Msqpdxserv.sys Hidden Einträge im Filesystem und der Registry |
||
---|---|---|
#0
| ||
13.01.2009, 17:10
Member
Beiträge: 11 |
||
|
||
13.01.2009, 17:53
Ehrenmitglied
Beiträge: 6028 |
#2
Start > Ausführen> Kopiere rein ComboFix /U OK
Malwarebytes Anti-Malware fuer Windows NT/2000/XP/2003 Server/Vista/2008 Server Download link 1 MalwareBytes' Anti-Malware Download link 2 MalwareBytes' Anti-Malware Download link 3 MalwareBytes' Anti-Malware Download link 4 MalwareBytes' Anti-Malware Download link 5 MalwareBytes' Anti-Malware Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet Wähle bei Reiter: “Update “> klicke “Suche nache Aktualisierungen “ “Einstellungen“ hake an “Beende Inter Explorer während des Löschvorgangs“ “Scanner”> "Vollständigen Suchlauf durchführen". Scan laufen lassen Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen Starte dein Rechner neu Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt) Poste dessen inhalt hier ins Forum Note: Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK Danach wird gefragt den Rechner neu zu starten,lass es zu Malwarebytes Anti-Malware kann man nachher behalten ! __________ MfG Argus |
|
|
||
14.01.2009, 01:00
Ehrenmitglied
Beiträge: 6028 |
#3
Und scanne auch noch mit
superantispyware http://board.protecus.de/t31252-1.htm __________ MfG Argus |
|
|
||
14.01.2009, 16:06
Member
Themenstarter Beiträge: 11 |
#4
Hallo Argus,
danke für Deine Vorschläge. 1.Der MabM Log die 2 Infekte waren von einem anderen Virusprogramm in Quarantäne, jetzt gelöscht! Malwarebytes' Anti-Malware 1.32 Datenbank Version: 1616 Windows 5.1.2600 Service Pack 3 14.01.2009 14:32:55 mbam-log-2009-01-14 (14-32-55).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 270012 Laufzeit: 1 hour(s), 12 minute(s), 4 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Qoobox\Quarantine\C\WINDOWS\system32\msqpdxodlsbpjn.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{831BEE6A-F8EF-4DE0-B437-AA8916E71A66}\RP1614\A0321659.dll (Trojan.TDSS) -> Quarantined and deleted successfully. Dann die 2. Suche mit dem Superantispyware hier erstaunte mich, daß den den Trojaner bisher nie einer beim Scan fand. Dieser steht noch in Quarantäne aber den würde ich gerne auch löschen? Habe mal gelesen, daß selbst gelöscht enoch vorhanden wären :-(( SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 01/14/2009 at 03:27 PM Application Version : 4.24.1004 Core Rules Database Version : 3708 Trace Rules Database Version: 1683 Scan type : Complete Scan Total Scan Time : 00:37:13 Memory items scanned : 519 Memory threats detected : 0 Registry items scanned : 7207 Registry threats detected : 0 File items scanned : 33892 File threats detected : 26 Adware.Tracking Cookie C:\Dokumente und Einstellungen\dieter\Cookies\dieter@xiti[2].txt C:\Dokumente und Einstellungen\dieter\Cookies\dieter@smartadserver[1].txt C:\Dokumente und Einstellungen\dieter\Cookies\dieter@www.unitymediaforum[2].txt C:\Dokumente und Einstellungen\dieter\Cookies\dieter@unitymediaforum[2].txt C:\Dokumente und Einstellungen\dieter\Cookies\dieter@overture[1].txt