Home » Viren, Trojaner & Malware Forum » Trojaner Backdoor.Ciadoor eingefangen » Themenansicht

Trojaner Backdoor.Ciadoor eingefangen
#0
26.11.2009, 21:50
nic_
Member

Beiträge: 28
#1 Hallo,
ich brauche mal eure Hilfe, weil ich den Trojaner Backdoor.Ciadoor auf dem PC habe.

Also, vor einiger Zeit hatte ich mir mal diesen Xenocode Firefox Sandbox Browser draufgemacht, aber seit Wochen nicht mehr benutzt. Jetzt wollte ich ihn wieder starten und erhalte die Meldung, dass die Firefox.exe nicht gefunden werden kann und anschließend öffnet sich Symantec AntiVirus und meldet darin den Trojaner. Habe mehrmals versucht den kompletten Xenocode Ordner samt Unterordnern zu löschen, aber der erstellt sich immer wieder neu.

Jetzt habe ich den Computer mit Virenprogramm und Ad-Aware komplett übeprüft, aber es wurde nichts gefunden. Nur wenn ich diesen Xenocode Firefox starten will, kommt wieder diese Meldung.

Kann mir vielleicht jemand helfen, dieses Ding wieder loszuwerden? Da das nicht mein eigener PC, habe ich auch nicht die Möglichkeit zu formatieren. ;)


Danke schon mal im Voraus.

nic
Seitenanfang Seitenende
26.11.2009, 22:23
Swisstreasure
Moderator

Beiträge: 5694
#2 Hallo und Willkommen auf Protecus.de

Arbeite bitte den Link in meiner Signatur durch.
Seitenanfang Seitenende
26.11.2009, 23:47
nic_
Member

Themenstarter

Beiträge: 28
#3 Danke erstmal für die Antwort. ;)

Bin jetzt die einzelnen Punkte durchgegangen.


Malwarebytes hat nichts gefunden.

Gmer Report hat sich erstmal mit einem Bluescreen verabschiedet, aber beim nächsten mal ging es. Hier der log:

GMER 1.0.15.15252 - http://www.gmer.net
Rootkit scan 2009-11-26 23:29:53
Windows 6.0.6002 Service Pack 2
Running: 08zibzm2.exe; Driver: C:\Users\Bernhard\AppData\Local\Temp\fwldikog.sys


---- System - GMER 1.0.15 ----

SSDT 860474E0 ZwAlertResumeThread
SSDT 860475C0 ZwAlertThread
SSDT 860461F8 ZwAllocateVirtualMemory
SSDT 85FBD008 ZwConnectPort
SSDT 8604AE48 ZwCreateMutant
SSDT 8604CB50 ZwCreateThread
SSDT 86046068 ZwFreeVirtualMemory
SSDT 8604AF28 ZwImpersonateAnonymousToken
SSDT 8604A008 ZwImpersonateThread
SSDT 860467F8 ZwMapViewOfSection
SSDT 8604AD68 ZwOpenEvent
SSDT 8604CF90 ZwOpenProcessToken
SSDT 86047DD8 ZwOpenThreadToken
SSDT 86045880 ZwResumeThread
SSDT 86047CF8 ZwSetContextThread
SSDT 86046678 ZwSetInformationProcess
SSDT 86047C18 ZwSetInformationThread
SSDT 8604AC88 ZwSuspendProcess
SSDT 86047758 ZwSuspendThread
SSDT 86040700 ZwTerminateProcess
SSDT 86047838 ZwTerminateThread
SSDT 86046718 ZwUnmapViewOfSection
SSDT 86046128 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!KeSetEvent + 11D 822FD860 8 Bytes [E0, 74, 04, 86, C0, 75, 04, ...] {LOOPNZ 0x76; ADD AL, 0x86; SAL BYTE [EBP+0x4], 0x86}
.text ntkrnlpa.exe!KeSetEvent + 131 822FD874 4 Bytes [F8, 61, 04, 86] {CLC ; POPA ; ADD AL, 0x86}
.text ntkrnlpa.exe!KeSetEvent + 1C1 822FD904 4 Bytes [08, D0, FB, 85]
.text ntkrnlpa.exe!KeSetEvent + 1F5 822FD938 4 Bytes [48, AE, 04, 86] {DEC EAX; SCASB ; ADD AL, 0x86}
.text ntkrnlpa.exe!KeSetEvent + 221 822FD964 4 Bytes [50, CB, 04, 86] {PUSH EAX; RETF ; ADD AL, 0x86}
.text ...
.text C:\Windows\system32\DRIVERS\nvlddmkm.sys section is writeable [0x8C800340, 0x35AB87, 0xE8000020]

---- Devices - GMER 1.0.15 ----

Device Ntfs.sys (NT-Dateisystemtreiber/Microsoft Corporation)
Device fastfat.SYS (Fast FAT File System Driver/Microsoft Corporation)

AttachedDevice \Driver\tdx \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\tdx \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
Seitenanfang Seitenende
26.11.2009, 23:49
nic_
Member

