1004 2008.10.23 -
VBA32 3.12.8.8 2008.10.22 suspected of Win32 Shadow AutoStart Install
ViRobot 2008.10.23.1434 2008.10.23 -
VirusBuster 4.5.11.0 2008.10.22 -
weitere Informationen
File size: 413696 bytes
MD5...: 6cd5c3276c83f72677d647f27ee14abd
SHA1..: 78fb733fa12b63aac95524e457e72de628d374c1
SHA256: d609ebaaeb14d9c60785efc3062bebd19bee80b47a53aa415cef6d11658d188b
SHA512: c570cebbcd1d0c9258d283b17cc1a12b7be6ede6eef9152315a6ccf94555d586
bc74d293c579286751e4a4ca602cb0770caeb333940e4536b11e7d959ec210ae
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4273c1
timedatestamp.....: 0x48ba2c7c (Sun Aug 31 05:30:36 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x48275 0x49000 6.20 3294fa4cd6c77a6738e651aa140f5dc0
.rdata 0x4a000 0x4db6 0x5000 5.44 1a0b973f37f4a2ab49f9b60e0afd0c3e
.data 0x4f000 0x3284 0x2000 2.48 15e51fe03aa128f0efe44e5d456f0087
.rsrc 0x53000 0xc5f0 0xd000 5.00 2bd36d688b07b38119f568d0388bdf1d
.reloc 0x60000 0x6450 0x7000 6.06 a41d8e0b74a1516f677471cf4c4d11a5

( 6 imports )
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA
> KERNEL32.dll: GetVersionExA, WaitForSingleObject, CreateProcessA, ResetEvent, SetEvent, WaitForMultipleObjects, Sleep, CreateThread, GetLastError, CreateMutexA, GetSystemDirectoryA, GetModuleHandleA, TerminateProcess, GlobalFree, GlobalAlloc, ReleaseMutex, GetCurrentProcessId, ReadFile, SetStdHandle, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetFilePointer, FindFirstFileA, GetLocaleInfoW, HeapSize, FlushFileBuffers, GetConsoleMode, GetConsoleCP, VirtualAlloc, HeapReAlloc, IsValidLocale, EnumSystemLocalesA, GetLocaleInfoA, GetUserDefaultLCID, GetDateFormatA, GetTimeFormatA, GetStringTypeW, GetStringTypeA, GetSystemTimeAsFileTime, GetTickCount, QueryPerformanceCounter, VirtualFree, HeapCreate, HeapDestroy, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, OpenProcess, FindClose, CloseHandle, LoadLibraryA, GetProcAddress, FreeLibrary, CreateEventA, GetModuleFileNameA, CreateFileA, CompareStringA, CompareStringW, GetTimeZoneInformation, SetEnvironmentVariableA, RaiseException, InitializeCriticalSection, InterlockedExchange, EnterCriticalSection, LeaveCriticalSection, ExitProcess, GetFileAttributesA, RtlUnwind, GetCommandLineA, HeapFree, HeapAlloc, GetProcessHeap, GetStartupInfoA, GetCPInfo, InterlockedIncrement, InterlockedDecrement, GetACP, GetOEMCP, IsValidCodePage, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, GetCurrentThreadId, GetCurrentThread, LCMapStringA, WideCharToMultiByte, MultiByteToWideChar, LCMapStringW, SetHandleCount, GetStdHandle, GetFileType, DeleteCriticalSection, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, FatalAppExitA, WriteFile, SetConsoleCtrlHandler, FreeEnvironmentStringsA
> USER32.dll: LoadIconA, LoadCursorA, RegisterClassExA, CreateWindowExA, SetWindowLongA, GetWindowLongA, DefWindowProcA, PostQuitMessage, LoadMenuA, GetSubMenu, DestroyMenu, SetMenuDefaultItem, GetCursorPos, SetForegroundWindow, TrackPopupMenu, CreatePopupMenu, GetMenuStringA, ModifyMenuA, EnableMenuItem, FindWindowA, GetWindowThreadProcessId, SendMessageA, AppendMenuA, MessageBoxA, LoadStringA, GetMessageA, TranslateMessage, DispatchMessageA, PostMessageA, wsprintfA
> GDI32.dll: GetStockObject
> ADVAPI32.dll: RegDeleteKeyA, RegCreateKeyExA, RegOpenKeyExA, RegQueryInfoKeyA, RegEnumValueA, RegDeleteValueA, RegQueryValueExA, RegSetValueExA, RegCloseKey, RegEnumKeyA
> SHELL32.dll: Shell_NotifyIconA, ShellExecuteA

