| |
| |||||||
Log-Analyse und Auswertung: Trojaner TR/Agent.49152.BEWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
29.07.2008, 20:07
| #1 |
 |  Trojaner TR/Agent.49152.BE Guten Abend, habe einen Trojaner auf meinem Rechner oder sogar auch zwei.... deswegen meine Bitte um Hilfe bei der Entfernung jener- vielen Dank schonmal im Voraus! Der Anti Vir Scan bringt folgende Meldungen: [FUND] Ist das Trojanische Pferd TR/Agent.49152.BE [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48fcd171.qua' verschoben! [FUND] Ist das Trojanische Pferd TR/Agent.59904.B [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f2cf1f.qua' verschoben! Nachfolgend der Logfile von Hijack This: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:34:58, on 29.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Tiny Personal Firewall\persfw.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.spiegel.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by *** R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MAXXE] C:\WINDOWS\SYSTEM32\***.vbs O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\system32\SHDOCVW.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {2019DC25-D1C0-11D6-97B3-0008A124F542} (StreamPlug Class) - http://www.streamplug.com/StreamPlug/SP.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1212141602671 O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InstallShield Licensing Service - Macrovision - C:\Programme\Gemeinsame Dateien\InstallShield Shared\Service\InstallShield Licensing Service.exe O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2008 32-bit 32-bit (mi-raysat_3dsMax2008_32) - *** - C:\Programme\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Tiny Personal Firewall (PersFw) - Tiny Software - C:\Programme\Tiny Personal Firewall\persfw.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 9432 bytes |
|
29.07.2008, 20:45
| #2 |
| /// the machine /// TB-Ausbilder    | Trojaner TR/Agent.49152.BEHi domprom und  Lasse Malwarebytes Antimalware Dein SYstem scannen, alle Funde löschen lassen, Log hier posten. ========================================================== lade bitte den Deckard's System Scanner (DSS) herunter und speichere ihn auf deinem Desktop. NB: Du musst mit Administrator-Rechten angemeldet sein, um dieses Programm laufen lassen zu können. 1. Schließe ALLE Anwendungen und Fenster. 2. Mach einen Doppelklick auf die dss.exe um sie auszuführen und folge den Prompts. 3. Wenn der Scan vollendet ist, werden sich zwei Textdateien öffnen - main.txt <- dieses wird maximiert dargestellt und extra.txt <- dieses wird als minmierte Datei dargestellt 4. Kopiere (STRG+A und STRG+C) und füge (STRG+V) den Inhalt von main.txt und den Inhalt von extra.txt in deine nächste Antwort. Die Logdateien können sehr lang werden. gruß schrauber
__________________ |
|
29.07.2008, 22:41
| #3 |
| | Trojaner TR/Agent.49152.BE Danke für den Willkommensgruß!
__________________Anbei die LogAuswertungen: Malwarebytes' Anti-Malware 1.23 Datenbank Version: 1008 Windows 5.1.2600 Service Pack 2 22:49:03 29.07.2008 mbam-log-7-29-2008 (22-49-03).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 161442 Laufzeit: 52 minute(s), 56 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Deckard's System Scanner v20071014.68 Run by *** on 2008-07-29 23:00:33 Computer is in Normal Mode. -------------------------------------------------------------------------------- -- System Restore -------------------------------------------------------------- Successfully created a Deckard's System Scanner Restore Point. -- Last 5 Restore Point(s) -- 12: 2008-07-29 21:00:41 UTC - RP318 - Deckard's System Scanner Restore Point 11: 2008-07-29 11:04:41 UTC - RP317 - Entfernt Google Earth. 10: 2008-07-27 19:04:05 UTC - RP316 - Systemprüfpunkt 9: 2008-07-26 17:46:54 UTC - RP315 - Systemprüfpunkt 8: 2008-07-25 09:57:43 UTC - RP314 - Systemprüfpunkt Backed up registry hives. Performed disk cleanup. -- HijackThis (run as ***.exe) ------------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:02:53, on 29.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Tiny Personal Firewall\persfw.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Dokumente und Einstellungen\***\Desktop\dss.exe C:\DOKUME~1\***\Desktop\***.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avwsc.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.spiegel.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [***] C:\WINDOWS\SYSTEM32\***.vbs O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\system32\SHDOCVW.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {2019DC25-D1C0-11D6-97B3-0008A124F542} (StreamPlug Class) - http://www.streamplug.com/StreamPlug/SP.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1212141602671 O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InstallShield Licensing Service - Macrovision - C:\Programme\Gemeinsame Dateien\InstallShield Shared\Service\InstallShield Licensing Service.