C:\Dokumente und Einstellungen\dieter\Cookies\dieter@adfarm1.adition[1].txt C:\Dokumente und Einstellungen\dieter\Cookies\dieter@adtech[1].txt C:\Dokumente und Einstellungen\dieter\Cookies\dieter@board[2].txt C:\Dokumente und Einstellungen\dieter\Cookies\dieter@adbrite[1].txt .hitbox.com [ C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\7zn1w0x9.default\cookies.txt ] .hitbox.com [ C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\7zn1w0x9.default\cookies.txt ] .ehg-ati.hitbox.com [ C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\7zn1w0x9.default\cookies.txt ] C:\Dokumente und Einstellungen\dieter\Cookies\dieter@tracking.lsfinteractive[1].txt C:\Dokumente und Einstellungen\dieter\Cookies\dieter@ad.zanox[1].txt C:\Dokumente und Einstellungen\dieter\Cookies\dieter@ads.planetactive[2].txt C:\Dokumente und Einstellungen\dieter\Cookies\dieter@media.hotels[2].txt C:\Dokumente und Einstellungen\dieter\Cookies\dieter@myaccount.sparvoip[2].txt C:\Dokumente und Einstellungen\dieter\Cookies\dieter@burstnet[2].txt C:\Dokumente und Einstellungen\dieter\Cookies\dieter@burstnet[3].txt C:\Dokumente und Einstellungen\dieter\Cookies\dieter@myaccount.webcalldirect[1].txt C:\Dokumente und Einstellungen\dieter\Cookies\dieter@myaccount.webcalldirect[2].txt C:\Dokumente und Einstellungen\dieter\Cookies\dieter@myaccount.webcalldirect[3].txt C:\Dokumente und Einstellungen\dieter\Cookies\dieter@myaccount.webcalldirect[4].txt C:\Dokumente und Einstellungen\dieter\Cookies\dieter@adverticum[1].txt C:\Dokumente und Einstellungen\dieter\Cookies\dieter@adverticum[3].txt Trojan.Dropper/Gen C:\PROGRAMME\OLYMPUS\MASTER.PRO.V4.3.WINALL\OLYMPUS CAMEDIA.MASTER PRO.V4.3\OLYMPUS.CAMEDIA.MASTER.PRO.V4.3.WINALL\USB\UNINSTAL.EXE Gruss Dieter |
|
|
||
14.01.2009, 18:35
Ehrenmitglied
Beiträge: 6028 |
#5
Update MBAM und scanne nochmal
deins Datenbank Version: 1616 meins Datenbank Version: 1653 darf auch ein Quickscan sein __________ MfG Argus |
|
|
||
14.01.2009, 23:43
Member
Themenstarter Beiträge: 11 |
#6
Mache ich morgen Argus,
vielleicht kannst Du mir das noch erklären wenn ich einen Trojaner oder Virus aus der Quarantäne lösche wie der dann wirklich gelöscht wird? Danke Dieter |
|
|
||
15.01.2009, 01:54
Moderator
Beiträge: 5694 |
#7
Wie meinst du dass? Also bei Combofix z.B. sind die Dateien entgültig weg nach dem es entfernt ist. Befindet sich unter: C:\QooBox.
Wenn man den Quarantänr Ordner löscht dann sollte alles weg sein. >> Mach nach dem Scan mit Malwarebytes noch folgendes: >> Start - Ausführen - gib ein: regedit [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "UpdatesDisableNotify"=dword:00000001 - in 0 ändern rechtsklick auf den Eintrag auf UpdatesDisableNotify die 1 wegklicken und 0 reinschreiben, dann abspeichern >> Lade Dir Registry Search by Bobbi Flekman und doppelklicken, um zu starten. in das Feld: "Enter search strings" (reinschreiben oder reinkopieren) msqpdx in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. Gruss Swiss Für mich: Zitat KILLALL:: Dieser Beitrag wurde am 15.01.2009 um 01:59 Uhr von Tonstudio editiert.