( 0 exports )

**********************************************************

Datei npbasic.dll empfangen 2008.10.23 18:48:15 (CET)
Status: Beendet
Ergebnis: 1/36 (2.78%)


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.22.0 2008.10.23 -
AntiVir 7.9.0.5 2008.10.23 -
Authentium 5.1.0.4 2008.10.23 -
Avast 4.8.1248.0 2008.10.23 -
AVG 8.0.0.161 2008.10.23 -
BitDefender 7.2 2008.10.23 -
CAT-QuickHeal 9.50 2008.10.23 -
ClamAV 0.93.1 2008.10.23 -
DrWeb 4.44.0.09170 2008.10.23 -
eSafe 7.0.17.0 2008.10.23 -
eTrust-Vet 31.6.6164 2008.10.22 -
Ewido 4.0 2008.10.23 -
F-Prot 4.4.4.56 2008.10.23 -
F-Secure 8.0.14332.0 2008.10.23 -
Fortinet 3.113.0.0 2008.10.23 -
GData 19 2008.10.23 -
Ikarus T3.1.1.44.0 2008.10.23 -
K7AntiVirus 7.10.505 2008.10.23 -
Kaspersky 7.0.0.125 2008.10.23 -
McAfee 5412 2008.10.23 -
Microsoft 1.4005 2008.10.23 -
NOD32 3549 2008.10.23 -
Norman 5.80.02 2008.10.23 -
Panda 9.0.0.4 2008.10.23 Suspicious file
PCTools 4.4.2.0 2008.10.23 -
Prevx1 V2 2008.10.23 -
Rising 21.00.32.00 2008.10.23 -
SecureWeb-Gateway 6.7.6 2008.10.23 -
Sophos 4.34.0 2008.10.23 -
Sunbelt 3.1.1747.1 2008.10.23 -
Symantec 10 2008.10.23 -
TheHacker 6.3.1.0.124 2008.10.23 -
TrendMicro 8.700.0.1004 2008.10.23 -
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.23.1434 2008.10.23 -
VirusBuster 4.5.11.0 2008.10.22 -
weitere Informationen
File size: 11781 bytes
MD5...: fdaa8a1db9e5da61db319678e567e625
SHA1..: b7aaacdc8afada1a33f4a673b7c129642476ce44
SHA256: bb2dc01a2ffd1a09b9968aa6508fe38ac5afb3435dac6537e67f40f23a2a19ac
SHA512: 1c4690aee032cbb20504a03fe2b6e0cf86162906c7bdf70363ff3830338c7219
09240171153011bf4029d20a75acb995b9582c254cb6aeac9c40687a3cacf817
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001f56
timedatestamp.....: 0x48f279ca (Sun Oct 12 22:27:22 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1aae 0x1c00 5.85 d54135d5030bfbb4e28e20341fc8e75f
.data 0x3000 0x11dc 0x200 2.05 be5db5789e524c1aa88882cdd9865687
.CRT 0x5000 0x4 0x200 0.06 f01f1f342839ff76b6775e68ee44b60c
.rsrc 0x6000 0x450 0x600 2.50 bc999faf47730fc7fdb6dc4f7c9e3007
.reloc 0x7000 0x2d6 0x400 4.07 cbdc71092a2aaa1a28cebf774836cd4c

