Wie werd ich "Trojan.DNS_Changer" wieder los ?? |
||
---|---|---|
#0
| ||
17.03.2009, 14:00
Member
Beiträge: 3716 |
||
|
||
17.03.2009, 14:08
Member
Themenstarter Beiträge: 47 |
#17
Ok, also zum 1:
Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.6.0 ; Results at 17.03.2009 14:03:06 for strings: ; '85.255.112.151' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\Tcpip\Parameters] "NameServer"="85.255.112.151,85.255.112.207" ; End Of The Log... Zum 2.: Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.6.0 ; Results at 17.03.2009 14:05:07 for strings: ; '85.255.112.207' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\Tcpip\Parameters] "NameServer"="85.255.112.151,85.255.112.207" ; End Of The Log... |
|
|
||
17.03.2009, 14:13
Member
Beiträge: 3716 |
#18
start ausfüren
regedit enter navigiere zu: [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\Tcpip\Parameters] auf der rechten seite: "NameServer"="85.255.112.151,85.255.112.207" rechtsklick löschen. navigiere zu: [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\Tcpip\Parameters] auf der rechten seite wieder löschen: "NameServer"="85.255.112.151,85.255.112.207" pc neu starten, neues hijackthis-log. |
|
|
||
17.03.2009, 14:21
Member
Themenstarter Beiträge: 47 |
#19
Selber "Ordner" habe jedoch nur 1 Datei gefunden. War es evtl. die gleiche wie die 2.?
|
|
|
||
17.03.2009, 14:26
Member
Beiträge: 3716 |
#20
ja der schlüssel ist der gleiche, wenns nur einen eintrag gibt, ist es ok, dann neu starten neues hijackthis-log posten.
|
|
|
||
17.03.2009, 14:27
Member
Themenstarter Beiträge: 47 |
#21
Schon erledigt: :-)
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:27:04, on 17.03.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\System32\smss.exe C:\Windows\system32\csrss.exe C:\Windows\system32\wininit.exe C:\Windows\system32\csrss.exe C:\Windows\system32\services.exe C:\Windows\system32\lsass.exe C:\Windows\system32\lsm.exe C:\Windows\system32\svchost.exe C:\Windows\system32\nvvsvc.exe C:\Windows\system32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\system32\SLsvc.exe C:\Windows\system32\svchost.exe C:\Windows\system32\winlogon.exe C:\Windows\system32\svchost.exe C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe C:\Windows\system32\rundll32.exe C:\Windows\System32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Windows\system32\svchost.exe C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Program Files\a-squared Free\a2service.exe C:\Windows\Explorer.EXE C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Google\Update\GoogleUpdate.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\Windows\system32\taskeng.exe C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe C:\Program Files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe C:\Program Files\Acer\Empowering Technology\Service\ETService.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe C:\Windows\System32\rundll32.exe C:\Windows\RtHDVCpl.exe C:\Windows\PLFSetI.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\Acer\Mobility Center\MobilityService.exe C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe C:\Program Files\PC Tools Firewall Plus\FWService.exe C:\Windows\system32\svchost.exe c:\Program Files\Cyberlink\Shared files\RichVideo.exe C:\Program Files\Spyware Doctor\pctsAuxs.exe C:\Program Files\Spyware Doctor\pctsSvc.exe C:\Users\Jaws\AppData\Local\Temp\RtkBtMnt.exe C:\Program Files\Spyware Doctor\pctsTray.exe C:\Windows\system32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\system32\SearchIndexer.exe C:\Windows\system32\DRIVERS\xaudio.exe C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe C:\Windows\system32\wbem\wmiprvse.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Windows\system32\wbem\unsecapp.exe C:\Windows\system32\wbem\wmiprvse.exe C:\Program Files\Launch Manager\LManager.exe C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe C:\Program Files\Acer\Empowering Technology\eAudio\eAudio.exe C:\Program Files\Acer Arcade Deluxe\PlayMovie\PMVService.exe C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Microsoft IntelliPoint\ipoint.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\RocketDock\RocketDock.exe C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Windows\system32\wbem\unsecapp.exe C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe C:\Program Files\Synaptics\SynTP\SynTPHelper.exe C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Users\Jaws\Downloads\Firefox\HiJackThis\HJT.