Ich kann meine Laufwerke im Arbeitsplatz nicht mehr per Doppelklick öffen |
||
---|---|---|
#0
| ||
30.01.2009, 20:09
Member
Themenstarter Beiträge: 32 |
||
|
||
30.01.2009, 21:01
Member
Beiträge: 3716 |
#17
so nun noch das avira log
|
|
|
||
30.01.2009, 21:07
Member
Themenstarter Beiträge: 32 |
#18
ist noch am scannen. kommt bald
hier: Avira AntiVir Premium Erstellungsdatum der Reportdatei: Freitag, 30. Januar 2009 20:11 Es wird nach 1302306 Virenstämmen gesucht. Plattform: Windows XP Windowsversion: (Service Pack 3) [5.1.2600] Boot Modus: Normal gebootet Benutzername: Nieze0611 Computername: NIEZE Versionsinformationen: BUILD.DAT : 8.2.0.373 20012 Bytes 18.11.2008 09:35:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23 AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06 LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16 LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:29:38 ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14.01.2009 07:15:34 ANTIVIR2.VDF : 7.1.1.207 1359360 Bytes 30.01.2009 14:35:16 ANTIVIR3.VDF : 7.1.1.208 2048 Bytes 30.01.2009 14:35:16 Engineversion : 8.2.0.60 AEVDF.DLL : 8.1.0.6 102772 Bytes 15.10.2008 10:49:38 AESCRIPT.DLL : 8.1.1.32 340347 Bytes 22.01.2009 14:44:02 AESCN.DLL : 8.1.1.5 123251 Bytes 07.11.2008 16:35:16 AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 07:43:26 AEPACK.DLL : 8.1.3.5 393588 Bytes 09.01.2009 10:36:14 AEOFFICE.DLL : 8.1.0.33 196987 Bytes 11.12.2008 14:54:10 AEHEUR.DLL : 8.1.0.86 1552759 Bytes 22.01.2009 14:44:02 AEHELP.DLL : 8.1.2.0 119159 Bytes 18.11.2008 16:06:00 AEGEN.DLL : 8.1.1.10 323957 Bytes 16.01.2009 16:24:20 AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 10:49:36 AECORE.DLL : 8.1.5.2 172405 Bytes 28.11.2008 08:28:20 AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 10:49:34 AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02 AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58 AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:02:15 AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37 AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36 NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07 RCIMAGE.DLL : 8.0.0.51 2564353 Bytes 12.06.2008 13:26:26 RCTEXT.DLL : 8.0.51.0 90369 Bytes 27.06.2008 10:57:53 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Neues Profil01 Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Premium\PROFILES\8d554ac6.avp Protokollierung..................: niedrig Primäre Aktion...................: quarantäne Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, E:, G:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: ein Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Freitag, 30. Januar 2009 20:11 Der Suchlauf nach versteckten Objekten wird begonnen. Die Reparatur von Rootkits ist nur im interaktiven Modus möglich! c:\windows\system32\gaopdxcounter [INFO] Die Datei ist nicht sichtbar. c:\windows\system32\gaopdxodlsxmnn.dll [INFO] Die Datei ist nicht sichtbar. [FUND] Enthält Erkennungsmuster des Rootkits RKIT/TDss.gxu [INFO] Es konnte kein SpecVir-Eintrag gefunden werden! c:\windows\system32\drivers\gaopdxfkkrpjtq.sys [INFO] Die Datei ist nicht sichtbar. c:\windows\system32\drivers\gaopdxfyqdeqmc.sys [INFO] Die Datei ist nicht sichtbar. c:\windows\system32\drivers\gaopdxhptlomiw.sys [INFO] Die Datei ist nicht sichtbar. c:\windows\system32\drivers\gaopdxrmootfoq.sys [INFO] Die Datei ist nicht sichtbar. c:\windows\system32\drivers\gaopdxtfttystp.sys [INFO] Die Datei ist nicht sichtbar. c:\windows\system32\drivers\gaopdxuipjdetm.sys [INFO] Die Datei ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys\modules [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys\start [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys\type [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys\imagepath [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys\group [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys\userdata [INFO] Der Registrierungseintrag ist nicht sichtbar. Es wurden '62094' Objekte überprüft, '14' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avwebgrd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avesvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CALMAIN.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nopopup.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'soundman.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPLpr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'InCDsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '42' Prozesse mit '42' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'G:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '69' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <System> C:\Dokumente und Einstellungen\Nieze0611\Desktop\ComboFix.exe [0] Archivtyp: RAR SFX (self extracting) --> 32788R22FWJFW\psexec.cfexe [1] Archivtyp: RSRC --> Object [FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f0576b.qua' verschoben! C:\Dokumente und Einstellungen\Nieze0611\Desktop\Flash_Disinfector.exe [0] Archivtyp: RAR SFX (self extracting) --> nircmd.exe [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2 [FUND] Enthält Erkennungsmuster des Wurmes WORM/Generic.4084 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49e45769.qua' verschoben! C:\Dokumente und Einstellungen\Nieze0611\Lokale Einstellungen\Temp\tmp6.tmp [FUND] Ist das Trojanische Pferd TR/Patched.DY.1 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f357b8.qua' verschoben! C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' <Archiv> D:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'E:\' <Software> Beginne mit der Suche in 'G:\' <HANIU> Ende des Suchlaufs: Freitag, 30. Januar 2009 21:39 Benötigte Zeit: 1:27:23 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 9006 Verzeichnisse wurden überprüft 367431 Dateien wurden geprüft 5 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 3 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 367424 Dateien ohne Befall 40221 Archive wurden durchsucht 2 Warnungen 3 Hinweise 62094 Objekte wurden beim Rootkitscan durchsucht 14 Versteckte Objekte wurden gefunden Malware vom 31.1.09 Malwarebytes' Anti-Malware 1.33 Datenbank Version: 1708 Windows 5.1.2600 Service Pack 3 31.01.2009 10:14:02 mbam-log-2009-01-31 (10-14-02).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 60428 Laufzeit: 6 minute(s), 59 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Combofix 31.1. ComboFix 09-01-21.04 - Nieze0611 2009-01-31 10:21:10.4 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1007.459 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Nieze0611\Desktop\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) . - REDUZIERTER FUNKTIONALITÄTSMODUS - . ((((((((((((((((((((((( Dateien erstellt von 2008-12-28 bis 2009-01-31 )))))))))))))))))))))))))))))) . 2009-01-30 19:37 . 2009-01-30 19:37 580,096 --a--c--- c:\windows\system32\dllcache\user32.dll 2009-01-30 19:36 . 2009-01-30 19:36 <DIR> d-------- c:\windows\ERUNT 2009-01-30 19:35 . 2009-01-30 19:35 <DIR> d-------- c:\dokumente und einstellungen\Administrator 2009-01-30 13:37 . 2009-01-30 13:37 <DIR> d-------- c:\dokumente und einstellungen\Nieze0611\Anwendungsdaten\Avira 2009-01-30 13:22 . 2009-01-30 13:22 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2009-01-30 06:49 . 2009-01-30 06:49 <DIR> d-------- c:\dokumente und einstellungen\Nieze0611\DoctorWeb 2009-01-30 06:15 . 2009-01-30 06:15 <DIR> d-------- c:\dokumente und einstellungen\Nieze0611\Anwendungsdaten\Malwarebytes 2009-01-30 06:15 . 2009-01-30 06:15 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-01-30 06:15 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-01-30 06:15 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-01-08 15:35 . 2009-01-08 15:35 410,984 --a------ c:\windows\system32\deploytk.dll 2008-12-29 18:43 . 2009-01-08 14:23 <DIR> d-------- c:\dokumente und einstellungen\Nieze0611\Anwendungsdaten\MyPhoneExplorer 2008-12-29 18:16 . 2008-12-29 18:19 <DIR> d-------- c:\dokumente und einstellungen\Nieze0611\Anwendungsdaten\Mobile Master 2008-12-27 20:12 . 2008-03-16 13:30 216,064 -r-hs---- c:\windows\system32\nbDX.dll 2008-12-27 20:12 . 2006-03-10 21:48 169,472 -r-hs---- c:\windows\system32\MatroskaDX.ax 2008-12-27 20:12 . 2005-11-25 20:46 161,792 -r-hs---- c:\windows\system32\RealMediaDX.ax 2008-12-27 20:12 . 2006-01-12 23:23 123,904 -r-hs---- c:\windows\system32\AVCDX.ax 2008-12-27 20:12 . 2003-11-20 23:00 54,784 -r-hs---- c:\windows\system32\RLAPEDec.ax 2008-12-27 20:12 . 2004-04-26 23:00 37,888 -r-hs---- c:\windows\system32\RLMPCDec.ax 2008-12-27 20:12 . 2007-02-21 11:47 31,232 -r-hs---- c:\windows\system32\msfDX.dll 2008-12-22 16:42 . 2008-07-21 17:11 427,328 --a------ c:\windows\system32\TXGYMailActiveX.dll 2008-12-22 16:42 . 2008-07-21 17:11 261,256 --a------ c:\windows\system32\TXGYMailCamera.dll 2008-12-21 18:11 . 2008-07-12 08:18 3,851,784 --a------ c:\windows\system32\D3DX9_39.dll 2008-12-21 18:10 . 2008-12-21 18:10 <DIR> d-------- c:\windows\Logs . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-30 18:25 --------- d-----w c:\dokumente und einstellungen\Nieze0611\Anwendungsdaten\Skype 2009-01-30 12:23 --------- d-----w c:\programme\Java 2009-01-30 05:59 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-01-29 10:37 --------- d-----w c:\dokumente und einstellungen\Nieze0611\Anwendungsdaten\skypePM 2009-01-28 18:10 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SlySoft 2009-01-27 13:16 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2009-01-16 00:15 --------- d-----w c:\dokumente und einstellungen\Nieze0611\Anwendungsdaten\ICQ 2009-01-05 05:01 --------- d-----w c:\dokumente und einstellungen\Nieze0611\Anwendungsdaten\Ahead 2009-01-03 12:25 --------- d-----w c:\dokumente und einstellungen\Nieze0611\Anwendungsdaten\muvee Technologies 2008-12-29 18:24 --------- d-----w c:\programme\Gemeinsame Dateien\Teleca Shared 2008-12-29 18:24 --------- d-----w c:\dokumente und einstellungen\Nieze0611\Anwendungsdaten\Teleca 2008-12-23 18:57 --------- d-----w c:\dokumente und einstellungen\Nieze0611\Anwendungsdaten\temp 2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys 2008-02-17 14:23 32 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat 2007-05-08 09:59 30,896 -c--a-w c:\dokumente und einstellungen\Nieze0611\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2005-09-14 09:58 20,480 -c--a-w c:\programme\Gemeinsame Dateien\UninstallDrv.exe 2006-03-19 11:54 8,192 -csha-w c:\windows\o2cLicStore.bin 2005-07-14 10:31 27,648 -csha-r c:\windows\system32\AVSredirect.dll 2005-06-26 13:32 616,448 -csha-r c:\windows\system32\cygwin1.dll 2005-06-21 20:37 45,568 -csha-r c:\windows\system32\cygz.dll 2006-05-03 09:06 163,328 --sha-r c:\windows\system32\flvDX.dll 2004-01-24 22:00 70,656 -csha-r c:\windows\system32\i420vfw.dll 2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll 2008-03-16 12:30 216,064 --sh--r c:\windows\system32\nbDX.dll 2005-02-28 11:16 240,128 -csha-r c:\windows\system32\x.264.exe 2004-01-24 22:00 70,656 --sha-r c:\windows\system32\yv12vfw.dll . ((((((((((((((((((((((((((((( snapshot@2009-01-30_12.29.52.70 ))))))))))))))))))))))))))))))))))))))))) . + 2008-08-07 14:27:04 163,328 ----a-w c:\windows\ERUNT\SDFIX\ERDNT.EXE + 2009-01-30 18:36:45 499,712 ----a-w c:\windows\ERUNT\SDFIX\Users\00000001\NTUSER.DAT + 2009-01-30 18:36:45 8,192 ----a-w c:\windows\ERUNT\SDFIX\Users\00000002\UsrClass.dat + 2008-08-07 14:27:04 163,328 ----a-w c:\windows\ERUNT\SDFIX_First_Run\ERDNT.EXE + 2009-01-30 18:36:29 499,712 ----a-w c:\windows\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT + 2009-01-30 18:36:29 8,192 ----a-w c:\windows\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat + 2008-03-12 10:29:10 94,465 ----a-w c:\windows\system32\avsda.dll + 2008-05-09 11:15:47 45,376 ----a-w c:\windows\system32\drivers\avgntdd.sys + 2008-01-21 16:11:28 22,336 ----a-w c:\windows\system32\drivers\avgntmgr.sys + 2008-10-30 09:21:03 75,072 ----a-w c:\windows\system32\drivers\avipbb.sys - 2008-04-18 13:35:59 21,248 ----a-w c:\windows\system32\drivers\ssmdrv.sys + 2007-11-08 17:03:26 21,248 ----a-w c:\windows\system32\drivers\ssmdrv.sys + 2009-01-31 08:50:34 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_5c8.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NoPopUp"="e:\sicherheit\NoPopUp 2003\nopopup.exe" [2003-12-18 234496] "ICQ"="e:\multimedia\ICQ6.5\ICQ.exe" [2008-11-30 172792] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2005-03-18 98393] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-03-18 688217] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-08 136600] "RoxioEngineUtility"="c:\programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe" [2003-02-27 69632] "RemoteControl"="e:\multimedia\PowerDVD\PDVDServ.exe" [2004-11-02 32768] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-04-15 5562368] "iTunesHelper"="e:\multimedia\iTunes\iTunesHelper.exe" [2008-10-01 289576] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-03-10 155648] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-03-10 126976] "avgnt"="e:\avira\AntiVir PersonalEdition Premium\avgnt.exe" [2008-06-12 266497] "Adobe Reader Speed Launcher"="e:\multimedia\Adobe Reader\Reader\Reader_sl.exe" [2008-10-15 39792] "SDFix"="e:\sdfix\RunThis.bat" [2008-11-06 964661] "SoundMan"="SOUNDMAN.EXE" [2006-11-17 c:\windows\soundman.exe] "SMSERIAL"="sm56hlpr.exe" [2004-12-29 c:\windows\sm56hlpr.exe] "nwiz"="nwiz.exe" [2005-04-15 c:\windows\system32\nwiz.exe] "High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HdAShCut.exe] "AlcWzrd"="ALCWZRD.EXE" [2006-05-04 c:\windows\alcwzrd.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "ITD7"="e:\sicherheit\Steganos InternetSpurenvernichter\itd7.exe" [2005-01-19 258048] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.I420"= i420vfw.dll "VIDC.JPGL"= jpgl.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=c:\windows\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk backup=c:\windows\pss\VPN Client.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Nieze0611^Startmenü^Programme^Autostart^OpenOffice.org 2.1.lnk] path=c:\dokumente und einstellungen\Nieze0611\Startmenü\Programme\Autostart\OpenOffice.org 2.1.lnk backup=c:\windows\pss\OpenOffice.org 2.1.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Nieze0611^Startmenü^Programme^Autostart^RC.lnk] path=c:\dokumente und einstellungen\Nieze0611\Startmenü\Programme\Autostart\RC.lnk backup=c:\windows\pss\RC.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD] --------- 2005-07-25 12:01 1397760 e:\brenner\Nero\InCD\InCD.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --------- 2008-04-14 03:22 1695232 c:\programme\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] --a------ 2007-01-19 12:55 5674352 c:\programme\MSN Messenger\msnmsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a--c--- 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-09-06 14:09 413696 c:\programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] -ra------ 2008-02-01 17:22 21898024 c:\programme\Skype\Phone\Skype.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer] -rahs---- 2008-09-16 11:16 1833296 e:\sicherheit\Spybot - Search & Destroy\TeaTimer.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\WINDOWS\\system32\\dpvsetup.exe"= "c:\\WINDOWS\\system32\\rundll32.exe"= "c:\\Programme\\MSN Messenger\\msnmsgr.exe"= "c:\\Programme\\MSN Messenger\\livecall.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "e:\\Multimedia\\iTunes\\iTunes.exe"= "c:\\Programme\\Gadu-Gadu\\gg.exe"= "e:\\Multimedia\\ICQ6.5\\ICQ.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "7876:TCP"= 7876:TCPpLive "8725:UDP"= 8725:UDPpLive R0 a320raid;a320raid;c:\windows\system32\drivers\a320raid.sys [2005-03-16 258939] R0 iteraid;iteraid;c:\windows\system32\drivers\iteraid.sys [2005-03-16 24971] R0 MegaIDE;MegaIDE;c:\windows\system32\drivers\megaide.sys [2005-03-16 157169] R0 PDDSLHND;PDDSLHND;c:\windows\system32\drivers\PDDSLHND.SYS [2007-12-23 15187] R0 SiSRaid1;SiSRaid1;c:\windows\system32\drivers\sisraid1.sys [2005-03-16 46464] R0 viapdsk;viapdsk;c:\windows\system32\drivers\viapdsk.sys [2005-03-16 29184] R1 uigxrdr;uigxrdr;c:\windows\system32\drivers\uigxrdr.SYS [2008-01-03 148864] R3 PDDSLADP;ProDyne DSL Adapter;c:\windows\system32\drivers\PDDSLADP.SYS [2007-12-23 15571] R4 AntiVirMailService;Avira AntiVir Premium MailGuard;e:\avira\AntiVir PersonalEdition Premium\avmailc.exe [2009-01-30 164097] R4 antivirwebservice;Avira AntiVir Premium WebGuard;e:\avira\AntiVir PersonalEdition Premium\avwebgrd.exe [2009-01-30 258305] R4 AVEService;Avira AntiVir Premium MailGuard Hilfsdienst;e:\avira\AntiVir PersonalEdition Premium\avesvc.exe [2009-01-30 41217] S3 AF05BDA;AF9005 BDA Device;c:\windows\system32\drivers\AF05BDA.sys [2006-07-07 122752] S3 danceflt;XboxCtrl_filt_Service;c:\windows\system32\drivers\danceflt.sys [2006-08-17 30775] S3 DCamUSBNW802;Mustek Wcam 300;c:\windows\system32\drivers\pcam.sys [2006-03-31 265904] S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\8.tmp --> c:\windows\system32\8.tmp [?] S3 SDTHelper;Helper driver for SDT-Tool;\??\c:\dokume~1\NIEZE0~1\LOKALE~1\Temp\Rar$EX00.734\sdthlpr.sys --> c:\dokume~1\NIEZE0~1\LOKALE~1\Temp\Rar$EX00.734\sdthlpr.sys [?] S3 SPOTIGOSp50;SPOTIGOSp50 NDIS Protocol Driver;c:\windows\system32\Drivers\SPOTIGOSp50.sys --> c:\windows\system32\Drivers\SPOTIGOSp50.sys [?] S3 USBSER34;USBSER34;c:\windows\system32\drivers\USBSER34.SYS [2008-07-09 37456] . Inhalt des "geplante Tasks" Ordners 2009-01-29 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34] 2009-01-31 c:\windows\Tasks\Auf Updates für Windows Live Toolbar prüfen.job - c:\programme\Windows Live Toolbar\MSNTBUP.EXE [2006-09-27 17:39] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank uInternet Connection Wizard,ShellNext = iexplore uInternet Settings,ProxyOverride = *.local uSearchURL,(Default) = hxxp://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR IE: &Windows Live Search - c:\programme\Windows Live Toolbar\msntb.dll/search.htm IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx IE: In neuer Registerkarte im Hintergrund öffnen - c:\programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?d7b0f11a4aa94fbda6c2e0422cd6895d IE: In neuer Registerkarte im Vordergrund öffnen - c:\programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?d7b0f11a4aa94fbda6c2e0422cd6895d IE: Nach Microsoft &Excel exportieren - e:\system\OFFICE~1\OFFICE11\EXCEL.EXE/3000 LSP: avsda.dll FF - ProfilePath - c:\dokumente und einstellungen\Nieze0611\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FF - prefs.js: browser.search.selectedEngine - qtl FF - component: e:\internet\Mozilla\components\iamfamous.dll FF - plugin: e:\multimedia\Adobe Reader\Reader\browser\nppdf32.dll FF - plugin: e:\multimedia\iTunes\Mozilla Plugins\npitunes.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-31 10:21:47 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys] "imagepath"="\systemroot\system32\drivers\gaopdxrmootfoq.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2] "ImagePath"="\??\c:\windows\system32\8.tmp" . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-3713006376-3815184739-3230517182-1006\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:ee,a6,cb,f8,9e,18,cb,63,d8,1b,fa,5a,34,00,0a,8b,0b,74,da,e3,9c,28,1f, d7,63,de,0d,3c,69,16,96,e0,fc,4b,7e,79,9a,ab,c2,21,05,f2,05,3b,fe,78,1c,a2,\ "??"