Themenstarter

Beiträge: 28
#4 HijackThis Logfile:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:38:54, on 26.11.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Symantec AntiVirus\VPTray.exe
C:\Windows\System32\rundll32.exe
C:\Windows\WindowsMobile\wmdSync.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\System32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Uschi\Desktop\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKLM\..\RunOnce: [*WerKernelReporting] %SYSTEMROOT%\SYSTEM32\WerFault.exe -k -rq
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1959045385-2664134826-2387539257-1003\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User 'Uschi')
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2780E940-DDE1-4A12-AF43-D77E880F8801}: NameServer = 194.25.2.129,192.168.100.210
O17 - HKLM\System\CS1\Services\Tcpip\..\{2780E940-DDE1-4A12-AF43-D77E880F8801}: NameServer = 194.25.2.129,192.168.100.210
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Google Update Service (gupdate1c9f62ba559c7dd) (gupdate1c9f62ba559c7dd) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

--
End of file - 6887 bytes



Uninstall Liste:

3DMark06
Ad-Aware
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 8.1.2 - Deutsch
Adobe Shockwave Player 11.5
Apple Mobile Device Support
Apple Software Update
Bonjour
DivX Codec
Google Chrome
Google Toolbar for Internet Explorer
Google Toolbar for Internet Explorer
Google Update Helper
Google Updater
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
iCON 210
IrfanView (remove only)
iTunes
Java(TM) 6 Update 16
LiveAdvisor (Symantec Corporation)
LiveUpdate 3.2 (Symantec Corporation)
Malwarebytes' Anti-Malware
Medion GoPal Assistant 4.01.012
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Office Outlook 2003
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable
Mozilla Firefox (2.0.0.14)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB941833)
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 (KB973688)
NVIDIA Drivers
OGA Notifier 2.0.0048.0
OpenOffice.org 2.3
QuickTime
SAMSUNG Mobile Modem Driver Set
Samsung Mobile phone USB driver Software
SAMSUNG Mobile USB Modem 1.0 Software
SAMSUNG Mobile USB Modem Software
Samsung PC Studio 3
Samsung PC Studio 3 USB Driver Installer
Security Update for CAPICOM (KB931906)
Security Update for CAPICOM (KB931906)
Skype™ 4.0
Symantec AntiVirus
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
Windows Media Player Firefox Plugin


Danke schon mal für weitere Hilfe.
Seitenanfang Seitenende
27.11.2009, 17:00
Swisstreasure
Moderator

Beiträge: 5694
#5 C:\Programme\Bonjour\mDNSResponder.exe

Bei Dir läuft Bonjour, welches von Apple ungefragt z. B. bei iTunes oder Safari-Browser mitinstalliert wird. Das Programm wird von vielen Usern gar nicht gebraucht. Ich habe bei Wikipedia ausführliche Informationen zu dem Programm Bonjour gefunden und beschreibe Dir im Anschluss, wie man das Programm wieder deinstallieren kann, falls das über den normalen Weg Systemsteuerung - Software nicht möglich ist. Solltest Du es nicht brauchen, bitte zunächst versuchen, es über Systemsteuerung => Software zu deinstallieren. Sollte das nicht möglich sein, fahre wie folgt fort:

• Start => ausführen => dort reinschreiben: services.msc => OK => es öffnet sich das "Dienste"-Fenster.
"Bonjour Dienst" in der Liste auswählen und "Beenden" ausführen.
• Kommandozeile öffnen: Start => ausführen => cmd reinschreiben
und ins Verzeichnis "<Systemvolume>\Programme\Bonjour" wechseln,
z. B. mit dem Kommando: cd "C:\Programme\Bonjour"
• Folgendes Kommando eingeben: mDNSResponder -remove

Danach kannst Du den Ordner C:\Programme\Bonjour löschen.

Wenn das so nicht klappt, gehe auf diese Seite, lade Dir lspfix.zip runter und entpacke das Archiv auf Deinen Desktop. Wenn Du kein Zip-Programm hast, kannst Du auch LSPFix.exe und spfix.txt runterladen. Starte LSPFix.exe, schiebe mit dem >>-Button die mdnsnsp.dll nach rechts, da sie muss raus, hake "I know what i'm doing" an und klicke auf "Finish". Rechner neu starten. Der Ordner C:\Programme\Bonjour\ sollte sich nun löschen lassen.

>>>
Java aktualisieren
http://board.protecus.de/t32385-1.htm

>>>
Kaspersky Online Scan
http://board.protecus.de/t37779.htm
Seitenanfang Seitenende
27.11.2009, 17:07
nic_
Member

Themenstarter

Beiträge: 28
#6 Danke, werde ich machen, aber mit dem Trojaner Backdoor.Ciadoor hat das nichts zu tun?
Seitenanfang Seitenende
27.11.2009, 17:11
Swisstreasure
Moderator

Beiträge: 5694
#7 Ich sehe leider keien Anzeichen auf das. Darum nicht mich Kaspersky Onlinescan dann wunder.