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Tiny Personal Firewall (PersFw) - Tiny Software - C:\Programme\Tiny Personal Firewall\persfw.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 9430 bytes -- File Associations ----------------------------------------------------------- .reg - regfile - shell\open\command - regedit.exe "%1" %* .scr - AutoCADScriptFile - shell\open\command - "C:\WINDOWS\notepad.exe" "%1" -- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------- R1 AFS2K - c:\windows\system32\drivers\afs2k.sys <Not Verified; Oak Technology Inc.; AFS> R1 fwdrv (Tiny Personal Firewall Driver) - c:\windows\system32\drivers\fwdrv.sys R1 SCDEmu - c:\windows\system32\drivers\scdemu.sys <Not Verified; PowerISO Computing, Inc.; scdemu> R1 ssmdrv - c:\windows\system32\drivers\ssmdrv.sys <Not Verified; AVIRA GmbH; > R2 CdaC15BA - c:\windows\system32\drivers\cdac15ba.sys <Not Verified; Macrovision Europe Ltd; Security Windows NT> R2 Haspnt - c:\windows\system32\drivers\haspnt.sys <Not Verified; Aladdin Knowledge Systems; Windows NT HASP Kernel Device Driver> R2 Sentinel - c:\windows\system32\drivers\sentinel.sys <Not Verified; Rainbow Technologies, Inc.; Sentinel System Driver> R2 WIBUKEY (WIBU-KEY Kernel Driver) - c:\windows\system32\drivers\wibukey.sys <Not Verified; WIBU-SYSTEMS AG; WIBU-KEY Software Protection System> S2 DS1410D - c:\windows\system32\drivers\ds1410d.sys (file missing) S3 GMSIPCI - e:\install\gmsipci.sys (file missing) S3 MSICPL - e:\install4\msicpl.sys (file missing) S3 NTACCESS - e:\ntaccess.sys (file missing) S3 SetupNTGLM7X - e:\ntglm7x.sys (file missing) S3 Sntnlusb (Rainbow USB SuperPro) - c:\windows\system32\drivers\sntnlusb.sys <Not Verified; Rainbow Technologies Inc.; Rainbow Technologies USB Security Device Driver> -- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled -------------------- R2 AntiVirScheduler (AntiVir PersonalEdition Classic Planer) - "c:\programme\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation> R2 Bonjour Service (##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##) - c:\programme\bonjour\mdnsresponder.exe <Not Verified; Apple Computer, Inc.; Bonjour> R2 C-DillaCdaC11BA - c:\windows\system32\drivers\cdac11ba.exe <Not Verified; Macrovision; SafeCast Windows NT> R2 PersFw (Tiny Personal Firewall) - c:\programme\tiny personal firewall\persfw.exe <Not Verified; Tiny Software; Tiny Personal Firewall> S3 FLEXnet Licensing Service - "c:\programme\gemeinsame dateien\macrovision shared\flexnet publisher\fnplicensingservice.exe" <Not Verified; Macrovision Europe Ltd.; FLEXnet Publisher (32 bit)> -- Device Manager: Disabled ---------------------------------------------------- No disabled devices found. -- Scheduled Tasks ------------------------------------------------------------- 2008-07-25 17:16:05 392 --a------ C:\WINDOWS\Tasks\1-Klick-Wartung.job 2007-05-27 14:10:53 330 --a------ C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1167566453.job -- Files created between 2008-06-29 and 2008-07-29 ----------------------------- 2008-07-29 21:52:08 0 d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-07-19 19:44:44 0 d-------- C:\Programme\Gemeinsame Dateien\Control Panels 2008-07-19 19:36:26 0 d-------- C:\Programme\Bonjour -- Find3M Report --------------------------------------------------------------- 2008-07-29 22:50:51 0 --a------ C:\WINDOWS\TempFile 2008-07-29 22:17:37 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype 2008-07-29 21:52:11 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes 2008-07-29 20:17:57 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\skypePM 2008-07-29 13:05:23 0 d-------- C:\Programme\Google 2008-07-21 10:56:28 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\FileZilla 2008-07-19 19:58:34 0 d--h----- C:\Programme\InstallShield Installation Information 2008-07-19 19:58:33 0 d-------- C:\Programme\Gemeinsame Dateien\Adobe 2008-07-19 19:44:44 0 d-------- C:\Programme\Gemeinsame Dateien 2008-07-19 19:32:22 0 d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared 2008-07-18 12:28:31 0 d-------- C:\Programme\ePrompter 2008-07-18 12:28:08 0 d-------- C:\Programme\MagicISO 2008-07-10 18:03:06 0 d-------- C:\Programme\Lavasoft 2008-07-10 18:02:45 0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-07-06 13:26:39 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia 2008-06-28 14:14:04 0 d-------- C:\Programme\FileZilla FTP Client 2008-06-23 17:20:43 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla 2008-06-23 16:22:17 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat 2008-06-23 16:21:52 0 d-------- C:\Programme\Gemeinsame Dateien\Skype 2008-05-30 12:05:39 0 d-------- C:\Programme\Windows Live 2008-05-30 12:05:28 0 d--hs--c- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller 2008-05-10 15:58:24 418634 --a------ C:\WINDOWS\system32\perfh007.dat 2008-05-10 15:58:24 75998 --a------ C:\WINDOWS\system32\perfc007.dat -- Registry Dump --------------------------------------------------------------- *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [16.08.2005 20:40] "RTHDCPL"="RTHDCPL.EXE" [28.06.2006 08:54 C:\WINDOWS\RTHDCPL.exe] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [17.07.2008 17:48] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [20.04.2008 12:40] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [22.02.2008 04:25] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [27.12.2006 20:23] "***"="C:\WINDOWS\SYSTEM32\***.vbs" [] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 01:57] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [07.07.2008 09:42] [HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce] "nltide3"=cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "DisableStatusMessages"=0 (0x0) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"=1 (0x1) "NoResolveTrack"=1 (0x1) "LinkResolveIgnoreLinkInfo"=1 (0x1) "NoResolveSearch"=1 (0x1) "NoLowDiskSpaceChecks"=1 (0x1) "NoStartBanner"=1 (0x1) "ClearRecentDocsOnExit"=1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"=1 (0x1) "NoResolveTrack"=1 (0x1) "LinkResolveIgnoreLinkInfo"=1 (0x1) "NoResolveSearch"=1 (0x1) "NoLowDiskSpaceChecks"=1 (0x1) "NoStartBanner"=1 (0x1) "ClearRecentDocsOnExit"=1 (0x1) [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice] @="Service" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime "NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe "GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" "SkyTel"=SkyTel.EXE "BigDogPath"=C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{35129cd3-51be-11dd-ac1e-001617b93079}] AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe ***.vbs [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4adf8a6a-7029-11dc-aad3-001617b93079}] AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe ***.vbs [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a2a2550f-53e4-11dc-aac9-001617b93079}] AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe ELECTORBABY.vbs [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cb6b2792-7e34-11dc-aaee-001617b93079}] AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe XXX.vbs [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dc55d026-95d2-11db-aa2f-001617b93079}] AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe ***.vbs [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f59f961e-6dcb-11dc-aad0-001617b93079}] AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe ***.vbs [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f59f961f-6dcb-11dc-aad0-001617b93079}] AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe ***.vbs -- Hosts ----------------------------------------------------------------------- 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 8828 more entries in hosts file. -- End of Deckard's System Scanner: finished at 2008-07-29 23:04:12 ------------ |
|
29.07.2008, 22:42
| #4 |
| | Trojaner TR/Agent.49152.BE Deckard's System Scanner v20071014.68 Extra logfile - please post this as an attachment with your post. -------------------------------------------------------------------------------- -- System Information ---------------------------------------------------------- Microsoft Windows XP Professional (build 2600) SP 2.0 Architecture: X86; Language: German CPU 0: AMD Athlon(tm) 64 X2 Dual Core Processor 3800+ CPU 1: AMD Athlon(tm) 64 X2 Dual Core Processor 3800+ Percentage of Memory in Use: 14% Physical Memory (total/avail): 3071.36 MiB / 2628.57 MiB Pagefile Memory (total/avail): 4447.27 MiB / 4127.44 MiB Virtual Memory (total/avail): 2047.88 MiB / 1934.2 MiB C: is Fixed (NTFS) - 19.53 GiB total, 4.61 GiB free. D: is Fixed (NTFS) - 129.52 GiB total, 62.28 GiB free. E: is CDROM (No Media) \\.\PHYSICALDRIVE0 - SAMSUNG SP1654N - 149.05 GiB - 2 partitions \PARTITION0 (bootable) - Installierbares Dateisystem - 19.53 GiB - C: \PARTITION1 - Erweitert mit Int 13 (erweitert) - 129.52 GiB - D: -- Security Center ------------------------------------------------------------- AUOptions is disabled. Windows Internal Firewall is enabled. FirstRunDisabled is set. AV: Avira AntiVir PersonalEdition v8.0.1.26 (Avira GmbH) [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\Tiny Personal Firewall\\PERSFW.EXE"="C:\\Programme\\Tiny Personal Firewall\\PERSFW.EXE:*:Enabled:Tiny Personal Firewall Engine" "C:\\Programme\\InterVideo\\WinDVD4PR\\WinDVD.exe"="C:\\Programme\\InterVideo\\WinDVD4PR\\WinDVD.exe:*  isabled:WinDVD""C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook" "C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"="C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE:*:Enabled:Microsoft Office Groove" "C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote" "C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox" "C:\\Programme Files\\Chaos Group\\V-Ray\\3dsmax R8 for x86\\vrlserver.exe"="C:\\Programme Files\\Chaos