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=0109&m=aspire_8730 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=0109&m=aspire_8730 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\ActiveToolBand.dll O2 - BHO: amazon - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\PROGRA~1\PREISP~1\IEBUTT~2.DLL O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll O2 - BHO: eBay - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\PROGRA~1\PREISP~1\IEBUTT~1.DLL O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: Preispiraten - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - C:\PROGRA~1\PREISP~1\IEBUTT~3.DLL O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file) O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [BkupTray] "C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [ArcadeDeluxeAgent] "C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe" O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [Skytel] Skytel.exe O4 - HKLM\..\Run: [PLFSetI] C:\Windows\PLFSetI.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe O4 - HKLM\..\Run: [ePower_DMC] C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe O4 - HKLM\..\Run: [eAudio] "C:\Program Files\Acer\Empowering Technology\eAudio\eAudio.exe" O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\Acer Arcade Deluxe\PlayMovie\PMVService.exe" O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe" O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe" O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [ProductReg] "C:\Program Files\Acer\WR_PopUp\ProductReg.exe" O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe" O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - Startup: Orion.lnk = C:\Program Files\Convesoft\Orion\Messenger.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Program Files\\Preispiraten6\\preispiraten.html O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Preispiraten - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Program Files\Preispiraten6\preispiraten3ie.exe O9 - Extra 'Tools' menuitem: Preispiraten - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Program Files\Preispiraten6\preispiraten3ie.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: Amazon Startseite - {9E029088-432F-4EBF-9537-0171A4C37870} - http://webtip.ch/cgi-bin/amz_track/tracker_de.pl?loc=main&site=home (file missing) O9 - Extra 'Tools' menuitem: Amazon Startseite - {9E029088-432F-4EBF-9537-0171A4C37870} - http://webtip.ch/cgi-bin/amz_track/tracker_de.pl?loc=main&site=home (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: eBay - {E79005A3-0F92-434B-9F7B-51131FC7168F} - http://www.preispiraten.de/e/tr_ebdestart.pl?http://www.ebay.de (file missing) O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Program Files\PokerStars.NET\PokerStarsUpdate.exe O13 - Gopher Prefix: O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CS7\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: NTI Backup Now 5 Agent Service (BUNAgentSvc) - NewTech Infosystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe O23 - Service: CLHNService - Unknown owner - C:\Program Files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe O23 - Service: Empowering Technology Service (ETService) - Unknown owner - C:\Program Files\Acer\Empowering Technology\Service\ETService.exe O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe O23 - Service: Google Desktop Manager 5.7.808.7150 (GoogleDesktopManager-080708-050100) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: Google Update Service (gupdate1c99d96f2f1fc10) (gupdate1c99d96f2f1fc10) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe O23 - Service: NTI Backup Now 5 Backup Service (NTIBackupSvc) - NewTech InfoSystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe O23 - Service: NTI Backup Now 5 Scheduler Service (NTISchedulerSvc) - Unknown owner - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - c:\Program Files\Cyberlink\Shared files\RichVideo.exe O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe -- End of file - 15152 bytes |
|
|
||
17.03.2009, 14:35
Member
Beiträge: 3716 |
#22
so, in die ukraine wirst du nu net mehr geleitet aber trotzdem noch nichts weiter mit dem PC machen:
http://virus-protect.org/rootkitscanner.html Wir werden jetzt rootkitscans ausfüren. Bitte alle programme während der scans ausschalten und zwischendurch und danach nicht neu starten. Verbinung zum internet trennen, also kabel raus oder wlan aus. Die Scans wieder als administrator ausfüren! Folgende Scanner verwenden: gmer catchme blacklight poste die logs. |
|
|
||
17.03.2009, 14:39
Member
Themenstarter Beiträge: 47 |
#23
Alle Programmes heißt auch wieder Avira,Spybot ..... ? Oder nur offene Fenster?
|
|
|
||
17.03.2009, 14:44
Member
Beiträge: 3716 |
#24
lösche im selben schlüssel wie eben:
"NameServer"="208.67.220.220,208.67.222.222" |
|
|
||
17.03.2009, 14:44
Member
Beiträge: 3716 |
#25
offene fenster avira alles was so läuft grad!
|
|
|
||
17.03.2009, 14:47
Member
Themenstarter Beiträge: 47 |
||
|
||
17.03.2009, 14:50
Member
Beiträge: 3716 |
||
|
||
17.03.2009, 16:29
Member
Themenstarter Beiträge: 47 |
#28
So das hat jetzt gedauert.........