|
|
|
||
15.01.2009, 09:27
Member
Themenstarter Beiträge: 11 |
#8
hallo Tonstudio,
wie Du wahrscheinlich in meinem Startpost überlesen hast, ist mein Msqpdx..... kompülett mit ombofix weg. Habe den Rechner heute Nacht mal am Internet hängen gelassen, ob es doch noch ein Rootkit gibt der Schadsoftware nachlädt. Der Test kommt gegen 11 Uhr OK Der Superantispyware fand dann ja den Virus im c:\Qobox und habe ihn löschen lassen. Den zweiten Dropper ebnfallls. Werde heute nach den beiden Tests die Logs nochmal einstellen wie von Argus gewünscht. Selber hatte ich ein gutes Gefühl. Der Rechner ist auch wieder sehr schnell geworden. |
|
|
||
15.01.2009, 14:34
Moderator
Beiträge: 5694 |
#9
Zitat wie Du wahrscheinlich in meinem Startpost überlesen hast, ist mein Msqpdx.....Ich will nur sehen ob auch in der Registry alles raus ist. Gruss Swiss |
|
|
||
15.01.2009, 15:56
Member
Themenstarter Beiträge: 11 |
#10
@tonstudio
Hallo OK verstehe. Hier das Log von Registry Search Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.6.0 ; Results at 15.01.2009 15:50:40 for strings: ; 'msqpdx' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... @Argus Hier das neue MBAM Malwarebytes' Anti-Malware 1.33 Datenbank Version: 1654 Windows 5.1.2600 Service Pack 3 15.01.2009 13:32:12 mbam-log-2009-01-15 (13-32-12).txt Scan-Methode: Vollständiger Scan (C:\) Durchsuchte Objekte: 273029 Laufzeit: 1 hour(s), 22 minute(s), 21 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) und noch mal durchgesannt mit Superantspyware SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 01/15/2009 at 02:54 PM Application Version : 4.24.1004 Core Rules Database Version : 3708 Trace Rules Database Version: 1683 Scan type : Complete Scan Total Scan Time : 00:35:51 Memory items scanned : 516 Memory threats detected : 0 Registry items scanned : 7149 Registry threats detected : 0 File items scanned : 33940 File threats detected : 1 Adware.Tracking Cookie C:\Dokumente und Einstellungen\Dieter\Cookies\dieter@adtech[1].txt Danke für eure Super Hilfe. ich glaube der Rechner ist sauber, werde die nächsten Wochen immer wieder checken und auch die IP`s nicht dass da wieder die Ukraine kommt. Die können nicht nur ihr Gas behalten, sondern auch alle anderen Tierchen ;-) |
|
|
||
15.01.2009, 18:02
Moderator
Beiträge: 5694 |
#11
Jo dann hätten wirs
DU kannst auch noch ab und zu einen Onlinescan machen. Hier eine Auswahl: http://virus-protect.org/onlinescan.html Gruss Swiss |
|
|
||
15.01.2009, 18:18
Member
Themenstarter Beiträge: 11 |
||
|
||
15.01.2009, 18:41
Moderator
Beiträge: 5694 |
#13
Nei wenn du wieder auf 0 setzt dann ist die Meldung für WindowsUpdates ausgeschalten. Und es ist wichtig dass du immer Benachrichtigt wirst wenn neue Updates vorhanden sind
Siehe auch hier: http://www.winfaq.de/faq_html/Content/tip2000/onlinefaq.php?h=tip2122.htm Gruss Swiss |
|
|
||
16.01.2009, 12:40
Member
Themenstarter Beiträge: 11 |
#14
hallo Argus
hallo Swiss danke für eure Mühe. Ihr habt mir geholfen, das Rootkit zu besiegen. Passworte habe ich trotz allem ausgetauscht, Banking mache ich nur per HBCI. Da droht keine Gefahr. Gmer lasse ich jetzt täglich einmal starten (geht ja fix) um zu sehen ob alles rein ist. Danke, danke, danke Grüsse Dieter |
|
|
||
24.01.2009, 12:59
Member
Themenstarter Beiträge: 11 |
#15
Zum Abschluss.
Prüfe meinen Rechner mit wieistmeineip und traceroute. Das macht alles wieder einen ganz normalen Eindruck. Danke nochmals Dieter |
|
|
||
bin durch einen User auf euer Forum aufmerksam geworden.
Habe schon überall gelesen und bei Avira nachgefragt, aber " Du mußt das System neu aufsetzen, hat es letztendlich nichts gebracht.
Schon daß der C:\resycled\Boot.com Virus mit Avira nicht gefunden wird ist schon heftig.
Aber OK, ist ja die Freeversion ;-) .
Habe mit Gmer versucht, der findet es sofort aber er bekommt es nicht weg.
Auch diese Seite http://www.spywarevoid.com/remove-msqpdxservsys-trojan.html half nicht.