Group\\V-Ray\\3dsmax R8 for x86\\vrlserver.exe:* isabled:VRLServer""C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour" "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" -- Environment Variables ------------------------------------------------------- ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users APPDATA=C:\Dokumente und Einstellungen\***\Anwendungsdaten CLASSPATH=C:\Programme\QuickTime\QTSystem\QTJava.zip CommonProgramFiles=C:\Programme\Gemeinsame Dateien COMPUTERNAME=*** ComSpec=C:\WINDOWS\system32\cmd.exe FP_NO_HOST_CHECK=NO HOMEDRIVE=C: HOMEPATH=\Dokumente und Einstellungen\*** LOGONSERVER=\\*** NUMBER_OF_PROCESSORS=2 OS=Windows_NT Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Programme\Gemeinsame Dateien\Autodesk Shared\;C:\Programme\QuickTime\QTSystem\;C:\Programme\Autodesk\Backburner\ PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH PROCESSOR_ARCHITECTURE=x86 PROCESSOR_IDENTIFIER=x86 Family 15 Model 75 Stepping 2, AuthenticAMD PROCESSOR_LEVEL=15 PROCESSOR_REVISION=4b02 ProgramFiles=C:\Programme PROMPT=$P$G QTJAVA=C:\Programme\QuickTime\QTSystem\QTJava.zip SESSIONNAME=Console SystemDrive=C: SystemRoot=C:\WINDOWS TEMP=C:\DOKUME~1\***\LOKALE~1\Temp TMP=C:\DOKUME~1\***\LOKALE~1\Temp USERDOMAIN=*** USERNAME=*** USERPROFILE=C:\Dokumente und Einstellungen\*** windir=C:\WINDOWS -- User Profiles --------------------------------------------------------------- *** (admin) -- Add/Remove Programs --------------------------------------------------------- --> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0 --> MsiExec.exe /I{9A346205-EA92-4406-B1AB-50379DA3F057} --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Ad-Aware --> MsiExec.exe /I{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF} Adobe Acrobat 6.0 Professional - English, Français, Deutsch --> MsiExec.exe /I{AC76BA86-1033-F400-7760-000000000001} Adobe Flash Player 9 ActiveX --> MsiExec.exe /X{BC4F8E84-5E29-49EC-B4E7-E6F9CB50986C} Adobe Flash Player 9 Plugin --> MsiExec.exe /X{88D422DB-E9C7-4E16-9D80-2999F4FD6AD9} Adobe Flash Player Plugin --> C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe Adobe Fonts All --> MsiExec.exe /I{6ABE0BEE-D572-4FE8-B434-9E72A289431B} Adobe Setup --> MsiExec.exe /I{5518E08A-2053-4A3E-85B2-F912D4666C9F} Adobe Shockwave Player --> C:\WINDOWS\system32\Adobe\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Adobe\SHOCKW~1\Install.log Adobe SVG Viewer 3.0 --> C:\Programme\Gemeinsame Dateien\Adobe\SVG Viewer 3.0\Uninstall\Winstall.exe -u -fC:\Programme\Gemeinsame Dateien\Adobe\SVG Viewer 3.0\Uninstall\Install.log Adobe Type Support --> MsiExec.exe /I{8E6808E2-613D-4FCD-81A2-6C8FA8E03312} Adobe WinSoft Linguistics Plugin --> MsiExec.exe /I{184CE391-7E0E-4C63-9935-D7A10EDFD3C6} AHV content for Acrobat and Flash --> MsiExec.exe /I{6BBAA81D-6A7E-43AD-8889-2F002DCAAFDD} Avira AntiVir Personal - Free Antivirus --> C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE Backburner --> MsiExec.exe /I{3D347E6D-5A03-4342-B5BA-6A771885F379} Canon EOS 20D WIA-Treiber --> C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{ED9775A0-383E-4EAA-8DA5-8CC6860D60A3} Canon PIXMA iP2000 --> C:\WINDOWS\system32\CNMCP66.exe "-PRINTERNAMECanon PIXMA iP2000" "-HELPERDLLC:\BJPrinter\CNMWINDOWS\Canon PIXMA iP2000 Installer\Inst2\cnmis.dll" "-RCDLLC:\BJPrinter\CNMWINDOWS\Canon PIXMA iP2000 Installer\Inst2\cnmi0407.dll" DivX Web Player --> C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN FileZilla Client 3.0.11 --> C:\Programme\FileZilla FTP Client\uninstall.exe Google Earth --> MsiExec.exe /I{1D14373E-7970-4F2F-A467-ACA4F0EA21E3} Hamachi 1.0.2.5 --> C:\Programme\Hamachi\uninstall.exe High Definition Audio Driver Package - KB888111 --> "C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe" HijackThis 2.0.2 --> "C:\Dokumente und Einstellungen\MAX\Desktop\HijackThis.exe" /uninstall HP Foto- und Bildbearbeitung 2.0 - All-in-One --> MsiExec.exe /X{9867A917-5D17-40DE-83BA-BEA5293194B1} HP Foto- und Bildbearbeitung 2.0 All-in-One Treiber --> MsiExec.exe /X{6ECB39BD-73C2-44DD-B1A0-898207C58D8B} HP Foto und Bildbearbeitung 2.0 - hp psc 1200 series --> C:\Programme\Hewlett-Packard\Digital Imaging\{7C8BB31C-E09E-4c7d-BBF1-45E33B467FE1}\Setup\hpzscr01.exe -datfile hposcr02.dat -forcereboot hp psc 1200 series --> MsiExec.exe /X{C900EF06-2E76-49C7-8DB0-41F629B21DC5} HP Speicher-Disc --> MsiExec.exe /X{B376402D-58EA-45EA-BD50-DD924EB67A70} iFinger --> C:\PROGRA~1\iFinger\UNWISE.EXE C:\PROGRA~1\iFinger\INSTALL.LOG InterVideo WinDVD Platinum --> "C:\Programme\InstallShield Installation Information\{8DC9BEFF-07FC-4631-BBF4-8F00F74953C2}\setup.exe" REMOVEALL Java(TM) 6 Update 5 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050} Macromedia Flash MX --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3BE480ED-E17A-431A-981C-5C2EDDBCD3BF}\Setup.exe" -l0x9 UNINSTALL Macromedia Flash Player 8 --> RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\swflash.inf,DefaultUninstall,5 