Du kannst zudem noch eiN RSIT durchführen, ABER zuerst das obere.

4. RSIT (Systemdetails)

* Lade Random's System Information Tool (RSIT) von random/random herunter,

* speichere es auf dem Desktop.

* Starte mit Doppelklick die RSIT.exe

* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.

* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.

* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro für HJT akzeptieren: I accept.

* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.

* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.

* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und im Text-Editor geöffnet.

* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (= minimiert) hier
Seitenanfang Seitenende
30.11.2009, 00:48
nic_
Member

Themenstarter

Beiträge: 28
#8 Bonjour ist jetzt unten. ;)

Habe gestern noch einen Kaspersky Onlinescan gemacht, aber der hat auch nichts gefunden.


Gerade eben wollte ich nochmal zum Test den Xenocode Firefox Browser öffnen und er ließ sich wieder öffnen, ohne Virusmeldung. Dann habe ich gleich mal den Xenocode Ordner gelöscht und bis jetzt hat er sich nicht wieder neu erstellt.

Kann ich jetzt davon ausgehen, dass der Trojaner wirklich weg ist? Ich weiß nicht wie er gekommen ist, da nichts runtergeladen, oder installiert wurde und ich auch nicht auf unseriösen Seiten war und dass er jetzt wieder verschwunden ist, ist mir auch ein Rätsel, da ich nichts gemacht habe.

Kann ich jetzt beruhigt sein, oder kann da doch noch irgendwas sein, was kein Virenprogramm findet?

Lg

nic
Seitenanfang Seitenende
30.11.2009, 22:52
Swisstreasure
Moderator

Beiträge: 5694
#9 Da steht doch noch was von RSIT in meinem obigen Post?? ;)
Seitenanfang Seitenende
04.12.2009, 04:37
nic_
Member

Themenstarter

Beiträge: 28
#10 So, bin jetzt endlich dazu gekommen. Hoffe, dass ist richtig so. Wusste nicht wie ich das minimiert posten kann. Danke für deine Hilfe. ;)


Logfile of random's system information tool 1.06 (written by random/random)
Run by Bernhard at 2009-12-04 04:31:39
Microsoft® Windows Vista™ Home Premium Service Pack 2
System drive C: has 69 GB (45%) free of 153 GB
Total RAM: 2046 MB (39% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:32:42, on 04.12.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Symantec AntiVirus\VPTray.exe
C:\Windows\System32\rundll32.exe
C:\Windows\WindowsMobile\wmdSync.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\System32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\System32\notepad.exe
C:\Windows\System32\osk.exe
C:\Users\Uschi\Desktop\ff.exe
C:\Program Files\trend micro\Bernhard.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1959045385-2664134826-2387539257-1003\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User 'Uschi')
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2780E940-DDE1-4A12-AF43-D77E880F8801}: NameServer = 194.25.2.129,192.168.100.210
O17 - HKLM\System\CS1\Services\Tcpip\..\{2780E940-DDE1-4A12-AF43-D77E880F8801}: NameServer = 194.25.2.129,192.168.100.210
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Google Update Service (gupdate1c9f62ba559c7dd) (gupdate1c9f62ba559c7dd) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

--
End of file - 6736 bytes

======Scheduled tasks folder======

C:\Windows\tasks\Google Software Updater.job
C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
C:\Windows\tasks\User_Feed_Synchronization-{0C5279A2-ABE2-42F1-A5DD-2A42DBB83A3C}.job
C:\Windows\tasks\User_Feed_Synchronization-{32029D1D-F855-4010-A463-A98579FA4B6A}.job
C:\Windows\tasks\User_Feed_Synchronization-{DC5448AC-8CDA-4BF5-B3FA-C026AB12193B}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22BF413B-C6D2-4d91-82A9-A0F997BA588C}]
Skype add-on (mastermind) - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2009-05-26 1088296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll [2009-11-26 263280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll [2009-11-26 764912]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-10-11 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll [2009-11-26 263280]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ccApp"=C:\Program Files\Common Files\Symantec Shared\ccApp.exe [2006-11-22 107112]
"vptray"=C:\PROGRA~1\SYMANT~1\VPTray.exe [2007-01-05 135216]
"NvSvc"=C:\Windows\system32\nvsvc.dll [2007-09-11 86016]
"NvCplDaemon"=C:\Windows\system32\NvCpl.dll [2007-09-11 8497696]
"NvMediaCenter"=C:\Windows\system32\NvMcTray.dll [2007-09-11 81920]
"Windows Mobile-based device management"=C:\Windows\WindowsMobile\wmdSync.exe [2006-11-02 215552]
"QuickTime Task"=C:\Program Files\QuickTime\QTTask.exe [2009-05-26 413696]
"iTunesHelper"=C:\Program Files\iTunes\iTunesHelper.exe [2009-06-05 292136]
"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-10-11 149280]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2009-04-11 1233920]
"ehTray.exe"=C:\Windows\ehome\ehTray.exe [2008-01-19 125952]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-01-11 39792]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Program Files\Java\jre6\bin\jusched.exe [2009-10-11 149280]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
C:\Program Files\Windows Defender\MSASCui.exe [2008-01-19 1008184]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\aawservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfPf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfRd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfUsbccidDriver]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"BindDirectlyToPropertySetStorage"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0bfe7b4f-2a5f-11de-8559-00016c09bfcc}]
shell\AutoRun\command - K:\_WD\WDSetup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c2510e5-edde-11dd-a3a3-00016c09bfcc}]
shell\AutoRun\command - 9yqusig.bat
shell\explore\command - 9yqusig.bat
shell\open\command - 9yqusig.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{acd3be9c-c5fe-11de-aea5-00016c09bfcc}]
shell\AutoRun\command - G:\QsSetup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dd54c3dd-d3bf-11dc-95cd-00016c09bfcc}]
shell\1\command - autorun.pif
shell\2\command - autorun.pif
shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL autorun.pif