Ungestartet und wieder einigermaßen sicher die Logs: Gmer: GMER 1.0.15.14939 - http://www.gmer.net Rootkit scan 2009-03-17 15:47:21 Windows 6.0.6001 Service Pack 1 ---- System - GMER 1.0.15 ---- SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwAllocateVirtualMemory [0x9E290B94] SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwAlpcConnectPort [0x9E290516] SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwAssignProcessToJobObject [0x9E290586] SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwConnectPort [0x9E2905DA] SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwCreateFile [0x9E290640] SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwCreateProcess [0x9E29072E] SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwCreateProcessEx [0x9E2907BA] SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwCreateThread [0x9E29084A] SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwDebugActiveProcess [0x9E290980] SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwDuplicateObject [0x9E2909D4] SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwLoadDriver [0x9E290A3A] SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwOpenKey [0x9E290A8C] SSDT 9DA454A8 ZwOpenProcess SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwOpenSection [0x9E290AE4] SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwOpenThread [0x9E290B3C] SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwProtectVirtualMemory [0x9E290BFA] SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwRestoreKey [0x9E290C58] SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwResumeThread [0x9E290CB6] SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwSecureConnectPort [0x9E290D74] SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwSetValueKey [0x9E290D08] SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwSuspendProcess [0x9E290DDE] SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwSystemDebugControl [0x9E290E30] SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwTerminateProcess [0x9E290E90] SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwWriteVirtualMemory [0x9E290EF4] SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwCreateThreadEx [0x9E2908EC] SSDT \??\C:\Windows\system32\drivers\PCTAppEvent.sys ZwCreateUserProcess [0x9E2906BE] ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!KeSetTimerEx + 364 822C8928 4 Bytes [94, 0B, 29, 9E] {XCHG ESP, EAX; OR EBP, [ECX]; SAHF } .text ntkrnlpa.exe!KeSetTimerEx + 370 822C8934 4 Bytes [16, 05, 29, 9E] .text ntkrnlpa.exe!KeSetTimerEx + 3C4 822C8988 4 Bytes [86, 05, 29, 9E] .text ntkrnlpa.exe!KeSetTimerEx + 3F4 822C89B8 4 Bytes [DA, 05, 29, 9E] .text ntkrnlpa.exe!KeSetTimerEx + 40C 822C89D0 4 Bytes [40, 06, 29, 9E] .text ... ---- User code sections - GMER 1.0.15 ---- .text C:\Windows\Explorer.EXE[2016] SHELL32.dll!InitNetworkAddressControl + 2939 767F0064 4 Bytes [00, 26, 00, 10] {ADD [ESI], AH; ADD [EAX], DL} ---- User IAT/EAT - GMER 1.0.15 ---- IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [74B37BA4] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [74B798C5] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [74B3D3C8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [74B2F527] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [74B37599] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [74B2E43D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStreamICM] [74B6B33D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStream] [74B3D68A] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [74B3012E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [74B30095] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [74B271F3] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFileICM] [74BBD802] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFile] [74B575E1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [74B2DAE1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree] [74B2668F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [74B266BA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [74B31E45] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!CreateThread] [100027E0] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Egis Inc. PSD DragDrop Protection/Egis Inc.) IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!FreeLibraryAndExitThread] [10001D90] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Egis Inc. PSD DragDrop Protection/Egis Inc.) IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress] [10002B30] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Egis Inc. PSD DragDrop Protection/Egis Inc.) IAT C:\Windows\Explorer.EXE[2016] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA] [100011D0] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Egis Inc. PSD DragDrop Protection/Egis Inc.) ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation) AttachedDevice \Driver\tdx \Device\Tcp pctgntdi.sys AttachedDevice \Driver\tdx \Device\Udp pctgntdi.sys AttachedDevice \Driver\tdx \Device\RawIp pctgntdi.sys AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation) ---- EOF - GMER 1.0.15 ---- CatchMe: catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006 http://www.gmer.net scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 BlackLight: Scan targets: Hidden processes & hidden files and folders Status: Scan complete. No hidden items found. Summary: Hidden items found: 0 Item queued renaming: 0 |
|
|
||
17.03.2009, 16:37
Member
Beiträge: 3716 |
#29
das sieht doch schon mal gut aus!
noch probleme? füre im abgesicherten modus aus, lösche alle funde, poste das log: http://virus-protect.org/cureit.html |
|
|
||
17.03.2009, 18:30
Member
Themenstarter Beiträge: 47 |
#30
Also Spyware Doktor findet diesen Trojaner nicht mehr. JUHU.