( 6 imports )
> MSVCRT.dll: strcpy, __2@YAPAXI@Z, __3@YAXPAX@Z, memcmp, memset, _EH_prolog, __CxxFrameHandler, _onexit, __dllonexit, __1type_info@@UAE@XZ
> MFC42.DLL: -, -, -, -, -, -, -, -, -
> KERNEL32.dll: LocalAlloc, LocalFree, MultiByteToWideChar, GetProcessHeap, HeapAlloc, CreateThread, GetModuleHandleA, GetLastError
> USER32.dll: DispatchMessageA, TranslateMessage, GetMessageA, MessageBoxA, SetWindowLongA, ShowWindow, GetWindowLongA, GetClientRect, GetClassInfoExA, LoadCursorA, RegisterClassExA, DestroyWindow, DefWindowProcA
> ole32.dll: CoCreateInstance, OleInitialize, CoInitializeEx, OleSetContainedObject, OleRun
> OLEAUT32.dll: -, -

( 3 exports )
NP_GetEntryPoints, NP_Initialize, NP_Shutdown

#8 du sollst
1. malwarebytes updaten vollständigen scan auf allen laufwerken wählen und das log posten.
2. das log von combofix posten!

#9 Danke Virenfinder
Vielleicht habe ich es nichct verständlich genug geschrieben

#10 Ok. Hier also das Malwarebytes-Log:

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1310
Windows 5.1.2600 Service Pack 3

23.10.2008 23:52:29
mbam-log-2008-10-23 (23-52-29).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|F:\|J:\|L:\|M:\|N:\|)
Durchsuchte Objekte: 223992
Laufzeit: 47 minute(s), 33 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

*******************************************************

ComboFix 08-10-23.03 - Benutzer 2008-10-24 0:00:32.7 - NTFSx86


...

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-24 00:03:54
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwEnumerateKey, ZwEnumerateValueKey, ZwQueryDirectoryFile, ZwQuerySystemInformation

Scanne versteckte Prozesse...

C:\WINDOWS\system32\.c9a6b08c96ca8b92\c9a6b08c96ca8b92.exe [1944] 0x895E7BC0

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Datei c9a6b08c96ca8b92core.doc.LNK 614 bytes
C:\WINDOWS\system32\.c9a6b08c96ca8b92

Scan erfolgreich abgeschlossen
versteckte Dateien: 2

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet002\Services\c9a6b08c96ca8b92]
"ImagePath"="C:\WINDOWS\system32\.c9a6b08c96ca8b92\c9a6b08c96ca8b92.exe"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\.c9a6b08c96ca8b92\c9a6b08c96ca8b92.core.dll
.
Zeit der Fertigstellung: 2008-10-24 0:06:56
ComboFix-quarantined-files.txt 2008-10-23 22:06:41
ComboFix2.txt 2008-10-23 18:18:43
ComboFix3.txt 2008-10-23 17:25:21
ComboFix4.txt 2008-10-23 09:21:24
ComboFix5.txt 2008-10-23 21:59:44

Vor Suchlauf: 18 Verzeichnis(se), 141.434.335.232 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 141,419,532,288 Bytes frei

271 --- E O F --- 2008-10-17 08:09:03

#11 mühsam ernährt sich das eichhörnchen.... combofix bitte das GANZE log!!!!
und klar dürfte auch sein, verzichte auf onlinegeschäfte aller art! teile deiner bank unbedingt mit, das du einen rootkit hast deine zugangsdaten müssen DRINGEND geendert werden!!!!

#12 >>
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\c9a6b08c96ca8b92
Folders to delete:
C:\WINDOWS\system32\.c9a6b08c96ca8b92

- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

- Klicke: Execute

- bestätige, dass der Rechner neu gestartet wird - klicke "yes"
- nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

-------------------------------------------------------------------
««
otmoveIt
http://virus-protect.org/artikel/tools/otmoveIt.html
Download OTMoveIt zum Desktop

- öffne: OTMoveIt.exe

- Kopiere rein: im linken (gelb gekennzeichnetem Fenster , wo steht:
Paste Instructions for Items to be Moved

Zitat

[kill explorer]
EmptyTemp
[start explorer]

- Klicke auf den Roten MoveIt!

>>
loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

>>
Wieso postest du nicht das ganze Log von Combofix???

>>
Lade Dir Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in das Feld: "Enter search strings" (reinschreiben oder reinkopieren)

c9a6b08c96ca8b92

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

Gruss Swiss

#13 Hi,

zunächst vielen Dank an die Helfer in diesem Thread. Die empfohlenen Sicherungsmaßnahmen wurden ergriffen!