=hex:e6,88,11,17,53,2c,a7,12,69,0d,da,38,fe,79,51,e0 [HKEY_USERS\S-1-5-21-3713006376-3815184739-3230517182-1006\Software\SecuROM\License information*] "datasecu"=hex:ba,94,57,fb,cb,f7,86,3e,8b,1e,4a,0d,11,4f,51,53,3a,04,c4,63,17, 88,29,06,f3,00,83,b3,0f,08,65,f1,5f,4a,60,ac,c3,3b,cf,75,6e,c7,db,82,64,4d,\ "rkeysecu"=hex:ee,e8,1b,cc,d3,9e,08,14,02,33,22,7d,e3,80,ad,cb [HKEY_USERS\S-1-5-21-3713006376-3815184739-3230517182-1006\Software\Zepter Software\RegLib*cc815f5a\CloneDVD2/2] "1"=dword:4464666c "2"=dword:447763c2 [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*] "7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys] @DACL=(02 0000) "start"=dword:00000001 "type"=dword:00000001 "imagepath"=expand:"\\systemroot\\system32\\drivers\\gaopdxrmootfoq.sys" "group"="file system" "userdata"=dword:ffffffff . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'lsass.exe'(980) c:\windows\system32\avsda.dll . Zeit der Fertigstellung: 2009-01-31 10:24:10 ComboFix-quarantined-files.txt 2009-01-31 09:24:06 ComboFix2.txt 2009-01-30 16:12:51 ComboFix3.txt 2009-01-30 16:08:19 ComboFix4.txt 2009-01-30 11:31:02 Vor Suchlauf: 1.033.920.512 Bytes frei Nach Suchlauf: 1,019,834,368 Bytes frei 251 --- E O F --- 2009-01-15 17:05:14 HIJackThis 31.1. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:25:37, on 31.01.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe E:\Brenner\Nero\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe E:\Avira\AntiVir PersonalEdition Premium\sched.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Java\jre6\bin\jusched.exe E:\Multimedia\PowerDVD\PDVDServ.exe E:\Multimedia\iTunes\iTunesHelper.exe C:\WINDOWS\system32\hkcmd.exe E:\Avira\AntiVir PersonalEdition Premium\avgnt.exe E:\Sicherheit\NoPopUp 2003\nopopup.exe E:\Multimedia\ICQ6.5\ICQ.exe C:\WINDOWS\system32\ctfmon.exe E:\Avira\AntiVir PersonalEdition Premium\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe E:\Avira\AntiVir PersonalEdition Premium\avesvc.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Canon\CAL\CALMAIN.exe E:\Avira\AntiVir PersonalEdition Premium\avmailc.exe E:\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\notepad.exe E:\Internet\Mozilla\firefox.exe C:\Dokumente und Einstellungen\Nieze0611\Desktop\HJT.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\SICHER~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe" O4 - HKLM\..\Run: [RemoteControl] E:\Multimedia\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [iTunesHelper] "E:\Multimedia\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [avgnt] "E:\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Multimedia\Adobe Reader\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SDFix] E:\SDFix\RunThis.bat /second O4 - HKCU\..\Run: [NoPopUp] E:\Sicherheit\NoPopUp 2003\nopopup.exe /autorun O4 - HKCU\..\Run: [ICQ] "E:\Multimedia\ICQ6.5\ICQ.exe" silent O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [ITD7] "E:\Sicherheit\Steganos InternetSpurenvernichter\itd7.exe" -firstboot (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [ITD7] "E:\Sicherheit\Steganos InternetSpurenvernichter\itd7.exe" -firstboot (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [ITD7] "E:\Sicherheit\Steganos InternetSpurenvernichter\itd7.exe" -firstboot (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [ITD7] "E:\Sicherheit\Steganos InternetSpurenvernichter\itd7.exe" -firstboot (User 'Default user') O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?d7b0f11a4aa94fbda6c2e0422cd6895d O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?d7b0f11a4aa94fbda6c2e0422cd6895d O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\System\OFFICE~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - E:\Internet\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - E:\Internet\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\System\OFFICE~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyPoker\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyPoker\PartyPoker\RunApp.exe (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Multimedia\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Multimedia\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SICHER~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SICHER~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Multimedia\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Multimedia\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - E:\Sicherheit\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - E:\Sicherheit\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.kle.net O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1214574115984 O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Premium\avmailc.exe O23 - Service: Avira AntiVir Premium Planer (AntiVirScheduler) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Premium\sched.exe O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Premium\avguard.exe O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Avira AntiVir Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Premium\avesvc.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - E:\Brenner\Nero\InCD\InCDsrv.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe -- End of file - 11069 bytes Dieser Beitrag wurde am 31.01.2009 um 10:26 Uhr von nieze editiert.
|
|
|
||
31.01.2009, 12:06
Member
Beiträge: 3716 |
#19
^du hast rootkits auf deinem system!
daher sind einige scans nötig, bei denen ist unbedingt zu beachten!!! 1. avira muss ausgeschalten sein! 2. alle weitern programme müssen ausgeschalten sein! 3. die verbindung zum internet muss getrennt sein. also wlan aus bzw netzwerkkabel raus 4. zwischen den scans und der nächsten anweisung soll kein neustart erfolgen http://virus-protect.org/rootkitscanner.html besuchen die liste der scanner die ich poste runterladen, anleitung drucken oder von deinm andern pc öffnen und nacheinander ausführen: Blacklight catchme ^poste die logs |
|
|
||
31.01.2009, 13:41
Member
Themenstarter Beiträge: 32 |
#20
hier die logs der rootkit scans
01/31/09 13:26:53 [Info]: BlackLight Engine 2.2.1092 initialized 01/31/09 13:26:53 [Info]: OS: 5.1 build 2600 (Service Pack 3) 01/31/09 13:26:53 [Note]: 7019 4 01/31/09 13:26:53 [Note]: 7005 0 01/31/09 13:26:55 [Note]: 7006 0 01/31/09 13:26:55 [Note]: 7011 1680 01/31/09 13:26:55 [Note]: 7035 0 01/31/09 13:26:55 [Note]: 7026 0 01/31/09 13:26:55 [Note]: 7026 0 01/31/09 13:26:57 [Note]: FSRAW library version 1.7.1024 01/31/09 13:27:09 [Note]: 7007 0 HJT Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:48:14, on 31.01.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe E:\Brenner\Nero\InCD\InCDsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe E:\Avira\AntiVir PersonalEdition Premium\sched.exe E:\Avira\AntiVir PersonalEdition Premium\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe E:\Avira\AntiVir PersonalEdition Premium\avesvc.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Canon\CAL\CALMAIN.exe E:\Avira\AntiVir PersonalEdition Premium\avmailc.exe E:\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\SOUNDMAN.EXE E:\Multimedia\PowerDVD\PDVDServ.exe E:\Multimedia\iTunes\iTunesHelper.exe C:\WINDOWS\system32\hkcmd.exe E:\Avira\AntiVir PersonalEdition Premium\avgnt.exe E:\Multimedia\Adobe Reader\Reader\Reader_sl.exe E:\Sicherheit\NoPopUp 2003\nopopup.exe E:\Multimedia\ICQ6.5\ICQ.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe E:\Internet\Mozilla\firefox.exe C:\Dokumente und Einstellungen\Nieze0611\Desktop\HJT.exe E:\Internet\Mozilla\firefox.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\SICHER~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe" O4 - HKLM\..\Run: [RemoteControl] E:\Multimedia\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [iTunesHelper] "E:\Multimedia\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [avgnt] "E:\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Multimedia\Adobe Reader\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SDFix] E:\SDFix\RunThis.bat /second O4 - HKCU\..\Run: [NoPopUp] E:\Sicherheit\NoPopUp 2003\nopopup.exe /autorun O4 - HKCU\..\Run: [ICQ] "E:\Multimedia\ICQ6.5\ICQ.exe" silent O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [ITD7] "E:\Sicherheit\Steganos InternetSpurenvernichter\itd7.exe" -firstboot (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [ITD7] "E:\Sicherheit\Steganos InternetSpurenvernichter\itd7.exe" -firstboot (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [ITD7] "E:\Sicherheit\Steganos InternetSpurenvernichter\itd7.exe" -firstboot (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [ITD7] "E:\Sicherheit\Steganos InternetSpurenvernichter\itd7.exe" -firstboot (User 'Default user') O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?d7b0f11a4aa94fbda6c2e0422cd6895d O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?d7b0f11a4aa94fbda6c2e0422cd6895d O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\System\OFFICE~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - E:\Internet\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - E:\Internet\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\System\OFFICE~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyPoker\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyPoker\PartyPoker\RunApp.exe (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Multimedia\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Multimedia\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SICHER~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SICHER~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Multimedia\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Multimedia\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - E:\Sicherheit\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - E:\Sicherheit\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.kle.net O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1214574115984 O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Premium\avmailc.exe O23 - Service: Avira AntiVir Premium Planer (AntiVirScheduler) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Premium\sched.exe O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Premium\avguard.exe O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Avira AntiVir Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Premium\avesvc.