Meine Hidden Files in der Registry sahen mit Rootkit Häkchen und Avira Free so aus:
Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\msqpdxserv.sys\modules
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\msqpdxserv.sys\start
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\msqpdxserv.sys\type
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\msqpdxserv.sys\imagepath
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\msqpdxserv.sys\group
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\msqpdxserv.sys\modules
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\msqpdxserv.sys\start
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\msqpdxserv.sys\type
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\msqpdxserv.sys\imagepath
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\msqpdxserv.sys\group
[INFO] Der Registrierungseintrag ist nicht sichtbar.
Es wurden '77290' Objekte überprüft, '10' versteckte Objekte wurden gefunden.
Der Gmer findet diesen Übeltäter in Services, in Rot geschrieben
Module
---- Services - GMER 1.0.14 ----
Service system32\drivers\msqpdxyuhylqjg.sys (*** hidden ***) [SYSTEM] msqpdxserv.sys <-- ROOTKIT !!!
---- Registry - GMER 1.0.14 ----
Nun habe ich auf den Tipp hin Combofix laufen lassen,
Boah,
der hat trotz einiger Fehlermeldungen die Registry gesäubert.
Ich sollte mal das Combofix.log hier einstellen und bitte euch mal drüber zu schauen, ob das Mistviehch jetzt wirklich weg ist. Und das Log OK ist.
Wie gesagt das System hat keine Hidden Files mehr.
Ich bedanke mich schon mal recht herzlich für die Hilfe
Gruß Dieter
---------------------------------------------------------------------------
ComboFix 09-01-11.04 - Rechner1 2009-01-13 15:25:13.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.2022.1565 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Rechner1\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Outdated)
[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\patchw32.A290.dll
c:\windows\pw32a0.dll
c:\windows\system\msvbvm60.dll
c:\windows\system32\drivers\msqpdxyuhylqjg.sys
c:\windows\system32\mdm.exe
c:\windows\system32\msqpdxodlsbpjn.dll
c:\windows\system32\system
c:\windows\system32\system\msxml4.dll
c:\windows\system32\system\msxml4r.dll
c:\windows\system32\x64
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_MSQPDXSERV.SYS
((((((((((((((((((((((( Dateien erstellt von 2008-12-13 bis 2009-01-13 ))))))))))))))))))))))))))))))
.
2009-01-13 14:58 . 2009-01-13 14:58 0 ---hs---- c:\windows\SFE5BDAAD.tmp
2009-01-13 14:55 . 2009-01-13 15:10 250 --a------ c:\windows\gmer.ini
2009-01-01 15:33 . 2009-01-01 15:33 971,552 --a------ c:\windows\system32\drivers\tdrpm174.sys
2009-01-01 15:33 . 2009-01-01 15:33 134,272 --a------ c:\windows\system32\drivers\snman380.sys
2009-01-01 15:32 . 2009-01-01 15:33 <DIR> d-------- c:\programme\Gemeinsame Dateien\Acronis
2009-01-01 15:32 . 2009-01-01 15:32 <DIR> d-------- c:\programme\Acronis
2009-01-01 14:13 . 2009-01-01 14:15 <DIR> d-------- c:\temp\amp
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-13 14:17 --------- d-----w c:\dokumente und einstellungen\Rechner1\Anwendungsdaten\Skype
2009-01-13 12:49 --------- d-----w c:\programme\Alcohol Soft
2009-01-01 14:37 --------- d-----w c:\dokumente und einstellungen\Dieter\Anwendungsdaten\Skype
2009-01-01 14:36 --------- d-----w c:\dokumente und einstellungen\Dieter\Anwendungsdaten\Acronis