Kleines Update von mir:

Das Kit hat offenbar fleißig nachgeladen. Inzwischen sind beide Browser auf dem Rechner betroffen. Weiterhin muss ich meinen Eingangsbeitrag insofern korrigieren, dass die Banking-Seiten doch als verschlüsselt (Vorhängeschloss) angezeigt werden. Auch die Fingerprints scheinen zu stimmen. Einziger Anhaltspunkt dafür, dass etwas nicht stimmen kann, ist lediglich die Aufforderung - unmittelbar nach dem Login - sein wegen Missbrauchs gesperrtes Konto doch mit der TAN Nr. XX wieder freizuschalten.

Außerdem ist nun ein weiterer Rechner (Rechner B) befallen. Ich vermute eine Ausbreitung über das Windows-Netzwerk.

Werde nun die vorgeschlagenen Tools ausprobieren.

Das ist nun geschehen. Hier die Logs. Leider besteht die Problematik weiterhin. Beim Aufruf der Bankseite erscheint immer noch die Phishingmaske.

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry key "HKEY_LOCAL_MACHINE\System\ControlSet002\Services\c9a6b08c96ca8b92" deleted successfully.
Folder "C:\WINDOWS\system32\.c9a6b08c96ca8b92" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


**********************************************************************************************

Error: Unable to interpret <[kill explorer]> in the current context!
Error: Unable to interpret <EmptyTemp> in the current context!
Error: Unable to interpret <[start explorer]> in the current context!

OTMoveIt3 by OldTimer - Version 1.0.5.0 log created on 10242008_184715



**********************************************************************

ComboFix 08-10-23.03 - Benutzer 2008-10-24 18:33:13.17 - NTFSx86
Microsoft Windows XP Professional 5.1.26000 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Benutzer\Desktop\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2008-09-24 bis 2008-10-24 ))))))))))))))))))))))))))))))
.