======List of files/folders created in the last 1 months======

2009-12-04 04:31:41 ----D---- C:\Program Files\trend micro
2009-12-04 04:31:39 ----D---- C:\rsit
2009-12-01 14:01:42 ----D---- C:\ProgramData\NOS
2009-11-27 22:42:25 ----A---- C:\Windows\system32\javaws.exe
2009-11-27 22:42:25 ----A---- C:\Windows\system32\javaw.exe
2009-11-27 22:42:25 ----A---- C:\Windows\system32\java.exe
2009-11-26 23:10:54 ----D---- C:\ProgramData\WindowsSearch
2009-11-26 22:28:58 ----D---- C:\Users\Bernhard\AppData\Roaming\Malwarebytes
2009-11-25 13:13:08 ----A---- C:\Windows\system32\tzres.dll
2009-11-25 11:22:21 ----A---- C:\Windows\system32\msxml6.dll
2009-11-25 11:22:20 ----A---- C:\Windows\system32\msxml3.dll
2009-11-18 03:17:30 ----D---- C:\Program Files\Windows Portable Devices
2009-11-18 03:04:50 ----A---- C:\Windows\system32\UIAnimation.dll
2009-11-18 03:04:49 ----A---- C:\Windows\system32\UIRibbonRes.dll
2009-11-18 03:04:49 ----A---- C:\Windows\system32\UIRibbon.dll
2009-11-18 03:04:00 ----A---- C:\Windows\system32\WMPhoto.dll
2009-11-18 03:03:59 ----A---- C:\Windows\system32\cdd.dll
2009-11-18 03:03:56 ----A---- C:\Windows\system32\printfilterpipelineprxy.dll
2009-11-18 03:03:56 ----A---- C:\Windows\system32\d3d10warp.dll
2009-11-18 03:03:55 ----A---- C:\Windows\system32\XpsRasterService.dll
2009-11-18 03:03:55 ----A---- C:\Windows\system32\XpsGdiConverter.dll
2009-11-18 03:03:55 ----A---- C:\Windows\system32\WindowsCodecsExt.dll
2009-11-18 03:03:55 ----A---- C:\Windows\system32\WindowsCodecs.dll
2009-11-18 03:03:55 ----A---- C:\Windows\system32\PhotoMetadataHandler.dll
2009-11-18 03:03:55 ----A---- C:\Windows\system32\dxdiagn.dll
2009-11-18 03:03:55 ----A---- C:\Windows\system32\d2d1.dll
2009-11-18 03:03:54 ----A---- C:\Windows\system32\xpsservices.dll
2009-11-18 03:03:54 ----A---- C:\Windows\system32\XpsPrint.dll
2009-11-18 03:03:54 ----A---- C:\Windows\system32\printfilterpipelinesvc.exe
2009-11-18 03:03:54 ----A---- C:\Windows\system32\OpcServices.dll
2009-11-18 03:03:54 ----A---- C:\Windows\system32\dxdiag.exe
2009-11-18 03:03:53 ----A---- C:\Windows\system32\FntCache.dll
2009-11-18 03:03:53 ----A---- C:\Windows\system32\DWrite.dll
2009-11-18 03:03:53 ----A---- C:\Windows\system32\d3d10level9.dll
2009-11-18 03:03:53 ----A---- C:\Windows\system32\d3d10core.dll
2009-11-18 03:03:53 ----A---- C:\Windows\system32\d3d10_1core.dll
2009-11-18 03:03:52 ----A---- C:\Windows\system32\dxgi.dll
2009-11-18 03:03:52 ----A---- C:\Windows\system32\d3d11.dll
2009-11-18 03:03:52 ----A---- C:\Windows\system32\d3d10_1.dll
2009-11-18 03:03:52 ----A---- C:\Windows\system32\d3d10.dll
2009-11-18 03:03:04 ----A---- C:\Windows\system32\WPDShextAutoplay.exe
2009-11-18 03:03:03 ----A---- C:\Windows\system32\wpdbusenum.dll
2009-11-18 03:03:03 ----A---- C:\Windows\system32\BthMtpContextHandler.dll
2009-11-18 03:02:58 ----A---- C:\Windows\system32\PortableDeviceConnectApi.dll
2009-11-18 03:02:53 ----A---- C:\Windows\system32\WpdConns.dll
2009-11-18 03:02:52 ----A---- C:\Windows\system32\WpdMtpUS.dll
2009-11-18 03:02:51 ----A---- C:\Windows\system32\WPDShServiceObj.dll
2009-11-18 03:02:51 ----A---- C:\Windows\system32\wpdshext.dll
2009-11-18 03:02:51 ----A---- C:\Windows\system32\WpdMtp.dll
2009-11-18 03:02:51 ----A---- C:\Windows\system32\wpd_ci.dll
2009-11-18 03:02:51 ----A---- C:\Windows\system32\PortableDeviceTypes.dll
2009-11-18 03:02:50 ----A---- C:\Windows\system32\WPDSp.dll
2009-11-18 03:02:50 ----A---- C:\Windows\system32\PortableDeviceWMDRM.dll
2009-11-18 03:02:50 ----A---- C:\Windows\system32\PortableDeviceClassExtension.dll
2009-11-18 03:02:50 ----A---- C:\Windows\system32\PortableDeviceApi.dll
2009-11-18 03:01:15 ----A---- C:\Windows\system32\oleaccrc.dll
2009-11-18 03:01:12 ----A---- C:\Windows\system32\oleacc.dll
2009-11-18 03:01:11 ----A---- C:\Windows\system32\UIAutomationCore.dll
2009-11-11 23:43:18 ----A---- C:\Windows\system32\WSDApi.dll