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - E:\Brenner\Nero\InCD\InCDsrv.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe -- End of file - 11137 bytes catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006 http://www.gmer.net scanning hidden processes ... scanning hidden services ... HKLM\SYSTEM\CurrentControlSet\Services\GEARAspiWDMsys scanning hidden autostart entries ... scanning hidden files ... C:\WINDOWS\system32\drivers\gaopdxfkkrpjtq.sys 77824 bytes C:\WINDOWS\system32\drivers\gaopdxfyqdeqmc.sys 77824 bytes C:\WINDOWS\system32\drivers\gaopdxhptlomiw.sys 77824 bytes C:\WINDOWS\system32\drivers\gaopdxrmootfoq.sys 77824 bytes C:\WINDOWS\system32\drivers\gaopdxtfttystp.sys 77824 bytes C:\WINDOWS\system32\drivers\gaopdxuipjdetm.sys 77824 bytes C:\WINDOWS\system32\gaopdxcounter 8 bytes C:\WINDOWS\system32\gaopdxodlsxmnn.dll 57344 bytes scan completed successfully hidden processes: 0 hidden services: 1 hidden files: 8 GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2009-01-31 13:37:23 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.14 ---- SSDT spdo.sys ZwCreateKey [0xF73B30E0] SSDT F7D0539C ZwCreateThread SSDT spdo.sys ZwEnumerateKey [0xF73D1CA2] SSDT spdo.sys ZwEnumerateValueKey [0xF73D2030] SSDT spdo.sys ZwOpenKey [0xF73B30C0] SSDT F7D05388 ZwOpenProcess SSDT F7D0538D ZwOpenThread SSDT spdo.sys ZwQueryKey [0xF73D2108] SSDT spdo.sys ZwQueryValueKey [0xF73D1F88] SSDT spdo.sys ZwSetValueKey [0xF73D219A] SSDT F7D05397 ZwTerminateProcess SSDT F7D05392 ZwWriteVirtualMemory INT 0x62 ? 86D66BF8 INT 0x63 ? 8629BF00 INT 0x82 ? 86D66BF8 INT 0xA4 ? 8629BF00 INT 0xB4 ? 8629BF00 Code 85E9CA28 ZwFlushInstructionCache Code 860FF47E IofCallDriver Code 8552A1D6 IofCompleteRequest ---- Kernel code sections - GMER 1.0.14 ---- .text ntkrnlpa.exe!IofCallDriver 804EE130 5 Bytes JMP 860FF483 .text ntkrnlpa.exe!IofCompleteRequest 804EE1C0 5 Bytes JMP 8552A1DB PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805ABEC4 5 Bytes JMP 85E9CA2C ? spdo.sys Das System kann die angegebene Datei nicht finden. ! .text USBPORT.SYS!DllUnload F62E88AC 5 Bytes JMP 8629B4E0 ---- Kernel IAT/EAT - GMER 1.0.14 ---- IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F73B4040] spdo.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F73B413C] spdo.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F73B40BE] spdo.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F73B47FC] spdo.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F73B46D2] spdo.sys IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F73C4048] spdo.sys IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRequest] [F79F454E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter] [F79F420E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter] [F79F4256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol] [F79F452C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol] [F79F44FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [F79F44FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRequest] [F79F454E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [F79F4256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [F79F420E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [F79F452C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRequest] [F79F454E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [F79F452C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [F79F44FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [F79F4256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [F79F420E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [F79F44FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [F79F452C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [F79F420E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRequest] [F79F454E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [F79F4256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [F79F420E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRequest] [F79F454E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [F79F4256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [F79F44FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [F79F452C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [F79F44FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [F79F4256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [F79F420E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRequest] [F79F454E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter] [F79F420E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter] [F79F4256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRequest] [F79F454E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol] [F79F452C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol] [F79F44FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [F79F44FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [F79F452C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRequest] [F79F454E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [F79F420E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [F79F4256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) ---- Devices - GMER 1.0.14 ---- Device \FileSystem\Ntfs \Ntfs 86D531F8 Device \FileSystem\Fastfat \FatCdrom 862BD1F8 Device \Driver\NetBT \Device\NetBT_Tcpip_{4CD524BB-7EDB-488E-AF47-5F8AEB818EBD} 855291F8 AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) Device \Driver\usbuhci \Device\USBPDO-0 862A5500 Device \Driver\usbehci \Device\USBPDO-1 862A6500 Device \Driver\usbuhci \Device\USBPDO-2 862A5500 Device \Driver\usbuhci \Device\USBPDO-3 862A5500 Device \Driver\usbuhci \Device\USBPDO-4 862A5500 Device \Driver\Ftdisk \Device\HarddiskVolume1 86D671F8 Device \Driver\Ftdisk \Device\HarddiskVolume2 86D671F8 Device \Driver\Ftdisk \Device\HarddiskVolume3 86D671F8 Device \Driver\USBSTOR \Device\000000c0 85460500 Device \Driver\USBSTOR \Device\000000c1 85460500 Device \Driver\NetBT \Device\NetBt_Wins_Export 855291F8 Device \Driver\NetBT \Device\NetbiosSmb 855291F8 Device \Driver\NetBT \Device\NetBT_Tcpip_{CEE9F616-DEF2-4406-B49F-486A42E3C86A} 855291F8 Device \Driver\usbuhci \Device\USBFDO-0 862A5500 Device \Driver\usbuhci \Device\USBFDO-1 862A5500 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 855211F8 Device \Driver\usbuhci \Device\USBFDO-2 862A5500 Device \FileSystem\MRxSmb \Device\LanmanRedirector 855211F8 Device \Driver\usbuhci \Device\USBFDO-3 862A5500 Device \Driver\usbehci \Device\USBFDO-4 862A6500 Device \Driver\Ftdisk \Device\FtControl 86D671F8 Device \FileSystem\Fastfat \Fat 862BD1F8 AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) AttachedDevice \FileSystem\Fastfat \Fat InCDrec.SYS (InCD File System Recognizer/Nero AG) ---- Modules - GMER 1.0.14 ---- Module \systemroot\system32\drivers\gaopdxrmootfoq.sys (*** hidden *** ) AA82A000-AA854000 (172032 bytes) ---- Services - GMER 1.0.14 ---- Service C:\WINDOWS\system32\drivers\gaopdxrmootfoq.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!! ---- Registry - GMER 1.0.14 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@start 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxrmootfoq.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@group file system Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@userdata -1 Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxrmootfoq.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxodlsxmnn.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 -1264045278 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 1367974553 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 2 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x3D 0xAB 0x74 0xED ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x0E 0xAA 0x4E 0x69 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0xA1 0x79 0x92 0x18 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x5B 0x88 0x1D 0xEF ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 E:\Brenner\Alcohol 120%\Alcohol 120\ Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x2B 0x25 0x02 0x6F ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0xFB 0x05 0xF8 0x22 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0xA1 0x79 0x92 0x18 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 1 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x0C 0xD5 0x95 0xB7 ... Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@start 1 Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@type 1 Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxrmootfoq.sys Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@group file system Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@userdata -1 Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxrmootfoq.sys Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxodlsxmnn.dll Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x3D 0xAB 0x74 0xED ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x0E 0xAA 0x4E 0x69 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0xA1 0x79 0x92 0x18 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 1 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x5B 0x88 0x1D 0xEF ... ---- EOF - GMER 1.0.14 ---- Dieser Beitrag wurde am 31.01.2009 um 13:49 Uhr von nieze editiert.