2009-01-01 14:33 540,000 ----a-w c:\windows\system32\drivers\timntr.sys
2009-01-01 14:33 44,704 ----a-w c:\windows\system32\drivers\tifsfilt.sys
2009-01-01 14:14 --------- d-----w c:\programme\Symantec
2009-01-01 14:10 --------- d-----w c:\programme\Gemeinsame Dateien\Symantec Shared
2009-01-01 14:10 --------- d-----w c:\dokumente und einstellungen\Dieter\Anwendungsdaten\Symantec
2009-01-01 12:45 --------- d-----w c:\dokumente und einstellungen\Dieter\Anwendungsdaten\DVD Profiler
2009-01-01 09:19 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-01-01 08:54 --------- d-----w c:\programme\dialwin
2009-01-01 08:44 --------- d-----w c:\dokumente und einstellungen\Dieter\Anwendungsdaten\skypePM
2008-12-29 06:41 --------- d-----w c:\dokumente und einstellungen\Dieter\Anwendungsdaten\Lavasoft
2008-12-15 15:19 --------- d-----w c:\programme\FreePDF_XP
2008-12-11 13:40 15,464 ----a-w c:\windows\system32\drivers\GEARAspiWDM.sys
2008-12-06 17:33 --------- d-----w c:\programme\Java
2008-11-18 21:55 --------- d-----w c:\programme\Mozilla Thunderbird
2008-11-14 16:42 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-11-10 04:43 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-09-23 19:57 20 ---h--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\PKP_DLea.DAT
2008-03-13 05:19 32 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2005-12-04 08:33 129 ----a-w c:\programme\MIB2ROM.TXT
2004-11-17 07:46 6,924,396 ----a-w c:\dokumente und einstellungen\Dieter\setup.exe
1999-03-11 17:22 99,840 ----a-w c:\programme\Gemeinsame Dateien\IRAABOUT.DLL
1998-12-09 02:53 70,144 ----a-w c:\programme\Gemeinsame Dateien\IRAMDMTR.DLL
1998-12-09 02:53 48,640 ----a-w c:\programme\Gemeinsame Dateien\IRALPTTR.DLL
1998-12-09 02:53 31,744 ----a-w c:\programme\Gemeinsame Dateien\IRAWEBTR.DLL
1998-12-09 02:53 186,368 ----a-w c:\programme\Gemeinsame Dateien\IRAREG.DLL
1998-12-09 02:53 17,920 ----a-w c:\programme\Gemeinsame Dateien\IRASRIAL.DLL
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-14 68856]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-02-01 21898024]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-03-28 413696]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VOBRegCheck"="c:\windows\System32\VOBREGCheck.exe" [2003-01-08 153088]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2005-05-27 147456]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-06-16 221184]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-06-16 81920]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-03-30 267048]
"ipTray.exe"="c:\programme\Intel\IDU\iptray.exe" [2006-12-28 2242328]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-01-05 98304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-01-05 114688]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-01-05 94208]
"IAAnotif"="c:\programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-10-03 178712]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-03-28 413696]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"IntelAudioStudio"="c:\programme\Intel Audio Studio\IntelAudioStudio.exe" [2008-03-27 9142272]
"SysTrayApp"="c:\programme\IDT\WDM\sttray.exe" [2008-04-10 413696]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2008-11-27 4386336]
"AcronisTimounterMonitor"="c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2008-11-27 962584]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2008-11-27 165144]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HdAShCut.exe]