======List of files/folders modified in the last 1 months======

2009-12-04 04:31:55 ----D---- C:\Windows\Prefetch
2009-12-04 04:31:41 ----RD---- C:\Program Files
2009-12-04 04:31:29 ----D---- C:\Windows\Temp
2009-12-04 01:15:15 ----D---- C:\Windows\Tasks
2009-12-04 01:15:03 ----D---- C:\Windows\system32\inetsrv
2009-12-03 22:07:12 ----D---- C:\ProgramData\Google Updater
2009-12-03 13:11:20 ----SHD---- C:\System Volume Information
2009-12-03 08:21:05 ----D---- C:\Users\Bernhard\AppData\Roaming\OpenOffice.org2
2009-12-02 08:17:27 ----D---- C:\Windows
2009-12-01 14:01:42 ----HD---- C:\ProgramData
2009-11-30 14:42:09 ----D---- C:\Windows\Minidump
2009-11-28 04:22:02 ----D---- C:\Windows\system32\drivers
2009-11-27 23:33:17 ----RD---- C:\Users
2009-11-27 22:42:36 ----SHD---- C:\Windows\Installer
2009-11-27 22:42:25 ----D---- C:\Windows\System32
2009-11-27 22:42:21 ----D---- C:\Program Files\Java
2009-11-27 22:29:54 ----D---- C:\Windows\system32\catroot2
2009-11-27 22:09:06 ----D---- C:\Program Files\Bonjour
2009-11-27 21:10:26 ----D---- C:\Windows\inf
2009-11-27 21:10:26 ----A---- C:\Windows\system32\PerfStringBackup.INI
2009-11-26 22:47:56 ----SD---- C:\Windows\Downloaded Program Files
2009-11-25 13:33:50 ----D---- C:\Windows\rescache
2009-11-25 13:14:46 ----D---- C:\Windows\system32\de-DE
2009-11-25 13:14:19 ----D---- C:\Windows\winsxs
2009-11-25 13:13:57 ----D---- C:\Windows\system32\catroot
2009-11-25 12:55:18 ----D---- C:\Windows\Debug
2009-11-18 11:09:51 ----D---- C:\Windows\system32\Tasks
2009-11-18 03:17:30 ----D---- C:\Windows\system32\wbem
2009-11-18 03:17:27 ----D---- C:\Windows\system32\zh-TW
2009-11-18 03:17:27 ----D---- C:\Windows\system32\zh-HK
2009-11-18 03:17:27 ----D---- C:\Windows\system32\uk-UA
2009-11-18 03:17:27 ----D---- C:\Windows\system32\tr-TR
2009-11-18 03:17:27 ----D---- C:\Windows\system32\th-TH
2009-11-18 03:17:27 ----D---- C:\Windows\system32\sv-SE
2009-11-18 03:17:27 ----D---- C:\Windows\system32\sr-Latn-CS
2009-11-18 03:17:27 ----D---- C:\Windows\system32\sl-SI
2009-11-18 03:17:27 ----D---- C:\Windows\system32\sk-SK
2009-11-18 03:17:27 ----D---- C:\Windows\system32\pt-PT
2009-11-18 03:17:27 ----D---- C:\Windows\system32\pt-BR
2009-11-18 03:17:27 ----D---- C:\Windows\system32\pl-PL
2009-11-18 03:17:27 ----D---- C:\Windows\system32\nl-NL
2009-11-18 03:17:27 ----D---- C:\Windows\system32\lv-LV
2009-11-18 03:17:27 ----D---- C:\Windows\system32\lt-LT
2009-11-18 03:17:27 ----D---- C:\Windows\system32\ko-KR
2009-11-18 03:17:27 ----D---- C:\Windows\system32\it-IT
2009-11-18 03:17:27 ----D---- C:\Windows\system32\hu-HU
2009-11-18 03:17:27 ----D---- C:\Windows\system32\hr-HR
2009-11-18 03:17:27 ----D---- C:\Windows\system32\he-IL
2009-11-18 03:17:27 ----D---- C:\Windows\system32\fr-FR
2009-11-18 03:17:27 ----D---- C:\Windows\system32\fi-FI
2009-11-18 03:17:27 ----D---- C:\Windows\system32\et-EE
2009-11-18 03:17:27 ----D---- C:\Windows\system32\es-ES
2009-11-18 03:17:27 ----D---- C:\Windows\system32\el-GR
2009-11-18 03:17:27 ----D---- C:\Windows\system32\bg-BG
2009-11-18 03:17:26 ----D---- C:\Windows\system32\zh-CN
2009-11-18 03:17:26 ----D---- C:\Windows\system32\ru-RU
2009-11-18 03:17:26 ----D---- C:\Windows\system32\ro-RO
2009-11-18 03:17:26 ----D---- C:\Windows\system32\nb-NO
2009-11-18 03:17:26 ----D---- C:\Windows\system32\ja-JP
2009-11-18 03:17:26 ----D---- C:\Windows\system32\en-US
2009-11-18 03:17:26 ----D---- C:\Windows\system32\da-DK
2009-11-18 03:17:26 ----D---- C:\Windows\system32\cs-CZ
2009-11-18 03:17:26 ----D---- C:\Windows\system32\ar-SA
2009-11-12 03:10:42 ----D---- C:\Program Files\Windows Mail
2009-11-05 18:36:21 ----A---- C:\Windows\system32\mrt.exe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 eeCtrl;Symantec Eraser Control driver; \??\C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys [2009-08-27 371248]