2008-10-24 13:00 . 2008-10-24 13:00 <DIR> d-------- C:\_OTMoveIt
2008-10-24 12:12 . 2008-10-15 18:35 337,408 -----c--- C:\WINDOWS\system32\dllcache\netapi32.dll
2008-10-18 15:14 . 2007-08-01 22:47 102,664 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2008-10-18 01:41 . 2008-10-18 15:21 <DIR> d-------- C:\Dokumente und Einstellungen\Benutzer\.housecall6.6
2008-10-16 18:17 . 2008-10-16 18:17 <DIR> d-------- C:\Programme\Panda Security
2008-10-16 18:17 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys
2008-10-16 18:09 . 2008-10-16 18:09 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-10-16 18:09 . 2008-10-16 18:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-10-15 21:54 . 2008-09-08 12:41 333,824 -----c--- C:\WINDOWS\system32\dllcache\srv.sys
2008-10-15 21:53 . 2008-08-14 15:19 2,191,488 -----c--- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-10-15 21:53 . 2008-08-14 15:19 2,147,840 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-10-15 21:53 . 2008-08-14 15:19 2,068,352 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-10-15 21:53 . 2008-08-14 15:19 2,026,496 -----c--- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-10-15 21:53 . 2008-09-15 17:24 1,846,528 -----c--- C:\WINDOWS\system32\dllcache\win32k.sys
2008-10-12 21:19 . 2008-10-12 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\vlc
2008-10-12 12:32 . 2008-05-02 02:38 301,656 --a------ C:\WINDOWS\system32\BtCoreIf.dll
2008-10-12 12:31 . 2008-10-12 12:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Logishrd
2008-10-01 13:47 . 2008-10-23 10:24 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-01 13:47 . 2008-10-01 13:47 <DIR> d-------- C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\Malwarebytes
2008-10-01 13:47 . 2008-10-01 13:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-01 13:47 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-01 13:47 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-30 10:04 . 2008-09-30 10:04 262,144 --a------ C:\WINDOWS\system32\default_user_class.dat
2008-09-26 11:10 . 2008-09-26 11:33 <DIR> d-------- C:\Programme\CCleaner
2008-09-26 10:20 . 2008-09-26 10:20 5,446,912 --a------ C:\WINDOWS\REGBK05.ZIP
2008-09-26 09:56 . 2008-09-26 09:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-24 13:46 --------- d-----w C:\Programme\Bonjour
2008-10-24 13:39 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-10-24 13:36 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-10-22 22:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-12 10:32 --------- d-----w C:\Programme\Gemeinsame Dateien\Logitech
2008-10-01 18:59 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-09-29 16:40 --------- d-----w C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\gtk-2.0
2008-09-26 14:01 --------- d-----w C:\Programme\Windows Desktop Search
2008-09-23 21:56 --------- d-----w C:\Programme\Java
2008-09-22 21:22 27,056 ----a-w C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-09-18 16:01 --------- d-----w C:\Programme\VideoLAN
2008-09-18 09:27 --------- d-----w C:\Programme\UPHClean
2008-09-17 21:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple
2008-09-17 18:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-09-17 18:25 --------- d-----w C:\Programme\ATI Technologies
2008-09-17 15:56 --------- d-----w C:\Programme\3GP Player
2008-09-17 15:11 --------- d-----w C:\Programme\iTunes
2008-09-17 15:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-09-17 15:10 --------- d-----w C:\Programme\QuickTime
2008-09-17 15:10 --------- d-----w C:\Programme\iPod
2008-09-17 12:18 --------- d-----w C:\Programme\Avira
2008-09-17 12:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-09-17 09:56 --------- d-----w C:\Programme\Yahoo!
2008-09-15 15:24 1,846,528 ----a-w C:\WINDOWS\system32\win32k.sys
2008-09-13 16:24 --------- d-----w C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\Windows Search
2008-09-10 14:26 --------- d-----w C:\Programme\Gemeinsame Dateien\LogiShared
2008-09-10 14:26 --------- d-----w C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\Logitech
2008-09-10 14:25 --------- d-----w C:\Programme\Logitech
2008-09-10 14:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech
2008-09-10 14:22 --------- d-----w C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\InstallShield
2008-09-10 14:22 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LogiShrd
2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-08-26 07:57 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-08-14 13:19 2,147,840 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:19 2,026,496 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-08-01 05:40 9,928,704 ----a-w C:\WINDOWS\system32\atioglxx.dll
2008-08-01 04:58 253,952 ----a-w C:\WINDOWS\system32\atiok3x2.dll
2008-08-01 04:33 425,984 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll
2008-08-01 04:32 311,296 ----a-w C:\WINDOWS\system32\ati2dvag.dll
2008-08-01 04:23 184,320 ----a-w C:\WINDOWS\system32\atipdlxx.dll
2008-08-01 04:23 143,360 ----a-w C:\WINDOWS\system32\Oemdspif.dll
2008-08-01 04:22 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll
2008-08-01 04:22 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe
2008-08-01 04:22 143,360 ----a-w C:\WINDOWS\system32\ati2evxx.dll
2008-08-01 04:21 573,440 ----a-w C:\WINDOWS\system32\ati2evxx.exe
2008-08-01 04:19 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL
2008-08-01 04:10 3,917,568 ----a-w C:\WINDOWS\system32\ati3duag.dll
2008-08-01 03:59 2,183,552 ----a-w C:\WINDOWS\system32\ativvaxx.dll
2008-08-01 03:46 48,640 ----a-w C:\WINDOWS\system32\amdpcom32.dll
2008-08-01 03:42 376,832 ----a-w C:\WINDOWS\system32\atikvmag.dll
2008-08-01 03:40 35,328 ----a-w C:\WINDOWS\system32\atiadlxx.dll
2008-08-01 03:40 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll
2008-08-01 03:39 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll
2008-08-01 03:34 561,152 ----a-w C:\WINDOWS\system32\ati2cqag.dll
2008-07-31 19:05 593,920 ------w C:\WINDOWS\system32\ati2sgag.exe
2006-07-05 04:33 472,000 ----a-w C:\WINDOWS\inf\WPN311\WPN311.sys
2006-03-31 13:38 35,232 ----a-w C:\WINDOWS\inf\WPN311\ME_INST.EXE
2006-03-31 13:38 26,112 ----a-w C:\WINDOWS\inf\WPN311\install.exe
.