"SoundMan"="SOUNDMAN.EXE" [2005-03-02 c:\windows\SOUNDMAN.EXE]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\Dieter\Startmen\Programme\Autostart\
Rainlendar.lnk - c:\demo\Rainlendar-kalender\Rainlendar.exe [2006-01-21 118784]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk - c:\treiber\WIDCOMM\BTTray.exe [2004-10-01 565309]
talk&surf 6.0.lnk - c:\dokumente und einstellungen\Dieter\Eigene Dateien\Gigaset 4175\talk&surf\seshel21.exe [2008-12-19 249856]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.PIM2"= RALCodec.dll
"VIDC.MJPG"= Pvmjpg21.dll
"VIDC.PIM1"= pclepim1.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WinFaxAppPortStarter"=wfxsnt40.exe
"WFXSwtch"=c:\progra~1\WinFax\WFXSWTCH.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"NeroCheck"=c:\windows\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Demo\\SparVoip\\SparVoip.exe"=
"c:\\Demo\\WebCallDirect\\WebCallDirect.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
R0 snapman380;Acronis Snapshots Manager (Build 380);c:\windows\system32\drivers\snman380.sys [2009-01-01 134272]
R0 tdrpman174;Acronis Try&Decide and Restore Points filter (build 174);c:\windows\system32\drivers\tdrpm174.sys [2009-01-01 971552]
R1 LStone;Pinnacle Systems Studio AV/DV Overlay;c:\windows\system32\drivers\LStone2k.sys [2003-10-27 256113]
R1 MemAlloc;MemAlloc;c:\windows\system32\drivers\MemAlloc.sys [2003-10-27 5543]
R3 DectEnum;DectEnum;c:\windows\system32\drivers\DectEnum.sys [2005-03-01 8448]
R3 fhlppppoe;PPPOE/ADSL miniport;c:\windows\system32\drivers\fhlpppoe.sys [2004-12-31 49264]
R3 HRCMPA;ISDN Wan driver (Ver. 1.20.0032);c:\windows\system32\drivers\hrcmpa.sys [2004-09-08 263751]
R4 osaio;osaio;c:\windows\system32\drivers\osaio.sys [2008-07-23 6784]
R4 Transbase;Transbase;c:\demos\BMW95ETK\7-2007\transbase\tbmux32.exe [2007-09-19 385024]
S3 Atkcfg;Cordless Device Configuration;c:\windows\system32\drivers\atkcfg.sys [2006-04-26 46592]
S3 AVMUNET;AVM FRITZ!Box;c:\windows\system32\drivers\avmunet.sys [2007-01-22 15104]
S3 camvid20;Philips ToUcam Camera; Video;c:\windows\system32\drivers\camdrv21.sys [2005-03-22 223232]
S3 Gig5gu;Cordless Internet Access;c:\windows\system32\drivers\gig5gu.sys [2006-04-26 55680]
S3 Gigsrf;Cordless Device Line Access;c:\windows\system32\drivers\gigsrf.sys [2006-04-26 94592]
S3 Gigtnc;Cordless PC Control;c:\windows\system32\drivers\gigtnc.sys [2006-04-26 45440]
S3 Gigusb;Dect USB Driver;c:\windows\system32\drivers\Gigusb.sys [2005-03-01 53632]
S3 IUAPIWDM;ISDN USB Interface (Ver. 1.20.0032);c:\windows\system32\drivers\IUAPIWDM.sys [2004-09-08 50759]
S3 scsiscan;SCSI-Scannertreiber;c:\windows\system32\drivers\scsiscan.sys [2004-03-21 11520]
S3 siellif;siellif;c:\windows\system32\drivers\siellif.sys [2005-03-01 113408]
S3 Sieupapp;Cordless Device Update;c:\windows\system32\drivers\sieupapp.sys [2006-04-26 32128]
S3 Sieupdfu;Cordless Device in update mode;c:\windows\system32\drivers\sieupdfu.sys [2006-04-26 32000]
S3 Winacusb;Winacusb;c:\windows\system32\DRIVERS\winacusb.sys --> c:\windows\system32\DRIVERS\winacusb.sys [?]
S3 xControlCOM;xControlCOM;c:\dokumente und einstellungen\Dieter\Eigene Dateien\Gigaset 4175\talk&surf\xcontrolcom.exe [2008-12-19 327680]
S4 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" --> c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [?]