R1 SPBBCDrv;SPBBCDrv; \??\C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCDrv.sys [2006-10-06 406672]
R1 SRTSP;SRTSP; C:\Windows\System32\Drivers\SRTSP.SYS [2006-11-22 247144]
R1 SRTSPX;SRTSPX; C:\Windows\System32\Drivers\SRTSPX.SYS [2006-11-22 25448]
R1 StarOpen;StarOpen; C:\Windows\system32\drivers\StarOpen.sys [2006-07-24 5632]
R1 SYMTDI;SYMTDI; C:\Windows\System32\Drivers\SYMTDI.SYS [2006-10-26 185744]
R2 irda;IrDA-Protokoll; C:\Windows\system32\DRIVERS\irda.sys [2008-01-19 95744]
R2 RMCAST;RMCAST (Pgm)-Protokolltreiber; C:\Windows\system32\DRIVERS\RMCAST.sys [2009-04-11 113664]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv; \??\C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2009-08-27 102448]
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\Windows\system32\DRIVERS\GEARAspiWDM.sys [2009-03-19 23400]
R3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2009-04-11 236544]
R3 irsir;Microsoft serieller Infrarottreiber; C:\Windows\system32\DRIVERS\irsir.sys [2008-01-19 20992]
R3 MQAC;@mqutil.dll,-6101; C:\Windows\system32\drivers\mqac.sys [2008-01-19 126976]
R3 NAVENG;NAVENG; \??\C:\PROGRA~2\Symantec\DEFINI~1\VIRUSD~1\20091127.003\NAVENG.SYS [2009-08-27 84912]
R3 NAVEX15;NAVEX15; \??\C:\PROGRA~2\Symantec\DEFINI~1\VIRUSD~1\20091127.003\NAVEX15.SYS [2009-08-27 1323568]
R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [2007-09-11 7623968]
R3 RTL8023xp;NDIS-x86-Treiber für Realtek 10/100-Netzwerkkartenfamilie; C:\Windows\system32\DRIVERS\Rtnicxp.sys [2006-11-02 47104]
R3 SymEvent;SymEvent; \??\C:\Windows\system32\Drivers\SYMEVENT.SYS [2007-10-11 109744]
R3 SYMREDRV;SYMREDRV; C:\Windows\System32\Drivers\SYMREDRV.SYS [2006-10-26 26384]
R3 VST_DPV;VST_DPV; C:\Windows\system32\DRIVERS\VSTDPV3.SYS [2006-11-02 987648]
R3 VSTHWBS2;VSTHWBS2; C:\Windows\system32\DRIVERS\VSTBS23.SYS [2006-11-02 251904]
R3 winachsf;winachsf; C:\Windows\system32\DRIVERS\VSTCNXT3.SYS [2006-11-02 654336]
R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-19 83328]
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-19 5632]
S3 ENTECH;ENTECH; \??\C:\Windows\system32\DRIVERS\ENTECH.sys [2004-10-25 21664]
S3 gtstusbser;Option210 USB Device for Legacy Serial Communication; C:\Windows\system32\DRIVERS\gtstusbser.sys [2008-11-18 103552]
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-19 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-19 5888]
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-19 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-19 6016]
S3 RTL8187;LevelOne WNC-0305USB; C:\Windows\system32\DRIVERS\RTL8187.sys [2007-02-07 206336]
S3 SRTSPL;SRTSPL; C:\Windows\System32\Drivers\SRTSPL.SYS [2006-11-22 274328]
S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM); C:\Windows\system32\DRIVERS\ss_bus.sys [2007-05-02 83592]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter; C:\Windows\system32\DRIVERS\ss_mdfl.sys [2007-05-02 15112]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers; C:\Windows\system32\DRIVERS\ss_mdm.sys [2007-05-02 109704]
S3 USBAAPL;Apple Mobile USB Driver; C:\Windows\System32\Drivers\usbaapl.sys [2009-06-05 39424]
S3 winusb;WinUSB Service; C:\Windows\system32\DRIVERS\winusb.sys [2009-04-11 31616]
S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys [2009-10-01 40448]
S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2006-11-02 11264]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 aawservice;Lavasoft Ad-Aware Service; C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe [2008-09-10 611664]
R2 AppHostSvc;@%windir%\system32\inetsrv\iisres.dll,-30011; C:\Windows\system32\svchost.exe [2008-01-19 21504]