Jedoch meldet er jetzt Probleme mit: Application.NirCmd, scheint aber von ComboFix zu stammen. Dr.Web Antivirus läuft noch, hat aber auch Probleme mit CombiFix gemeldet. Habe noch Spybot geöffnet, dann kamen haufenweise geblockte Infektionen. Sende ich mal: 17.03.2009 16:21:29:426 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.NirCmd Typ - Registrierungswert Risiko-Stufe - Info Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, combofix_wow 17.03.2009 16:21:29:428 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.NirCmd Typ - Registrierungswert Risiko-Stufe - Info Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, Runs 17.03.2009 16:21:29:429 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.NirCmd Typ - Registrierungswert Risiko-Stufe - Info Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, SnapShot 17.03.2009 16:21:29:430 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.NirCmd Typ - Registrierungsschlüssel Risiko-Stufe - Info Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware 17.03.2009 16:21:29:508 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.NirCmd Typ - Registrierungswert Risiko-Stufe - Info Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME, NextInstance 17.03.2009 16:21:29:511 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.NirCmd Typ - Registrierungswert Risiko-Stufe - Info Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Service 17.03.2009 16:21:29:513 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.NirCmd Typ - Registrierungswert Risiko-Stufe - Info Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Legacy 17.03.2009 16:21:29:515 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.NirCmd Typ - Registrierungswert Risiko-Stufe - Info Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ConfigFlags 17.03.2009 16:21:29:516 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.NirCmd Typ - Registrierungswert Risiko-Stufe - Info Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Class 17.03.2009 16:21:29:518 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.NirCmd Typ - Registrierungswert Risiko-Stufe - Info Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ClassGUID 17.03.2009 16:21:29:520 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.NirCmd Typ - Registrierungswert Risiko-Stufe - Info Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, DeviceDesc 17.03.2009 16:21:29:522 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.NirCmd Typ - Registrierungswert Risiko-Stufe - Info Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Capabilities 17.03.2009 16:21:29:524 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.NirCmd Typ - Registrierungsschlüssel Risiko-Stufe - Info Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000\Control 17.03.2009 16:21:29:525 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.NirCmd Typ - Registrierungsschlüssel Risiko-Stufe - Info Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000 17.03.2009 16:21:29:527 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.NirCmd Typ - Registrierungsschlüssel Risiko-Stufe - Info Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME 17.03.2009 16:21:29:564 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.NirCmd Typ - Registrierungswert Risiko-Stufe - Info Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Type 17.03.2009 16:21:29:565 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.NirCmd Typ - Registrierungswert Risiko-Stufe - Info Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ErrorControl 17.03.2009 16:21:29:566 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.NirCmd Typ - Registrierungswert Risiko-Stufe - Info Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Start 17.03.2009 16:21:29:567 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.NirCmd Typ - Registrierungswert Risiko-Stufe - Info Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ImagePath 17.03.2009 16:21:29:568 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.NirCmd Typ - Registrierungswert Risiko-Stufe - Info Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Group 17.03.2009 16:21:29:569 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.NirCmd Typ - Registrierungswert Risiko-Stufe - Info Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, 0 17.03.2009 16:21:29:570 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.NirCmd Typ - Registrierungswert Risiko-Stufe - Info Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, Count 17.03.2009 16:21:29:571 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.NirCmd Typ - Registrierungswert Risiko-Stufe - Info Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, NextInstance 17.03.2009 16:21:29:572 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.NirCmd Typ - Registrierungsschlüssel Risiko-Stufe - Info Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum 17.03.2009 16:21:29:572 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.NirCmd Typ - Registrierungsschlüssel Risiko-Stufe - Info Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme 17.03.2009 16:22:23:495 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.NirCmd Typ - Datei Risiko-Stufe - Info Infektion - C:\ComboFix\catchme.cfexe 17.03.2009 16:22:23:497 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.NirCmd Typ - Ordner Risiko-Stufe - Info Infektion - C:\ComboFix\ 17.03.2009 16:22:23:568 Scan beendet Scan-Art - Intelli-Scan Bearbeitete Elemente - 64529 Gefundene Bedrohungen - 1 Gefundene Infektionen - 27 Übergangene Infektionen - 0 17.03.2009 16:29:19:808 Smart Update Sie verwenden die neueste Version von Spyware Doctor 17.03.2009 16:29:20:964 Immunizer-Ergebnisse ActiveX-Abschnitt wurde immunisiert. Es wurden keine Objekte bearbeitet. 