Magic ISO Maker v5.3 (build 0216) --> C:\PROGRA~1\MagicISO\UNWISE.EXE C:\PROGRA~1\MagicISO\INSTALL.LOG Malwarebytes' Anti-Malware --> "C:\Programme\Malwarebytes' Anti-Malware\unins000.exe" Mozilla Firefox (3.0.1) --> C:\Programme\Mozilla Firefox\uninstall\helper.exe MSXML 6.0 Parser --> MsiExec.exe /I{AEB9948B-4FF2-47C9-990E-47014492A0FE} Nero 6 Ultra Edition --> C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL NVIDIA Drivers --> C:\WINDOWS\system32\nvuide.exe UninstallGUI PDF Settings --> MsiExec.exe /I{AC5B0C19-D851-42F4-BDA0-410ECF7F70A5} Philips SPC 200NC PC Camera --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2A2646FB-7BAC-451B-BF90-4889C4429C5E}\Setup.exe" -l0x7 PowerISO --> "C:\Programme\PowerISO\uninstall.exe" QuickTime --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{929408E6-D265-4174-805F-81D1D914E2A4} /l1031 RealPlayer --> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0 Realtek High Definition Audio Driver --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x7 -removeonly RPM Browser for Windows --> "C:\Program Files\RPM Browser for Windows\uninstall\uninst.exe" SafeCast Shared Components --> C:\Programme\Gemeinsame Dateien\Macrovision Shared\SafeCast\Install\CDAC13BA.EXE /uninstall Sentinel System Driver --> C:\WINDOWS\SYSTEM32\RNBOSENT\SETUPX86.EXE /U /q Skype™ 3.8 --> MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82} Spybot - Search & Destroy --> "C:\Programme\Spybot - Search & Destroy\unins000.exe" Tiny Personal Firewall 2.0.15 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{ED5AF20A-7155-11D4-AAB3-204C4F4F5020}\Setup.exe" anything VideoLAN VLC media player 0.8.4a --> C:\Programme\VideoLAN\VLC\uninstall.exe Virtual Desktop Camera for Skype --> MsiExec.exe /I{5F3748F1-B1EE-46E0-9E2C-F00733170B6F} Windows Live Anmelde-Assistent --> MsiExec.exe /I{AFA4E5FD-ED70-4D92-99D0-162FD56DC986} Windows Live installer --> MsiExec.exe /X{7A7B0BF3-2F00-4F03-8A9B-6ABCC07B90C6} Windows Live Mail --> MsiExec.exe /I{82F2B38B-1426-443D-874C-AC25675E7BEB} WinRAR Archivierer --> C:\Programme\WinRAR\uninstall.exe -- Application Event Log ------------------------------------------------------- Event Record #/Type5767 / Error Event Submitted/Written: 07/29/2008 11:03:27 PM Event ID/Source: 8 / crypt32 Event Description: Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben. . Event Record #/Type5760 / Warning Event Submitted/Written: 07/29/2008 09:56:04 PM Event ID/Source: 4113 / Avira AntiVir Event Description: HEUR/HTML.MalwareC:\System Volume Information\_restore{8CCE1EF7-7C5E-43E6-BF2F-D238BCBAD7AF}\RP311\A0037180.vbs Event Record #/Type5759 / Warning Event Submitted/Written: 07/29/2008 09:50:49 PM Event ID/Source: 4113 / Avira AntiVir Event Description: HTML/Infected.WebPage.GenC:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\a9wbn3b4.default\Cache\B2FD5D5Bd01 Event Record #/Type5758 / Warning Event Submitted/Written: 07/29/2008 09:24:51 PM Event ID/Source: 4113 / Avira AntiVir Event Description: HEUR/HTML.MalwareC:\System Volume Information\_restore{8CCE1EF7-7C5E-43E6-BF2F-D238BCBAD7AF}\RP311\A0037180.vbs Event Record #/Type5751 / Warning Event Submitted/Written: 07/29/2008 01:32:49 PM Event ID/Source: 4113 / Avira AntiVir Event Description: HEUR/HTML.MalwareC:\System Volume Information\_restore{8CCE1EF7-7C5E-43E6-BF2F-D238BCBAD7AF}\RP311\A0037180.vbs -- Security Event Log ---------------------------------------------------------- No Errors/Warnings found. -- System Event Log ------------------------------------------------------------ Event Record #/Type3358 / Error Event Submitted/Written: 07/29/2008 10:50:17 PM / 07/29/2008 10:50:47 PM Event ID/Source: 4000 / fwdrv Event Description: \Device\FWDRVUnable to capture ZwLoadDriver Event Record #/Type3353 / Error Event Submitted/Written: 07/29/2008 07:52:16 PM / 07/29/2008 07:52:46 PM Event ID/Source: 4000 / fwdrv Event Description: \Device\FWDRVUnable to capture ZwLoadDriver Event Record #/Type3348 / Error Event Submitted/Written: 07/29/2008 00:57:19 PM / 07/29/2008 00:57:49 PM Event ID/Source: 4000 / fwdrv Event Description: \Device\FWDRVUnable to capture ZwLoadDriver Event Record #/Type3344 / Warning Event Submitted/Written: 07/27/2008 11:16:31 PM Event ID/Source: 36 / W32Time Event Description: Der Zeitdienst konnte die Systemzeit seit 49152 Sekunden nicht synchronisieren, da kein Zeitanbieter einen gültigen Zeitstempel anbieten konnte. Die Systemuhr ist nicht synchronisiert. -- End of Deckard's System Scanner: finished at 2008-07-29 23:04:12 ------------ |
|
30.07.2008, 19:41
| #5 |
| | Trojaner TR/Agent.49152.BE Hallo! Leider habe ich immer noch nicht das Problem in den Griff bekommen?Kann mir noch jemand weiterhelfen-bzw. auf die Logfile Auswertung antworten? Würde mich sehr freuen... |
|
30.07.2008, 19:43
| #6 |
| | Trojaner TR/Agent.49152.BE Es wär auch hilfreich zu wissen, welche Dateien von Avira bemängelt werden. 