R2 Apple Mobile Device;Apple Mobile Device; C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2009-06-05 144712]
R2 ccEvtMgr;Symantec Event Manager; C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe [2006-11-22 107624]
R2 ccSetMgr;Symantec Settings Manager; C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe [2006-11-22 107624]
R2 CISVC;@%systemroot%\system32\CISVC.EXE,-1; C:\Windows\system32\CISVC.EXE [2008-01-19 11264]
R2 DefWatch;Symantec AntiVirus Definition Watcher; C:\Program Files\Symantec AntiVirus\DefWatch.exe [2007-01-05 30768]
R2 IISADMIN;@%windir%\system32\inetsrv\iisres.dll,-30007; C:\Windows\system32\inetsrv\inetinfo.exe [2008-01-19 13824]
R2 iprip;@%Systemroot%\system32\iprip.dll,-200; C:\Windows\System32\svchost.exe [2008-01-19 21504]
R2 Irmon;@%SystemRoot%\System32\irmon.dll,-2000; C:\Windows\system32\svchost.exe [2008-01-19 21504]
R2 LPDSVC;@%systemroot%\system32\lpdsvc.dll,-500; C:\Windows\System32\svchost.exe [2008-01-19 21504]
R2 MDM;Machine Debug Manager; C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-19 322120]
R2 MSMQ;@mqutil.dll,-6102; C:\Windows\system32\mqsvc.exe [2006-11-02 8704]
R2 MSMQTriggers;@mqutil.dll,-6203; C:\Windows\system32\mqtgsvc.exe [2009-04-11 125952]
R2 RapiMgr;@%windir%\WindowsMobile\rapimgr.dll,-104; C:\Windows\system32\svchost.exe [2008-01-19 21504]
R2 simptcp;@%SystemRoot%\system32\simptcp.dll,-200; C:\Windows\System32\tcpsvcs.exe [2009-08-14 9728]
R2 SNMP;@%SystemRoot%\system32\snmp.exe,-3; C:\Windows\System32\snmp.exe [2009-04-11 47616]
R2 Symantec AntiVirus;Symantec AntiVirus; C:\Program Files\Symantec AntiVirus\Rtvscan.exe [2007-01-05 1985584]
R2 W3SVC;@%windir%\system32\inetsrv\iisres.dll,-30003; C:\Windows\system32\svchost.exe [2008-01-19 21504]
R2 WcesComm;@%windir%\WindowsMobile\wcescomm.dll,-40079; C:\Windows\system32\svchost.exe [2008-01-19 21504]
R3 iPod Service;iPod-Dienst; C:\Program Files\iPod\bin\iPodService.exe [2009-06-05 541992]
R3 WAS;@%windir%\system32\inetsrv\iisres.dll,-30001; C:\Windows\system32\svchost.exe [2008-01-19 21504]
S2 gupdate1c9f62ba559c7dd;Google Update Service (gupdate1c9f62ba559c7dd); C:\Program Files\Google\Update\GoogleUpdate.exe [2009-06-26 133104]
S2 gusvc;Google Software Updater; C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-24 183280]
S3 aspnet_state;@%windir%\system32\inetsrv\iisres.dll,-30009; C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2009-03-30 31048]
S3 FontCache;@%systemroot%\system32\FntCache.dll,-100; C:\Windows\system32\svchost.exe [2008-01-19 21504]
S3 LiveUpdate;LiveUpdate; C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE [2006-11-08 2541248]
S3 NtmsSvc;@%SystemRoot%\system32\ntmssvc.dll,-2; C:\Windows\system32\svchost.exe [2008-01-19 21504]
S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 SavRoam;SAVRoam; C:\Program Files\Symantec AntiVirus\SavRoam.exe [2007-01-05 126000]
S3 WMSvc;@%windir%\system32\inetsrv\iisres.dll,-20001; C:\Windows\system32\inetsrv\wmsvc.exe [2008-01-19 11264]
S4 NetMsmqActivator;@%systemroot%\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\ServiceModelInstallRC.dll,-8195; C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2009-02-18 129880]
S4 NetPipeActivator;@%systemroot%\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\ServiceModelInstallRC.dll,-8197; C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2009-02-18 129880]
S4 NetTcpActivator;@%systemroot%\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\ServiceModelInstallRC.dll,-8199; C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2009-02-18 129880]
S4 TlntSvr;@%SystemRoot%\system32\tlntsvr.exe,-119; C:\Windows\System32\tlntsvr.exe [2009-04-11 71168]