((((((((((((((((((((((((((((( snapshot@2008-10-22_17.57.23.90 )))))))))))))))))))))))))))))))))))))))))
.
- 2006-06-08 16:19:52 5,967,776 ----a-w C:\WINDOWS\system32\MRT.exe
+ 2008-10-07 10:19:42 16,721,856 ----a-w C:\WINDOWS\system32\MRT.exe
- 2008-04-14 02:22:19 337,408 ----a-w C:\WINDOWS\system32\netapi32.dll
+ 2008-10-15 16:35:02 337,408 ----a-w C:\WINDOWS\system32\netapi32.dll
- 2008-09-26 09:27:55 86,812 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-10-24 13:49:05 85,602 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-09-26 09:27:55 71,954 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-10-24 13:49:05 70,744 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-09-26 09:27:55 443,498 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-10-24 13:49:05 440,814 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-09-26 09:27:55 423,376 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-10-24 13:49:05 420,692 ----a-w C:\WINDOWS\system32\perfh009.dat
.
((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
----a-w 408,064 2006-12-02 22:37:52 C:\Programme\Windows Media Player\bak\WMPNSCFG.exe
------w 204,288 2006-11-03 08:56:34 C:\Programme\Windows Media Player\wmpnscfg.exe

.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
"LDM"="C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2008-09-10 67128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-30 344064]
"Sunkist2k"="C:\Programme\Multimedia Card Reader\shwicon2k.exe" [2004-12-10 139264]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"NVIDIA nTune"="C:\Programme\NVIDIA Corporation\nTune\\nTune.exe" [2004-12-06 532480]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-09-10 289576]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-07-16 61440]
"SoundMan"="SOUNDMAN.EXE" [2005-04-15 C:\WINDOWS\SOUNDMAN.EXE]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 C:\WINDOWS\KHALMNPR.Exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 C:\WINDOWS\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

C:\Dokumente und Einstellungen\Benutzer\Startmen�\Programme\Autostart\
Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]
UMAX VistaAccess.lnk - C:\VSTASCAN\vsaccess.exe [2006-03-19 158208]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]
Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-09-10 67128]
Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\SetPoint.exe [2008-10-12 805392]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
NETGEAR WPN311 Wireless Assistant.lnk - C:\Programme\NETGEAR\WPN311\wlancfg5.exe [2006-09-15 1503232]
USB Sharing.lnk - C:\Programme\USB Sharing\usbshare.exe [2006-04-01 139264]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 02:42 72208 c:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^NETGEAR WPN311 Smart Wizard.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\NETGEAR WPN311 Smart Wizard.lnk
backup=C:\WINDOWS\pss\NETGEAR WPN311 Smart Wizard.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2005-06-23 21:33 57344 C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-09-10 17:40 289576 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 16:40 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-09-06 15:09 413696 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-06-22 15:40 185896 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=2 (0x2)
"ufad-ws60"=3 (0x3)
"iPod Service"=3 (0x3)
"IDriverT"=3 (0x3)
"Adobe LM Service"=3 (0x3)
"Apple Mobile Device"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 28544]
R2 io.sys;IO.DLL Driver;C:\WINDOWS\system32\drivers\io.sys [2008-06-01 5152]
R2 PPCLASS;PPCLASS;C:\WINDOWS\system32\drivers\PPCLASS.sys [1997-04-09 85868]
R2 PPSCAN;PPSCAN;C:\WINDOWS\system32\drivers\PPSCAN.sys [1999-02-10 120544]
.
Inhalt des "geplante Tasks" Ordners

2008-10-10 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\Mozilla\Firefox\Profiles\qgt54vjj.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npbasic.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-24 18:33:58
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-24 18:36:04
ComboFix-quarantined-files.txt 2008-10-24 16:35:59
ComboFix2.txt 2008-10-24 16:29:51
ComboFix3.txt 2008-10-24 16:22:13
ComboFix4.txt 2008-10-24 16:02:09
ComboFix5.txt 2008-10-24 16:33:04