|
|
|
||
31.01.2009, 13:57
Member
Beiträge: 3716 |
#21
gmer sollte löschen können, tu dies bitte. danach starte neu und poste auch mal ein blacklight log
|
|
|
||
31.01.2009, 14:31
Member
Themenstarter Beiträge: 32 |
#22
01/31/09 14:14:33 [Info]: BlackLight Engine 2.2.1092 initialized
01/31/09 14:14:33 [Info]: OS: 5.1 build 2600 (Service Pack 3) 01/31/09 14:14:33 [Note]: 7019 4 01/31/09 14:14:33 [Note]: 7005 0 01/31/09 14:14:37 [Note]: 7006 0 01/31/09 14:14:37 [Note]: 7011 1664 01/31/09 14:14:37 [Note]: 7035 0 01/31/09 14:14:37 [Note]: 7026 0 01/31/09 14:14:37 [Note]: 7026 0 01/31/09 14:14:41 [Note]: FSRAW library version 1.7.1024 01/31/09 14:19:58 [Info]: Hidden file: c:\WINDOWS\system32\gaopdxcounter 01/31/09 14:19:58 [Note]: 10002 2 01/31/09 14:19:58 [Info]: Hidden file: c:\WINDOWS\system32\gaopdxodlsxmnn.dll 01/31/09 14:19:58 [Note]: 10002 2 01/31/09 14:20:09 [Info]: Hidden file: c:\WINDOWS\system32\drivers\gaopdxfyqdeqmc.sys 01/31/09 14:20:09 [Note]: 10002 2 01/31/09 14:20:09 [Info]: Hidden file: c:\WINDOWS\system32\drivers\gaopdxtfttystp.sys 01/31/09 14:20:09 [Note]: 10002 2 01/31/09 14:20:09 [Info]: Hidden file: c:\WINDOWS\system32\drivers\gaopdxfkkrpjtq.sys 01/31/09 14:20:09 [Note]: 10002 2 01/31/09 14:20:09 [Info]: Hidden file: c:\WINDOWS\system32\drivers\gaopdxhptlomiw.sys 01/31/09 14:20:09 [Note]: 10002 2 01/31/09 14:20:09 [Info]: Hidden file: c:\WINDOWS\system32\drivers\gaopdxrmootfoq.sys 01/31/09 14:20:09 [Note]: 10002 2 01/31/09 14:20:09 [Info]: Hidden file: c:\WINDOWS\system32\drivers\gaopdxuipjdetm.sys 01/31/09 14:20:09 [Note]: 10002 2 01/31/09 14:24:14 [Note]: 7006 0 01/31/09 14:24:14 [Note]: 7011 1664 01/31/09 14:24:14 [Note]: 7026 0 01/31/09 14:24:14 [Note]: 7026 0 01/31/09 14:24:14 [Note]: FSRAW library version 1.7.1024 01/31/09 14:24:22 [Note]: 10002 2 01/31/09 14:24:22 [Note]: 10002 2 01/31/09 14:24:22 [Note]: 10002 2 01/31/09 14:24:22 [Note]: 10002 2 01/31/09 14:24:22 [Note]: 10002 2 01/31/09 14:24:22 [Info]: Hidden file: c:\WINDOWS\system32\drivers\gaopdxuipjdetm.sys 01/31/09 14:24:22 [Note]: 10002 2 01/31/09 14:24:22 [Note]: 7006 0 01/31/09 14:24:22 [Note]: 7011 1664 01/31/09 14:24:22 [Note]: 7026 0 01/31/09 14:24:22 [Note]: 7026 0 01/31/09 14:24:22 [Note]: FSRAW library version 1.7.1024 01/31/09 14:24:30 [Note]: 10002 2 01/31/09 14:24:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\gaopdxtfttystp.sys 01/31/09 14:24:30 [Note]: 10002 2 01/31/09 14:24:30 [Note]: 10002 2 01/31/09 14:24:30 [Note]: 10002 2 01/31/09 14:24:30 [Note]: 10002 2 01/31/09 14:24:30 [Note]: 10002 2 01/31/09 14:24:30 [Note]: 7006 0 01/31/09 14:24:30 [Note]: 7011 1664 01/31/09 14:24:30 [Note]: 7026 0 01/31/09 14:24:30 [Note]: 7026 0 01/31/09 14:24:30 [Note]: FSRAW library version 1.7.1024 01/31/09 14:24:38 [Note]: 10002 2 01/31/09 14:24:38 [Note]: 10002 2 01/31/09 14:24:38 [Note]: 10002 2 01/31/09 14:24:38 [Note]: 10002 2 01/31/09 14:24:38 [Info]: Hidden file: c:\WINDOWS\system32\drivers\gaopdxrmootfoq.sys 01/31/09 14:24:38 [Note]: 10002 2 01/31/09 14:24:38 [Note]: 10002 2 01/31/09 14:24:38 [Note]: 7006 0 01/31/09 14:24:38 [Note]: 7011 1664 01/31/09 14:24:39 [Note]: 7026 0 01/31/09 14:24:39 [Note]: 7026 0 01/31/09 14:24:39 [Note]: FSRAW library version 1.7.1024 01/31/09 14:24:49 [Note]: 10002 2 01/31/09 14:24:49 [Info]: Hidden file: c:\WINDOWS\system32\gaopdxodlsxmnn.dll 01/31/09 14:24:49 [Note]: 10002 2 01/31/09 14:24:49 [Note]: 7006 0 01/31/09 14:24:49 [Note]: 7011 1664 01/31/09 14:24:49 [Note]: 7026 0 01/31/09 14:24:49 [Note]: 7026 0 01/31/09 14:24:49 [Note]: FSRAW library version 1.7.1024 01/31/09 14:24:57 [Note]: 10002 2 01/31/09 14:24:57 [Note]: 10002 2 01/31/09 14:24:57 [Note]: 10002 2 01/31/09 14:24:57 [Info]: Hidden file: c:\WINDOWS\system32\drivers\gaopdxhptlomiw.sys 01/31/09 14:24:57 [Note]: 10002 2 01/31/09 14:24:57 [Note]: 10002 2 01/31/09 14:24:57 [Note]: 10002 2 01/31/09 14:24:57 [Note]: 7006 0 01/31/09 14:24:57 [Note]: 7011 1664 01/31/09 14:24:58 [Note]: 7026 0 01/31/09 14:24:58 [Note]: 7026 0 01/31/09 14:24:58 [Note]: FSRAW library version 1.7.1024 01/31/09 14:25:12 [Info]: Hidden file: c:\WINDOWS\system32\drivers\gaopdxfyqdeqmc.sys 01/31/09 14:25:12 [Note]: 10002 2 01/31/09 14:25:12 [Note]: 10002 2 01/31/09 14:25:12 [Note]: 10002 2 01/31/09 14:25:12 [Note]: 10002 2 01/31/09 14:25:12 [Note]: 10002 2 01/31/09 14:25:12 [Note]: 10002 2 01/31/09 14:25:12 [Note]: 7006 0 01/31/09 14:25:12 [Note]: 7011 1664 01/31/09 14:25:12 [Note]: 7026 0 01/31/09 14:25:12 [Note]: 7026 0 01/31/09 14:25:12 [Note]: FSRAW library version 1.7.1024 01/31/09 14:25:24 [Note]: 10002 2 01/31/09 14:25:24 [Note]: 10002 2 01/31/09 14:25:24 [Info]: Hidden file: c:\WINDOWS\system32\drivers\gaopdxfkkrpjtq.sys 01/31/09 14:25:24 [Note]: 10002 2 01/31/09 14:25:24 [Note]: 10002 2 01/31/09 14:25:24 [Note]: 10002 2 01/31/09 14:25:24 [Note]: 10002 2 01/31/09 14:25:24 [Note]: 7006 0 01/31/09 14:25:24 [Note]: 7011 1664 01/31/09 14:25:24 [Note]: 7026 0 01/31/09 14:25:24 [Note]: 7026 0 01/31/09 14:25:24 [Note]: FSRAW library version 1.7.1024 01/31/09 14:25:35 [Info]: Hidden file: c:\WINDOWS\system32\gaopdxcounter 01/31/09 14:25:35 [Note]: 10002 2 01/31/09 14:25:35 [Note]: 10002 2 01/31/09 14:25:42 [Note]: 7007 0 |
|
|
||
31.01.2009, 14:33
Member
Beiträge: 3716 |
#23
hallo, mit blacklight renamen, dann die .ren-dateien löschen windowssuche *.ren suchen. starte den pc neu, dann noch mal blacklight und chatchme verwenden
|
|
|
||
31.01.2009, 16:13
Member
Themenstarter Beiträge: 32 |
#24
Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Samstag, 31. Januar 2009 16:05 Es wird nach 1302306 Virenstämmen gesucht. Plattform: Windows XP Windowsversion: (Service Pack 3) [5.1.2600] Boot Modus: Normal gebootet Benutzername: Nieze0611 Computername: NIEZE Versionsinformationen: BUILD.DAT : 8.2.0.374 20012 Bytes 21.11.2008 10:11:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23 AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06 LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16 LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:29:38 ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14.01.2009 07:15:34 ANTIVIR2.VDF : 7.1.1.207 1359360 Bytes 30.01.2009 14:35:16 ANTIVIR3.VDF : 7.1.1.208 2048 Bytes 30.01.2009 14:35:16 Engineversion : 8.2.0.70 AEVDF.DLL : 8.1.1.0 106868 Bytes 31.01.2009 14:03:21 AESCRIPT.DLL : 8.1.1.39 344443 Bytes 31.01.2009 14:03:20 AESCN.DLL : 8.1.1.6 127348 Bytes 31.01.2009 14:03:17 AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 07:43:26 AEPACK.DLL : 8.1.3.5 393588 Bytes 09.01.2009 10:36:14 AEOFFICE.DLL : 8.1.0.33 196987 Bytes 11.12.2008 14:54:10 AEHEUR.DLL : 8.1.0.89 1569143 Bytes 31.01.2009 14:03:15 AEHELP.DLL : 8.1.2.0 119159 Bytes 18.11.2008 16:06:00 AEGEN.DLL : 8.1.1.12 328053 Bytes 31.01.2009 14:03:07 AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 10:49:36 AECORE.DLL : 8.1.6.3 176501 Bytes 31.01.2009 14:03:05 AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 10:49:34 AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02 AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58 AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:02:15 AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37 AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36 NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07 RCIMAGE.DLL : 8.0.0.51 2564353 Bytes 12.06.2008 13:26:26 RCTEXT.DLL : 8.0.51.0 90369 Bytes 27.06.2008 10:57:53 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Suche nach Rootkits Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Premium\PROFILES\rootkit.avp Protokollierung..................: hoch Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Durchsuche aktive Programme......: aus Durchsuche Registrierung.........: aus Suche nach Rootkits..............: ein Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR, Erweiterte Sucheinstellungen.....: 0x00300922 Beginn des Suchlaufs: Samstag, 31. Januar 2009 16:05 Der Suchlauf nach versteckten Objekten wird begonnen. HKEY_USERS\S-1-5-21-3713006376-3815184739-3230517182-1006\Software\Microsoft\Protected Storage System Provider\S-1-5-21-3713006376-3815184739-3230517182-1006\data [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_USERS\S-1-5-21-3713006376-3815184739-3230517182-1006\Software\SecuROM\License information\datasecu [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_USERS\S-1-5-21-3713006376-3815184739-3230517182-1006\Software\SecuROM\License information\rkeysecu [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_USERS\S-1-5-21-3713006376-3815184739-3230517182-1006\Software\Zepter Software\RegLib\CloneDVD2/2\1 [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_USERS\S-1-5-21-3713006376-3815184739-3230517182-1006\Software\Zepter Software\RegLib\CloneDVD2/2\2 [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys\modules [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys\start [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys\type [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys\imagepath [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys\group [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys\userdata [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet003\Services\gaopdxserv.sys\modules [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet003\Services\gaopdxserv.sys\start [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet003\Services\gaopdxserv.sys\type [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet003\Services\gaopdxserv.sys\imagepath [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet003\Services\gaopdxserv.sys\group [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet003\Services\gaopdxserv.sys\userdata [INFO] Der Registrierungseintrag ist nicht sichtbar. Es wurden '533353' Objekte überprüft, '17' versteckte Objekte wurden gefunden. Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:' <System> C:\ AdminCheck2.txt AUTOEXEC.BAT Boot.bak boot.ini bootfont.bin cmldr ComboFix.txt CONFIG.SYS crashAddress.txt delunins.bat dvb.GRF dvb4.GRF findaudio.log gmail_debug_headers1.txt [0] Archivtyp: MIME --> file0.html gmail_debug_headers2.txt [0] Archivtyp: MIME --> file0.html gmail_debug_headers3.txt [0] Archivtyp: MIME --> file0.html gmail_debug_headers4.txt [0] Archivtyp: MIME --> file0.html gmail_debug_response1.txt gmail_debug_response2.txt gmail_debug_response3.txt gmail_debug_response4.txt IO.SYS Jardimdigital_KEYS.txt LGSInst.Log MSDOS.SYS NTDETECT.COM ntldr REQUEST_OEMRESET_ENDUSER test.log USER winport.sys XmpegLog.txt _audioscrobbler.log C:\514\ AM32.Z DRIVER.Z MAP.Z PCCUO.DLL PRODUCT.DAT programs.z SETUP.EXE SETUP.INI SETUP.INS SETUP.SCR SETUPDLL.DLL STRING.TAB TWAIN.Z UNINST.Z USBSCAN.INF USBSCAN.IN_ USBSCAN.SYS USCANNER.SYS WINSYS.Z _INST32I.EX_ _ISDEL.EXE _SETUP.DLL _SETUP.LIB ~~~RUNCD.IN_ C:\autorun.inf\ lpt3.This folder was created by Flash_Disinfector C:\cabs\PhilipsPA49\ PHILIPS-SDVD8441-PA49.EXE readme.txt C:\cmdcons\ 1394BUS.SY_ [0] Archivtyp: CAB (Microsoft) --> 1394bus.sys 1394VDBG.SY_ [0] Archivtyp: CAB (Microsoft) --> 1394vdbg.sys ABP480N5.SY_ [0] Archivtyp: CAB (Microsoft) --> abp480n5.sys ACPI.SY_ [0] Archivtyp: CAB (Microsoft) --> acpi.sys ACPIEC.SY_ [0] Archivtyp: CAB (Microsoft) --> acpiec.sys ADPU160M.SY_ [0] Archivtyp: CAB (Microsoft) --> adpu160m.sys AHA154X.SY_ [0] Archivtyp: CAB (Microsoft) --> aha154x.sys AIC78U2.SY_ [0] Archivtyp: CAB (Microsoft) --> aic78u2.sys AIC78XX.SY_ [0] Archivtyp: CAB (Microsoft) --> aic78xx.sys ALIIDE.SY_ [0] Archivtyp: CAB (Microsoft) --> aliide.sys AMSINT.SY_ [0] Archivtyp: CAB (Microsoft) --> amsint.sys ASC.SY_ [0] Archivtyp: CAB (Microsoft) --> asc.sys ASC3350P.SY_ [0] Archivtyp: CAB (Microsoft) --> asc3350p.sys ASC3550.SY_ [0] Archivtyp: CAB (Microsoft) --> asc3550.sys ATAPI.SY_ [0] Archivtyp: CAB (Microsoft) --> atapi.sys autochk.exe autofmt.exe BIOSINFO.INF BOOTFONT.BIN bootsect.dat BOOTVID.DL_ [0] Archivtyp: CAB (Microsoft) --> bootvid.dll CBIDF2K.SY_ [0] Archivtyp: CAB (Microsoft) --> cbidf2k.sys CD20XRNT.SY_ [0] Archivtyp: CAB (Microsoft) --> cd20xrnt.sys CDFS.SY_ [0] Archivtyp: CAB (Microsoft) --> cdfs.sys CDROM.SY_ [0] Archivtyp: CAB (Microsoft) --> cdrom.sys CLASSPNP.SY_ [0] Archivtyp: CAB (Microsoft) --> classpnp.sys CMDIDE.SY_ [0] Archivtyp: CAB (Microsoft) --> cmdide.sys CPQARRAY.SY_ [0] Archivtyp: CAB (Microsoft) --> cpqarray.sys C_1252.NL_ [0] Archivtyp: CAB (Microsoft) --> c_1252.nls C_850.NL_ [0] Archivtyp: CAB (Microsoft) --> c_850.nls DAC2W2K.SY_ [0] Archivtyp: CAB (Microsoft) --> dac2w2k.sys DAC960NT.SY_ [0] Archivtyp: CAB (Microsoft) --> dac960nt.sys DISK.SY_ [0] Archivtyp: CAB (Microsoft) --> disk.sys DISK101 DISK102 DISK103 DISK104 DISK105 DISK106 DMBOOT.SY_ [0] Archivtyp: CAB (Microsoft) --> dmboot.sys DMIO.SY_ [0] Archivtyp: CAB (Microsoft) --> dmio.sys DMLOAD.SY_ [0] Archivtyp: CAB (Microsoft) --> dmload.sys DPTI2O.SY_ [0] Archivtyp: CAB (Microsoft) --> dpti2o.sys DRVMAIN.SDB FASTFAT.SY_ [0] Archivtyp: CAB (Microsoft) --> fastfat.sys FDC.SY_ [0] Archivtyp: CAB (Microsoft) --> fdc.sys FLPYDISK.SY_ [0] Archivtyp: CAB (Microsoft) --> flpydisk.sys FTDISK.SY_ [0] Archivtyp: CAB (Microsoft) --> ftdisk.sys HAL.DL_ [0] Archivtyp: CAB (Microsoft) --> hal.dll HALAACPI.DL_ [0] Archivtyp: CAB (Microsoft) --> halaacpi.dll HALACPI.DL_ [0] Archivtyp: CAB (Microsoft) --> halacpi.dll HALAPIC.DL_ [0] Archivtyp: CAB (Microsoft) --> halapic.dll HALMACPI.DL_ [0] Archivtyp: CAB (Microsoft) --> halmacpi.dll HALMPS.DL_ [0] Archivtyp: CAB (Microsoft) --> halmps.dll HALSP.DL_ [0] Archivtyp: CAB (Microsoft) --> halsp.dll HIDCLASS.SY_ [0] Archivtyp: CAB (Microsoft) --> hidclass.sys HIDPARSE.SY_ [0] Archivtyp: CAB (Microsoft) --> hidparse.sys HIDUSB.SY_ [0] Archivtyp: CAB (Microsoft) --> hidusb.sys HPN.SY_ [0] Archivtyp: CAB (Microsoft) --> hpn.sys I2OMGMT.SY_ [0] Archivtyp: CAB (Microsoft) --> i2omgmt.sys I2OMP.SY_ [0] Archivtyp: CAB (Microsoft) --> i2omp.sys I8042PRT.SY_ [0] Archivtyp: CAB (Microsoft) --> i8042prt.sys INI910U.SY_ [0] Archivtyp: CAB (Microsoft) --> ini910u.sys INTELIDE.SY_ [0] Archivtyp: CAB (Microsoft) --> intelide.sys ISAPNP.SY_ [0] Archivtyp: CAB (Microsoft) --> isapnp.sys KBDA1.DLL KBDA2.DLL KBDA3.DLL KBDAL.DLL KBDARME.DLL KBDARMW.DLL KBDAZE.DLL KBDAZEL.DLL KBDBE.DLL KBDBLR.DLL KBDBR.DLL KBDBU.DLL KBDCA.DLL KBDCLASS.SY_ [0] Archivtyp: CAB (Microsoft) --> kbdclass.sys KBDCR.DLL KBDCZ.DLL KBDCZ1.DLL KBDCZ2.DLL KBDDA.DLL KBDDIV1.DLL KBDDIV2.DLL KBDDV.DLL KBDES.DLL KBDEST.DLL KBDFA.DLL KBDFC.DLL KBDFI.DLL KBDFR.DLL KBDGAE.DLL KBDGEO.DLL KBDGKL.DLL KBDGR.DLL KBDGR1.DLL KBDHE.DLL KBDHE220.DLL KBDHE319.DLL KBDHEB.DLL KBDHELA2.DLL KBDHELA3.DLL KBDHEPT.DLL KBDHID.SY_ [0] Archivtyp: CAB (Microsoft) --> kbdhid.sys KBDHU.DLL KBDHU1.DLL KBDIC.DLL KBDINDEV.DLL KBDINGUJ.DLL KBDINHIN.DLL KBDINKAN.DLL KBDINMAR.DLL KBDINPUN.DLL KBDINTAM.DLL KBDINTEL.DLL KBDIR.DLL KBDIT.DLL KBDIT142.DLL KBDKAZ.DLL KBDKYR.DLL KBDLA.DLL KBDLT.DLL KBDLT1.DLL KBDLV.DLL KBDLV1.DLL KBDMON.DLL KBDNE.DLL KBDNEC.DLL KBDNO.DLL KBDPL.DLL KBDPL1.DLL KBDPO.DLL KBDRO.DLL KBDRU.DLL KBDRU1.DLL KBDSF.DLL KBDSG.DLL KBDSL.DLL KBDSL1.DLL KBDSP.DLL KBDSW.DLL KBDSYR1.DLL KBDSYR2.DLL KBDTAT.DLL KBDTH0.DLL KBDTH1.DLL KBDTH2.DLL KBDTH3.DLL KBDTUF.DLL KBDTUQ.DLL KBDUK.DLL KBDUR.DLL KBDURDU.DLL KBDUS.DLL KBDUSL.DLL KBDUSR.DLL KBDUSX.DLL KBDUZB.DLL KBDVNTC.DLL KBDYCC.DLL KBDYCL.DLL KD1394.DL_ [0] Archivtyp: CAB (Microsoft) --> kd1394.dll KDCOM.DL_ [0] Archivtyp: CAB (Microsoft) --> kdcom.dll KSECDD.SYS LBRTFDC.SY_ [0] Archivtyp: CAB (Microsoft) --> lbrtfdc.sys L_INTL.NL_ [0] Archivtyp: CAB (Microsoft) --> l_intl.nls migrate.inf MOUNTMGR.SY_ [0] Archivtyp: CAB (Microsoft) --> mountmgr.sys MRAID35X.SY_ [0] Archivtyp: CAB (Microsoft) --> mraid35x.sys NTDETECT.COM NTFS.SYS NTKRNLMP.EX_ [0] Archivtyp: CAB (Microsoft) --> ntkrnlmp.exe OHCI1394.SY_ [0] Archivtyp: CAB (Microsoft) --> ohci1394.sys OPRGHDLR.SY_ [0] Archivtyp: CAB (Microsoft) --> oprghdlr.sys PARTMGR.SY_ [0] Archivtyp: CAB (Microsoft) --> partmgr.sys PCI.SY_ [0] Archivtyp: CAB (Microsoft) --> pci.sys PCIIDE.SY_ [0] Archivtyp: CAB (Microsoft) --> pciide.sys PCIIDEX.SY_ [0] Archivtyp: CAB (Microsoft) --> pciidex.sys PCMCIA.SY_ [0] Archivtyp: CAB (Microsoft) --> pcmcia.sys PERC2.SY_ [0] Archivtyp: CAB (Microsoft) --> perc2.sys PERC2HIB.SY_ [0] Archivtyp: CAB (Microsoft) --> perc2hib.sys QL1080.SY_ [0] Archivtyp: CAB (Microsoft) --> ql1080.sys QL10WNT.SY_ [0] Archivtyp: CAB (Microsoft) --> ql10wnt.sys QL12160.SY_ [0] Archivtyp: CAB (Microsoft) --> ql12160.sys QL1240.SY_ [0] Archivtyp: CAB (Microsoft) --> ql1240.sys QL1280.SY_ [0] Archivtyp: CAB (Microsoft) --> ql1280.sys RAMDISK.SY_ [0] Archivtyp: CAB (Microsoft) --> ramdisk.sys SBP2PORT.SY_ [0] Archivtyp: CAB (Microsoft) --> sbp2port.sys SCSIPORT.SY_ [0] Archivtyp: CAB (Microsoft) --> scsiport.sys SERENUM.SY_ [0] Archivtyp: CAB (Microsoft) --> serenum.sys SERIAL.SY_ [0] Archivtyp: CAB (Microsoft) --> serial.sys SETUPDD.SY_ [0] Archivtyp: CAB (Microsoft) --> setupdd.sys SETUPLDR.BIN SETUPREG.HIV SFLOPPY.SY_ [0] Archivtyp: CAB (Microsoft) --> sfloppy.sys SLIP.SY_ [0] Archivtyp: CAB (Microsoft) --> slip.sys SPARROW.SY_ [0] Archivtyp: CAB (Microsoft) --> sparrow.sys SPCMDCON.SYS SPDDLANG.SY_ [0] Archivtyp: CAB (Microsoft) --> spddlang.sys STREAMIP.SY_ [0] Archivtyp: CAB (Microsoft) --> streamip.sys SYMC810.SY_ [0] Archivtyp: CAB (Microsoft) --> symc810.sys SYMC8XX.SY_ [0] Archivtyp: CAB (Microsoft) --> symc8xx.sys SYM_HI.SY_ [0] Archivtyp: CAB (Microsoft) --> sym_hi.sys SYM_U3.SY_ [0] Archivtyp: CAB (Microsoft) --> sym_u3.sys TFFSPORT.SY_ [0] Archivtyp: CAB (Microsoft) --> tffsport.sys TOSIDE.SY_ Ende des Suchlaufs: Samstag, 31. Januar 2009 16:13 Benötigte Zeit: 07:33 Minute(n) Der Suchlauf wurde abgebrochen! 