__________________ --> Trojaner TR/Agent.49152.BE |
|
30.07.2008, 19:53
| #7 |
| | Trojaner TR/Agent.49152.BE verstehe nicht so ganz... hier ein weiterer Logfile von Avira Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 30. Juli 2008 18:14 Es wird nach 1519486 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Versionsinformationen: BUILD.DAT : 8.1.0.326 16933 Bytes 11.07.2008 12:52:00 AVSCAN.EXE : 8.1.4.7 315649 Bytes 17.07.2008 15:48:22 AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 15:48:22 LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 15:48:22 LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 15:48:22 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 13:36:36 ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 09:44:24 ANTIVIR2.VDF : 7.0.5.174 2027008 Bytes 25.07.2008 16:58:02 ANTIVIR3.VDF : 7.0.5.192 149504 Bytes 30.07.2008 11:00:05 Engineversion : 8.1.1.12 AEVDF.DLL : 8.1.0.5 102772 Bytes 15.04.2008 21:04:14 AESCRIPT.DLL : 8.1.0.59 307579 Bytes 18.07.2008 15:49:19 AESCN.DLL : 8.1.0.23 119156 Bytes 16.07.2008 15:46:51 AERDL.DLL : 8.1.0.20 418165 Bytes 25.04.2008 12:56:16 AEPACK.DLL : 8.1.2.1 364917 Bytes 16.07.2008 15:46:50 AEOFFICE.DLL : 8.1.0.21 192891 Bytes 18.07.2008 15:49:17 AEHEUR.DLL : 8.1.0.44 1343863 Bytes 24.07.2008 15:42:12 AEHELP.DLL : 8.1.0.15 115063 Bytes 29.05.2008 19:46:18 AEGEN.DLL : 8.1.0.31 311669 Bytes 24.07.2008 15:42:11 AEEMU.DLL : 8.1.0.6 430451 Bytes 08.05.2008 14:29:19 AECORE.DLL : 8.1.1.7 172406 Bytes 24.07.2008 15:42:10 AEBB.DLL : 8.1.0.1 53617 Bytes 17.07.2008 15:48:22 AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 15:48:22 AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 15:48:22 AVREP.DLL : 8.0.0.2 98561 Bytes 25.07.2008 15:42:12 AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 15:48:22 AVARKT.DLL : 1.0.0.23 307457 Bytes 15.04.2008 21:04:13 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 15:48:22 SQLITE3.DLL : 3.3.17.1 339968 Bytes 15.04.2008 21:04:13 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 15:48:22 NETNT.DLL : 8.0.0.1 7937 Bytes 15.04.2008 21:04:13 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 15:48:19 RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 15:48:19 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: quarantäne Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Mittwoch, 30. Juli 2008 18:14 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SUPERAntiSpyware.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PERSFW.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'raysat_3dsMax2008_32server.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CDAC11BA.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AdskScSrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '35' Prozesse mit '35' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '57' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\System Volume Information\_restore{8CCE1EF7-7C5E-43E6-BF2F-D238BCBAD7AF}\RP311\A0037180.vbs [FUND] Enthält verdächtigen Code: HEUR/HTML.Malware [HINWEIS] Der Fund wurde als verdächtig eingestuft. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48c0990d.qua' verschoben! Beginne mit der Suche in 'D:\' D:\Programme\autocad2004\BIN\ACADFEUI\SUPPORT\MSIE\ICW.CAB [0] Archivtyp: CAB (Microsoft) --> icwutil.dll [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. D:\Programme\autocad2004\BIN\ACADFEUI\SUPPORT\MSIE\IELPKJA.CAB [0] Archivtyp: CAB (Microsoft) --> unJA.INF [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. D:\Programme\autocad2004\BIN\ACADFEUI\SUPPORT\MSIE\IELPKPE.CAB [0] Archivtyp: CAB (Microsoft) --> LARIALBD.TTF [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. D:\Programme\autocad2004\BIN\ACADFEUI\SUPPORT\MSIE\IELPKZHC.CAB [0] Archivtyp: CAB (Microsoft) --> C_936.NLS [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. Ende des Suchlaufs: Mittwoch, 30. Juli 2008 19:11 Benötigte Zeit: 56:53 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 11354 Verzeichnisse wurden überprüft 674517 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 1 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 674515 Dateien ohne Befall 8221 Archive wurden durchsucht 5 Warnungen 1 Hinweise |
|
30.07.2008, 20:04
| #8 |
| /// the machine /// TB-Ausbilder | Trojaner TR/Agent.49152.BE Hi, ich muss ja auch erstmal von der Arbeit kommen, dann kann ich mir Deine Logs anschauen  .Here we go: Dienst beenden: Start => ausführen => cmd.exe => OK. In der Dos-Box nacheinander die folgenden Befehle ausführen: Code:
ATTFilter sc stop DSDrv4
sc delete DSDrv4
sc stop DS1410D
sc delete DS1410D
sc stop GMSIPCI
sc delete GMSIPCI
sc stop MSICPL
sc delete MSICPL
sc stop NTACCESS
sc delete NTACCESS
sc stop SetupNTGLM7X
sc delete SetupNTGLM7X
exit
========================================================= C:\Programme\Bonjour\mDNSResponder.exe Bei Dir läuft Bonjour, das wird von Apple ungefragt z. B. bei iTunes oder Safari-Browser ungefragt mitinstalliert. Das Programm wird von vielen Usern gar nicht gebraucht. Ich habe bei Wikipedia ausführliche Informationen zu dem Programm Bonjour gefunden und beschreibe Dir im Anschluss, wie man das Programm wieder deinstallieren kann, da das über den normalen Weg Systemsteuerung - Software nicht möglich ist. Solltest Du es nicht brauchen, bitte deinstallieren.
========================================================= Klicke Start > Ausführen > und schreib folgendes in das "Öffnen" Feld: appwiz.cpl und drücke Enter. Es erscheint eine Uninstall-Liste mit allen Programmen. Deinstalliere Messenger Plus! wenn vorhanden. Messenger Plus! installiert Adware, die sogenannte Lop-Infektion. Wenn du den Messenger wirklich brauchen solltest,musst Du ihn nach dem Bereinigungsprozess nochmal installieren, aber versichere Dich dass Du die Lop-Option während des Installationsprozesses deaktivierst .========================================================= Kopiere den Text in der Codebox in deinen Editor (z.B. Notepad) und speichere es unter dem Namen regfix.reg (bei Dateityp bitte "alle Dateien" wählen) Code:
ATTFilter Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"***"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{35129cd3-51be-11dd-ac1e-001617b93079}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4adf8a6a-7029-11dc-aad3-001617b93079}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a2a2550f-53e4-11dc-aac9-001617b93079}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cb6b2792-7e34-11dc-aaee-001617b93079}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dc55d026-95d2-11db-aa2f-001617b93079}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f59f961e-6dcb-11dc-aad0-001617b93079}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f59f961f-6dcb-11dc-aad0-001617b93079}]
========================================================= Bitte lasse den Deckards System Scanner (DSS) erneut laufen, gehe dafür wie folgt vor:
gruß schrauber
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
30.07.2008, 21:23
| #9 |
| | Trojaner TR/Agent.49152.BE Tut mir wirklich Leid- hatte das nicht bedacht - danke schonmal für die Anweisungen- werde es gleich ausprobieren und dann posten. |
|
30.07.2008, 21:41
| #10 |
| | Trojaner TR/Agent.49152.BE hallo zusammen kann ich mich vielleicht einklinken [edit] Bitte eröffne, wie jeder andere hier auch, für dein Problem einen eigenen Beitrag. Nur so wird sichergestellt as jedem User übersichtlich und individuell geholfen werden kann. Danke. [/edit] Geändert von Sunny (31.07.2008 um 15:01 Uhr) |
|
30.07.2008, 21:58
| #11 |
| | Trojaner TR/Agent.49152.BE ja herzlich willkommen in der Trojaner Family... also lade Dir einfach das Programm Hijack This herunter und installiere es. Dann einfach scannen lassen und es erscheint dann eine txt. Datei- die dann kopieren und posten... ich denke aber , um Verwirrung zu vermeiden, besser einen eigenen Themenchat starten... gruss DP |
|
30.07.2008, 23:00
| #12 |
| | Trojaner TR/Agent.49152.BE hallo anbei die neuen Logfiles... Deckard's System Scanner v20071014.68 Run by *** on 2008-07-30 23:16:02 Computer is in Normal Mode. -------------------------------------------------------------------------------- -- System Restore -------------------------------------------------------------- Successfully created a Deckard's System Scanner Restore Point. -- Last 5 Restore Point(s) -- 14: 2008-07-30 21:16:07 UTC - RP320 - Deckard's System Scanner Restore Point 13: 2008-07-30 13:18:57 UTC - RP319 - Installed SUPERAntiSpyware Professional 12: 2008-07-29 21:00:41 UTC - RP318 - Deckard's System Scanner Restore Point 11: 2008-07-29 11:04:41 UTC - RP317 - Entfernt Google Earth. 10: 2008-07-27 19:04:05 UTC - RP316 - Systemprüfpunkt Performed disk cleanup. -- HijackThis (run as ***.exe) ------------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:16:16, on 30.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Tiny Personal Firewall\persfw.