17.03.2009 17:05:35:866 IntelliGuard: Systemereignis blockiert Name der Bedrohung - Trojan.CWS Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung. Risiko-Stufe - Hoch Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26 17.03.2009 17:05:36:185 IntelliGuard: Systemereignis blockiert Name der Bedrohung - Email-Worm.Zhelatin Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung. Risiko-Stufe - Hoch Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26 17.03.2009 17:05:36:261 IntelliGuard: Systemereignis blockiert Name der Bedrohung - Trojan.Repsamo Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung. Risiko-Stufe - Hoch Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26 17.03.2009 17:05:36:333 IntelliGuard: Systemereignis blockiert Name der Bedrohung - Adware.EliteBar Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung. Risiko-Stufe - Hoch Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26 17.03.2009 17:05:36:338 IntelliGuard: Systemereignis blockiert Name der Bedrohung - Adware.EliteBar Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung. Risiko-Stufe - Hoch Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26 17.03.2009 17:05:36:358 IntelliGuard: Systemereignis blockiert Name der Bedrohung - Adware.EliteBar Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung. Risiko-Stufe - Hoch Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26 17.03.2009 17:05:36:402 IntelliGuard: Systemereignis blockiert Name der Bedrohung - Trojan-Proxy.Lager.f Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung. Risiko-Stufe - Hoch Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26 17.03.2009 17:05:36:419 IntelliGuard: Systemereignis blockiert Name der Bedrohung - Trojan.CWS Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung. Risiko-Stufe - Hoch Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26 17.03.2009 17:05:36:462 IntelliGuard: Systemereignis blockiert Name der Bedrohung - Spyware.Known_Bad_Sites Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung. Risiko-Stufe - Hoch Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26 17.03.2009 17:05:36:484 IntelliGuard: Systemereignis blockiert Name der Bedrohung - Trojan-Proxy.Lager.f Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung. Risiko-Stufe - Hoch Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26 17.03.2009 17:05:36:489 IntelliGuard: Systemereignis blockiert Name der Bedrohung - Trojan.CWS Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung. Risiko-Stufe - Hoch Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26 17.03.2009 17:05:36:539 IntelliGuard: Systemereignis blockiert Name der Bedrohung - Trojan-Downloader.Agent.SY Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung. Risiko-Stufe - Hoch Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26 17.03.2009 17:05:36:543 IntelliGuard: Systemereignis blockiert Name der Bedrohung - Trojan.CWS Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung. Risiko-Stufe - Hoch Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26 17.03.2009 17:05:36:576 IntelliGuard: Systemereignis blockiert Name der Bedrohung - Trojan.Desktopscam Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung. Risiko-Stufe - Hoch Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26 17.03.2009 17:05:36:604 IntelliGuard: Systemereignis blockiert Name der Bedrohung - Trojan-Downloader.Small.DTC Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung. Risiko-Stufe - Hoch Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26 17.03.2009 17:05:36:626 IntelliGuard: Systemereignis blockiert Name der Bedrohung - Trojan.Virtumonde Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung. Risiko-Stufe - Erhöht Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26 17.03.2009 17:05:36:642 IntelliGuard: Systemereignis blockiert Name der Bedrohung - Spyware.Known_Bad_Sites Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung. Risiko-Stufe - Hoch Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26 17.03.2009 17:05:36:657 IntelliGuard: Systemereignis blockiert Name der Bedrohung - Trojan.LockSky Details - Spyware Doctor hat eine Anwendung blockiert, die versucht schreiben nach zu die Registrierung. Risiko-Stufe - Hoch Infektion - HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\RANGES\RANGE26 Konnte auch seit wenigen Tagen die externe Festplatte F: von der Oberfläche Computer nicht öffenen, mußte rechte Maustaste und Explorer machen, dann gings. Dr Web AV medlet auch: Objekt: Autorun.inf, Pfad:F:/, Wahrscheinlich WIN32.HLLW.Autoruner.corrupted wurde aber verschoben. Hat das was damit zu tun. Komplette Dr Web AV Log folgt....... Jetzt schonmal vielen vielen Dank. ;-) |
|
|
||
85.255.112.151
85.255.112.207
also nacheinander.