6 Verzeichnisse wurden überprüft 364 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 364 Dateien ohne Befall 96 Archive wurden durchsucht 0 Warnungen 0 Hinweise 533353 Objekte wurden beim Rootkitscan durchsucht 17 Versteckte Objekte wurden gefunden |
|
|
||
31.01.2009, 16:21
Member
Beiträge: 3716 |
#25
Hallo, lad dir wieder avenger erstelle ein script:
registry keys to delete: HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys HKEY_LOCAL_MACHINE\System\ControlSet003\Services\gaopdxserv.sys poste das inhalt vom log Dieser Beitrag wurde am 31.01.2009 um 16:33 Uhr von virenfinder editiert.
|
|
|
||
31.01.2009, 16:44
Member
Themenstarter Beiträge: 32 |
#26
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Registry key "HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys" deleted successfully. Registry key "HKEY_LOCAL_MACHINE\System\ControlSet003\Services\gaopdxserv.sys" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
|
|
||
31.01.2009, 16:46
Member
Beiträge: 3716 |
#27
ok sieht gut aus, rutner mit avenger + backups lass nun kaspersky online scan laufen.
www.kaspersky.com/de/virusscanner - 22k - gesammter pc log posten |
|
|
||
31.01.2009, 19:37
Member
Themenstarter Beiträge: 32 |
#28
-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER Samstag, 31. Januar 2009 19:36:15 Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600) Version von Kaspersky Online Scanner: 5.0.98.2 Letztes Update der Antiviren-Datenbanken: 31/01/2009 Anzahl der Einträge in den Antiviren-Datenbanken: 1732766 ------------------------------------------------------------------------------- Scan-Einstellungen: Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte Archive untersuchen: ja Mail-Datenbanken untersuchen: ja Untersuchungsobjekt - Arbeitsplatz: C:\ D:\ E:\ G:\ Untersuchungsergebnisse: Untersuchte Objekte insgesamt: 93006 Viren gefunden: 3 Infizierte Objekte gefunden: 10 Verdächtige Objekte gefunden: 0 Untersuchungszeit: 02:10:39 Name des infizierten Objekts / Virusname / Letzte Aktion C:\autorun.inf\lpt3.This folder was created by Flash_Disinfector Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nieze0611\Anwendungsdaten\ICQ\300082004\Messages.mdb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nieze0611\Anwendungsdaten\ICQ\300082004\Owner.mdb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nieze0611\Anwendungsdaten\ICQ\Application.mdb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nieze0611\Anwendungsdaten\Microsoft\MSNLiveFav\LiveFavorites.xml Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nieze0611\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\cert8.db Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nieze0611\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\content-prefs.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nieze0611\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\cookies.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nieze0611\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\downloads.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nieze0611\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\formhistory.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nieze0611\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\key3.db Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nieze0611\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\parent.lock Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nieze0611\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\permissions.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nieze0611\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\places.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nieze0611\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\places.sqlite-journal Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nieze0611\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\search.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nieze0611\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nieze0611\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nieze0611\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nieze0611\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nieze0611\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nieze0611\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nieze0611\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nieze0611\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\rohfexnh.default\urlclassifier3.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nieze0611\Lokale Einstellungen\Temp\etilqs_NgYXKpOc8pymFDjWudqn Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nieze0611\Lokale Einstellungen\Temp\JET73D3.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nieze0611\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nieze0611\Lokale Einstellungen\Temporary Internet Files\PhishingFilter\45E13EC5-3DB7-4B3D-9F80-073A58AB5E82.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nieze0611\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nieze0611\ntuser.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nieze0611\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\gaopdxodlsxmnn.dll.ren Infizierte Objekte: Rootkit.Win32.TDSS.gxu übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\Perflib_Perfdata_2f8.dat Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen D:\autorun.inf\lpt3.This folder was created by Flash_Disinfector Das Objekt ist gesperrt übersprungen D:\RECYCLER\S-0-8-31-100005849-100018814-100001331-3355.com Infizierte Objekte: Rootkit.Win32.TDSS.gxg übersprungen D:\RECYCLER\S-1-4-92-100003916-100019850-100010286-9297.com Infizierte Objekte: Rootkit.Win32.TDSS.gxg übersprungen D:\RECYCLER\S-3-1-14-100004561-100018683-100028768-5846.com Infizierte Objekte: Rootkit.Win32.TDSS.gxg übersprungen D:\RECYCLER\S-8-6-83-100006709-100028841-100011393-6201.com Infizierte Objekte: Rootkit.Win32.TDSS.gxg übersprungen D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen E:\autorun.inf\lpt3.This folder was created by Flash_Disinfector Das Objekt ist gesperrt übersprungen E:\RECYCLER\S-0-8-31-100005849-100018814-100001331-3355.com Infizierte Objekte: Rootkit.Win32.TDSS.gxg übersprungen E:\RECYCLER\S-1-4-92-100003916-100019850-100010286-9297.com Infizierte Objekte: Rootkit.Win32.TDSS.gxg übersprungen E:\RECYCLER\S-3-1-14-100004561-100018683-100028768-5846.com Infizierte Objekte: Rootkit.Win32.TDSS.gxg übersprungen E:\RECYCLER\S-8-6-83-100006709-100028841-100011393-6201.com Infizierte Objekte: Rootkit.Win32.TDSS.gxg übersprungen E:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen E:\System Volume Information\_restore{1D3C8050-7D3C-46A7-B8EB-8A6D325A41B4}\RP0\A0000036.dll Infizierte Objekte: Rootkit.Win32.TDSS.eyj übersprungen E:\System Volume Information\_restore{1D3C8050-7D3C-46A7-B8EB-8A6D325A41B4}\RP0\change.log Das Objekt ist gesperrt übersprungen G:\autorun.inf\lpt3.This folder was created by Flash_Disinfector Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. |
|
|
||
31.01.2009, 19:46
Member
Beiträge: 3716 |
#29
avenger:
Files to delete: C:\WINDOWS\system32\gaopdxodlsxmnn.dll.ren D:\RECYCLER\S-0-8-31-100005849-100018814-100001331-3355.com D:\RECYCLER\S-1-4-92-100003916-100019850-100010286-9297.com D:\RECYCLER\S-3-1-14-100004561-100018683-100028768-5846.com D:\RECYCLER\S-8-6-83-100006709-100028841-100011393-6201.com E:\RECYCLER\S-0-8-31-100005849-100018814-100001331-3355.com E:\RECYCLER\S-1-4-92-100003916-100019850-100010286-9297.com E:\RECYCLER\S-3-1-14-100004561-100018683-100028768-5846.com E:\RECYCLER\S-8-6-83-100006709-100028841-100011393-6201.com log posten danach neu starten dann f-secure laufen lassen. |
|
|
||
31.01.2009, 19:54
Member
Themenstarter Beiträge: 32 |
#30
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\WINDOWS\system32\gaopdxodlsxmnn.dll.ren" deleted successfully. File "D:\RECYCLER\S-0-8-31-100005849-100018814-100001331-3355.com" deleted successfully. File "D:\RECYCLER\S-1-4-92-100003916-100019850-100010286-9297.com" deleted successfully. File "D:\RECYCLER\S-3-1-14-100004561-100018683-100028768-5846.com" deleted successfully. File "D:\RECYCLER\S-8-6-83-100006709-100028841-100011393-6201.com" deleted successfully. File "E:\RECYCLER\S-0-8-31-100005849-100018814-100001331-3355.com" deleted successfully. File "E:\RECYCLER\S-1-4-92-100003916-100019850-100010286-9297.com" deleted successfully. File "E:\RECYCLER\S-3-1-14-100004561-100018683-100028768-5846.com" deleted successfully. File "E:\RECYCLER\S-8-6-83-100006709-100028841-100011393-6201.com" deleted successfully. Completed script processing. ******************* Finished! Terminate. F-Secure 1.2. Scanning Report Saturday, January 31, 2009 20:25:49 - 02:25:56 Computer name: NIEZE Scanning type: Scan system for malware, rootkits Target: C:\ D:\ E:\ Result: 2 malware found TrackingCookie.2o7 (spyware) * System TrackingCookie.Atwola (spyware) * System Statistics Scanned: * Files: 24633 * System: 4007 * Not scanned: 12 Actions: * Disinfected: 0 * Renamed: 0 * Deleted: 0 * None: 2 * Submitted: 0 Files not scanned: * C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS * C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT * C:\WINDOWS\SYSTEM32\CONFIG\SAM * C:\WINDOWS\SYSTEM32\CONFIG\SECURITY * C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE * C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM * C:\DOKUMENTE UND EINSTELLUNGEN\NIEZE0611\LOKALE EINSTELLUNGEN\TEMP\ETILQS_1T0EISNJ1P3XS9HPGVMU * C:\DOKUMENTE UND EINSTELLUNGEN\NIEZE0611\LOKALE EINSTELLUNGEN\TEMP\HSPERFDATA_NIEZE0611\2236 * C:\DOKUMENTE UND EINSTELLUNGEN\NIEZE0611\LOKALE EINSTELLUNGEN\TEMP\HSPERFDATA_NIEZE0611\3264 * C:\DOKUMENTE UND EINSTELLUNGEN\NIEZE0611\ANWENDUNGSDATEN\ICQ\APPLICATION.MDB * C:\DOKUMENTE UND EINSTELLUNGEN\NIEZE0611\ANWENDUNGSDATEN\ICQ\300082004\MESSAGES.MDB * C:\DOKUMENTE UND EINSTELLUNGEN\NIEZE0611\ANWENDUNGSDATEN\ICQ\300082004\OWNER.MDB Options Scanning engines: * F-Secure USS: 3.0.0 * F-Secure Hydra: 3.6.8511, 2009-01-31 * F-Secure AVP: 7.0.171, 2009-01-31 * F-Secure Pegasus: 1.20.0, 1970-00-01 * F-Secure Blacklight: 0.0.0 Scanning options: * Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JOB LSP MAP MHT MIF PHP POT SWF WMF NWS TAR * Use Advanced heuristics Copyright © 1998-2007 Product support |Send virus sample to F-Secure F-Secure assumes no responsibility for material created or published by third parties that F-Secure World Wide Web pages have a link to. Unless you have clearly stated otherwise, by submitting material to any of our servers, for example by E-mail or via our F-Secure's CGI E-mail, you agree that the material you make available may be published in the F-Secure World Wide Pages or hard-copy publications. You will reach F-Secure public web site by clicking on underlined links. While doing this, your access will be logged to our private access statistics with your domain name.This information will not be given to any third party. You agree not to take action against us in relation to material that you submit. Unless you have clearly stated otherwise, by submitting material you warrant that F-Secure may incorporate any concepts described in it in the F-Secure products/publications without liability. HJT 1.2. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 08:16:51, on 01.02.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe E:\Brenner\Nero\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe E:\Avira\AntiVir PersonalEdition Premium\sched.exe E:\Avira\AntiVir PersonalEdition Premium\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe E:\Avira\AntiVir PersonalEdition Premium\avesvc.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\WINDOWS\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\SOUNDMAN.EXE E:\Multimedia\PowerDVD\PDVDServ.exe E:\Multimedia\iTunes\iTunesHelper.exe C:\WINDOWS\system32\hkcmd.exe E:\Avira\AntiVir PersonalEdition Premium\avgnt.exe E:\Multimedia\Adobe Reader\Reader\Reader_sl.exe E:\Sicherheit\NoPopUp 2003\nopopup.exe E:\Multimedia\ICQ6.5\ICQ.exe C:\WINDOWS\system32\ctfmon.exe E:\Avira\AntiVir PersonalEdition Premium\avmailc.exe E:\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE C:\Dokumente und Einstellungen\Nieze0611\Desktop\HJT.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe E:\Internet\Mozilla\firefox.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\SICHER~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe" O4 - HKLM\..\Run: [RemoteControl] E:\Multimedia\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [iTunesHelper] "E:\Multimedia\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [avgnt] "E:\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Multimedia\Adobe Reader\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SDFix] E:\SDFix\RunThis.bat /second O4 - HKCU\..\Run: [NoPopUp] E:\Sicherheit\NoPopUp 2003\nopopup.exe /autorun O4 - HKCU\..\Run: [ICQ] "E:\Multimedia\ICQ6.5\ICQ.exe" silent O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [ITD7] "E:\Sicherheit\Steganos InternetSpurenvernichter\itd7.exe" -firstboot (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [ITD7] "E:\Sicherheit\Steganos InternetSpurenvernichter\itd7.exe" -firstboot (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [ITD7] "E:\Sicherheit\Steganos InternetSpurenvernichter\itd7.exe" -firstboot (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [ITD7] "E:\Sicherheit\Steganos InternetSpurenvernichter\itd7.exe" -firstboot (User 'Default user') O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?d7b0f11a4aa94fbda6c2e0422cd6895d O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?d7b0f11a4aa94fbda6c2e0422cd6895d O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\System\OFFICE~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - E:\Internet\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - E:\Internet\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\System\OFFICE~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyPoker\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyPoker\PartyPoker\RunApp.exe (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Multimedia\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Multimedia\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SICHER~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SICHER~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Multimedia\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Multimedia\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - E:\Sicherheit\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - E:\Sicherheit\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.kle.net O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1214574115984 O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Premium\avmailc.exe O23 - Service: Avira AntiVir Premium Planer (AntiVirScheduler) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Premium\sched.exe O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Premium\avguard.exe O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Avira AntiVir Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Premium\avesvc.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - E:\Brenner\Nero\InCD\InCDsrv.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe -- End of file - 11412 bytes Dieser Beitrag wurde am 01.02.2009 um 08:19 Uhr von nieze editiert.
|
|
|
||
; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0
; Results at 30.01.2009 20:07:27 for strings:
; 'gaopdxserv'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
; End Of The Log...