Vor Suchlauf: 19 Verzeichnis(se), 142.633.721.856 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 142,615,629,824 Bytes frei

226 --- E O F --- 2008-10-24 10:14:09


*********************************************************************




Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 24.10.2008 18:40:05 for strings:
; 'c9a6b08c96ca8b92'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_C9A6B08C96CA8B92]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_C9A6B08C96CA8B92\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_C9A6B08C96CA8B92\0000]
"Service"="c9a6b08c96ca8b92"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_C9A6B08C96CA8B92]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_C9A6B08C96CA8B92\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_C9A6B08C96CA8B92\0000]
"Service"="c9a6b08c96ca8b92"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_C9A6B08C96CA8B92]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_C9A6B08C96CA8B92\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_C9A6B08C96CA8B92\0000]
"Service"="c9a6b08c96ca8b92"

; End Of The Log...

#14 sdfix laden und posten:
http://virus-protect.org/artikel/tools/sdfix.html

#15 SDFix: Version 1.237
Run by Benutzer on 24.10.2008 at 21:43

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-24 21:52:38
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:65,b4,27,96,7d,2e,36,99,f6,15,c6,8e,d9,60,f4,2c,2d,66,d3,c9,27,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,0c,25,c4,03,6d,e7,35,39,3c,4d,88,86,10,69,d9,9c,02,..
"khjeh"=hex:75,aa,81,8d,3d,fb,e4,c9,6f,a3,72,c8,44,11,8e,9e,61,76,5a,3d,97,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:0f,a8,8b,51,d4,08,5a,d1,00,37,6e,54,74,b3,37,19,8c,a3,3c,c4,3a,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:65,b4,27,96,7d,2e,36,99,f6,15,c6,8e,d9,60,f4,2c,2d,66,d3,c9,27,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,0c,25,c4,03,6d,e7,35,39,3c,4d,88,86,10,69,d9,9c,02,..
"khjeh"=hex:75,aa,81,8d,3d,fb,e4,c9,6f,a3,72,c8,44,11,8e,9e,61,76,5a,3d,97,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:87,72,ff,f6,ed,d1,79,c7,20,f4,7b,b1,60,c1,56,20,2c,d5,6d,b2,2f,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:65,b4,27,96,7d,2e,36,99,f6,15,c6,8e,d9,60,f4,2c,2d,66,d3,c9,27,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,0c,25,c4,03,6d,e7,35,39,3c,4d,88,86,10,69,d9,9c,02,..
"khjeh"=hex:75,aa,81,8d,3d,fb,e4,c9,6f,a3,72,c8,44,11,8e,9e,61,76,5a,3d,97,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:87,72,ff,f6,ed,d1,79,c7,20,f4,7b,b1,60,c1,56,20,2c,d5,6d,b2,2f,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:65,b4,27,96,7d,2e,36,99,f6,15,c6,8e,d9,60,f4,2c,2d,66,d3,c9,27,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,0c,25,c4,03,6d,e7,35,39,3c,4d,88,86,10,69,d9,9c,02,..
"khjeh"=hex:75,aa,81,8d,3d,fb,e4,c9,6f,a3,72,c8,44,11,8e,9e,61,76,5a,3d,97,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:87,72,ff,f6,ed,d1,79,c7,20,f4,7b,b1,60,c1,56,20,2c,d5,6d,b2,2f,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]
"OODEFRAG08.00.00.01WORKSTATION"="
scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"="C:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe:*isabled:Nero Home"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"

Remaining Files :



Files with Hidden Attributes :

Sat 23 Aug 2008 635,848 A.SH. --- "C:\Programme\Internet Explorer\iexplore.exe"
Mon 14 Apr 2008 60,416 A.SH. --- "C:\Programme\Outlook Express\msimn.exe"
Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDHelper.dll"
Wed 30 Jul 2008 1,429,840 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Wed 30 Jul 2008 4,891,984 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Tue 16 Sep 2008 1,833,296 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Sat 23 Dec 2006 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Sun 3 Dec 2006 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Sun 23 Sep 2007 165,232 A..H. --- "C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\Microsoft\Virtual PC\VPCKeyboard.dll"

Finished!