S4 Nlaidsament;Nlaidsament;c:\windows\system32\drivers\bthenum.sys [2004-11-04 17024]
--- Other Services/Drivers In Memory ---
*Deregistered* - uphcleanhlp
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv REG_MULTI_SZ Tapisrv
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKLM-Run-TkBellExe - c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
MSConfigStartUp-Norton Ghost 14 - c:\programme\Norton Ghost\Agent\VProTray.exe
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Google Search - c:\programme\google\GoogleToolbar1.dll/cmsearch.html
IE: &Translate English Word - c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
IE: Backward Links - c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
IE: Cached Snapshot of Page - c:\programme\google\GoogleToolbar1.dll/cmcache.html
IE: Similar Pages - c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
IE: Translate Page into English - c:\programme\google\GoogleToolbar1.dll/cmtrans.html
IE: {{B4E30F61-16D9-11D3-85D1-005004229569} - {85E0B172-04FA-11D1-B7DA-00A0C90348D6} - c:\lotus\org6\organize\bandobjs.dll
TCP: {5AD657F3-A398-4E9E-ACB8-68FFED09784C} = 192.168.178.1
FF - ProfilePath -
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-13 15:26:50
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"cd042efbbd7f7af1647644e76e06692b"=hex:c8,28,51,af,b0,29,a3,98,c0,63,7e,08,7f,
f2,2c,c9,e2,63,26,f1,3f,c8,ff,68,8b,46,eb,7b,67,5c,8a,e8,e2,63,26,f1,3f,c8,\
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61,af,45,84,18,28,18,93,89,11,
22,0e,7f,6a,9c,d6,61,af,45,84,18,56,4c,47,be,5f,1d,7e,cf,6a,9c,d6,61,af,45,\
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2c81e34222e8052573023a60d06dd016"=hex:25,da,ec,7e,55,20,c9,26,1a,7d,39,f7,67,
79,dd,c4,ff,7c,85,e0,43,d4,0e,fe,24,bf,94,e9,85,e7,eb,9b,ff,7c,85,e0,43,d4,\
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2582ae41fb52324423be06337561aa48"=hex:3e,1e,9e,e0,57,5a,93,61,e7,d3,0a,c7,67,
25,1f,f5,86,8c,21,01,be,91,eb,e7,9f,c4,f9,d2,18,70,bc,1f,86,8c,21,01,be,91,\
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"caaeda5fd7a9ed7697d9686d4b818472"=hex:f5,1d,4d,73,a8,13,5c,05,a4,bc,84,dc,7d,
7c,6d,7e,f5,1d,4d,73,a8,13,5c,05,70,79,c2,86,9c,46,20,36,f5,1d,4d,73,a8,13,\
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:df,20,58,62,78,6b,cf,c8,95,2e,70,c9,e1,
d7,05,0a,df,20,58,62,78,6b,cf,c8,c9,39,06,fc,ff,a8,2c,ea,df,20,58,62,78,6b,\
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"4d370831d2c43cd13623e232fed27b7b"=hex:fb,a7,78,e6,12,2f,9a,ea,0f,ce,90,f4,4b,
75,64,90,fb,a7,78,e6,12,2f,9a,ea,17,3f,4f,77,f0,42,85,5c,fb,a7,78,e6,12,2f,\
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1d68fe701cdea33e477eb204b76f993d"=hex:83,6c,56,8b,a0,85,96,ab,35,ae,29,4d,fa,
58,88,e0,01,3a,48,fc,e8,04,4a,f1,4b,09,cc,1e,7e,02,e0,f9,01,3a,48,fc,e8,04,\
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:f6,0f,4e,58,98,5b,89,c9,b9,4f,56,05,33,
04,c5,fd,f6,0f,4e,58,98,5b,89,c9,b0,42,a0,ed,2c,34,b5,7e,f6,0f,4e,58,98,5b,\
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"f5f62a6129303efb32fbe080bb27835b"=hex:b1,cd,45,5a,a8,c4,f8,b9,a4,aa,40,62,2d,
0d,88,21,3d,ce,ea,26,2d,45,aa,78,63,ab,d5,a3,a9,f5,92,09,3d,ce,ea,26,2d,45,\
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:2a,b7,cc,b5,b9,7f,41,e7,dd,59,6e,d6,b8,
1c,a7,03,2a,b7,cc,b5,b9,7f,41,e7,57,e8,c1,34,fd,5b,51,0d,2a,b7,cc,b5,b9,7f,\
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"8a8aec57dd6508a385616fbc86791ec2"=hex:fa,ea,66,7f,d4,3b,6b,70,a8,27,ef,4d,97,
ce,62,7f,6c,43,2d,1e,aa,22,2f,9c,68,cc,ba,c6,ec,0a,b3,81,6c,43,2d,1e,aa,22,\
[HKEY_LOCAL_MACHINE\software\Enroute Imaging\QuickStitch\* "!]
"NumOfRun"="3"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(1140)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-01-13 15:27:54
ComboFix-quarantined-files.txt 2009-01-13 14:27:52
Vor Suchlauf: 33 Verzeichnis(se), 261,829,619,712 Bytes frei
Nach Suchlauf: 33 Verzeichnis(se), 261,890,756,608 Bytes frei
259
-------------------------------------------------------------------------------