-----------------EOF-----------------
Seitenanfang Seitenende
04.12.2009, 19:35
Swisstreasure
Moderator

Beiträge: 5694
#11 Du hast Dir was eingefangen über eine infizierten USB Stick oder Festplatte.

Desinfizierung/Absicherung externer Medien:

Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab.


Achtung: Das Programm wird aufgrund seines Verhaltens oft als Schadprogramm gemeldet. Dem ist nicht so, den Download also bitte zulassen!

Deaktiviere den Hintergrundwächter deines AVP.
Schließe jetzt alle externe Datenträgeran Deinen Rechner an.
Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
Wenn der Scan zuende ist, kannst du das Programm schließen.
Starte Deinen Rechner neu.

Hinweis:

Zitat

Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, sodass Dein Datenträger in Zukunft vor dieser Infektion geschützt ist.
>>>
Wende Combofix an und poste das Log:
http://virus-protect.org/artikel/tools/combofix.html
Seitenanfang Seitenende
04.12.2009, 22:37
nic_
Member

Themenstarter

Beiträge: 28
#12 Muss ich die Daten des USB Sticks, oder der externen Festplatte vorher sichern? Die beiden Laufwerke sind eigentlich fast immer nur an diesem PC, aber viel ist dort nicht drauf.

Und darf ich fragen, woran man sieht, dass ich mir was eingefangen habe? Habe mir den Code oben mal angeguckt, aber mit meinem mangelnden Wissen konnte ich da nichts rauslesen, lerne aber gerne dazu. ;)
Seitenanfang Seitenende
04.12.2009, 22:50
nic_
Member

Themenstarter

Beiträge: 28
#13 Habe den USB-Stick gerade mal normal mit Virenprogramm abgescannt und es wurde der Trojaner? Infostealer in der Datei ccf2rsdf.exe im Verzeichnis U:\Programme\_jDownloader\tools\windows\ gefunden. Wurde dann auch direkt vom Virenprogramm gelöscht.
Seitenanfang Seitenende
05.12.2009, 01:36
Swisstreasure
Moderator

Beiträge: 5694
#14

Zitat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0bfe7b4f-2a5f-11de-8559-00016c09bfcc}]
shell\AutoRun\command - K:\_WD\WDSetup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c2510e5-edde-11dd-a3a3-00016c09bfcc}]
shell\AutoRun\command - 9yqusig.bat
shell\explore\command - 9yqusig.bat
shell\open\command - 9yqusig.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{acd3be9c-c5fe-11de-aea5-00016c09bfcc}]
shell\AutoRun\command - G:\QsSetup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dd54c3dd-d3bf-11dc-95cd-00016c09bfcc}]
shell\1\command - autorun.pif
shell\2\command - autorun.pif
shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL autorun.pif
Ja, lass den Flash Disinfector laufen wie oben geschrieben. Wobei Du Dir überlegen musst, ob Du nicht besser alles neu aufsetzt. INFOSTEALER sagt eigentlich alles....
Seitenanfang Seitenende
05.12.2009, 02:18
nic_
Member

Themenstarter

Beiträge: 28
#15 OK, werde ich drüber laufen lassen. Wenn es mein PC wäre hätte ich ihn auch einfach neu aufgesetzt, aber da es nicht meiner ist, kann ich das leider nicht machen.

Bin gerade am überlegen, warum es sich bei der QsSetup.exe handelt? Die einzigen Laufwerke die unter diesem Laufwerksbuchstaben laufen, sind eine Kamera und ein iPod, auf denen sich aber eine solche Datei nicht befindet. Ich kann mir nur vorstellen, dass es sich um den O2 Surfstick meiner Schwester handelt, der vor über einem Monat mal am PC dran war.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 123