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\***\desktop\dss.exe C:\DOKUME~1\***\Desktop\***.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by *** R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [***] C:\WINDOWS\SYSTEM32\***.vbs O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETZWERKDIENST') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\system32\SHDOCVW.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {2019DC25-D1C0-11D6-97B3-0008A124F542} (StreamPlug Class) - http://www.streamplug.com/StreamPlug/SP.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1212141602671 O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InstallShield Licensing Service - Macrovision - C:\Programme\Gemeinsame Dateien\InstallShield Shared\Service\InstallShield Licensing Service.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Tiny Personal Firewall (PersFw) - Tiny Software - C:\Programme\Tiny Personal Firewall\persfw.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 8603 bytes |
|
30.07.2008, 23:06
| #13 |
| | Trojaner TR/Agent.49152.BE -- File Associations ----------------------------------------------------------- .reg - regfile - shell\open\command - regedit.exe "%1" %* .scr - AutoCADScriptFile - shell\open\command - "C:\WINDOWS\notepad.exe" "%1" -- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------- R1 AFS2K - c:\windows\system32\drivers\afs2k.sys <Not Verified; Oak Technology Inc.; AFS> R1 fwdrv (Tiny Personal Firewall Driver) - c:\windows\system32\drivers\fwdrv.sys R1 SCDEmu - c:\windows\system32\drivers\scdemu.sys <Not Verified; PowerISO Computing, Inc.; scdemu> R1 ssmdrv - c:\windows\system32\drivers\ssmdrv.sys <Not Verified; AVIRA GmbH; > R2 CdaC15BA - c:\windows\system32\drivers\cdac15ba.sys <Not Verified; Macrovision Europe Ltd; Security Windows NT> R2 Haspnt - c:\windows\system32\drivers\haspnt.sys <Not Verified; Aladdin Knowledge Systems; Windows NT HASP Kernel Device Driver> R2 Sentinel - c:\windows\system32\drivers\sentinel.sys <Not Verified; Rainbow Technologies, Inc.; Sentinel System Driver> R2 WIBUKEY (WIBU-KEY Kernel Driver) - c:\windows\system32\drivers\wibukey.sys <Not Verified; WIBU-SYSTEMS AG; WIBU-KEY Software Protection System> S3 Sntnlusb (Rainbow USB SuperPro) - c:\windows\system32\drivers\sntnlusb.sys <Not Verified; Rainbow Technologies Inc.; Rainbow Technologies USB Security Device Driver> -- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled -------------------- R2 AntiVirScheduler (AntiVir PersonalEdition Classic Planer) - "c:\programme\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation> R2 Autodesk Licensing Service - "c:\programme\gemeinsame dateien\autodesk shared\service\adskscsrv.exe" <Not Verified; Autodesk; Autodesk Licensing Service> R2 C-DillaCdaC11BA - c:\windows\system32\drivers\cdac11ba.exe <Not Verified; Macrovision; SafeCast Windows NT> R2 PersFw (Tiny Personal Firewall) - c:\programme\tiny personal firewall\persfw.exe <Not Verified; Tiny Software; Tiny Personal Firewall> S3 FLEXnet Licensing Service - "c:\programme\gemeinsame dateien\macrovision shared\flexnet publisher\fnplicensingservice.exe" <Not Verified; Macrovision Europe Ltd.; FLEXnet Publisher (32 bit)> -- Device Manager: Disabled ---------------------------------------------------- No disabled devices found. -- Process Modules ------------------------------------------------------------- C:\WINDOWS\system32\winlogon.exe (pid 856) 2006-12-13 12:34:30 1058816 --a------ C:\WINDOWS\system32\kernel32.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:34:00 56832 --a------ C:\WINDOWS\system32\authz.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:35:35 578560 --a------ C:\WINDOWS\system32\user32.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:34:22 280064 --a------ C:\WINDOWS\system32\gdi32.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:34:53 337408 --a------ C:\WINDOWS\system32\netapi32.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:35:25 8498688 --a------ C:\WINDOWS\system32\shell32.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:35:25 474624 --a------ C:\WINDOWS\system32\shlwapi.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:34:07 617472 --a------ C:\WINDOWS\system32\comctl32.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:48:24 1054208 --a------ C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:39:20 142336 --a------ C:\WINDOWS\system32\sfc_os.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:35:04 1286144 --a------ C:\WINDOWS\system32\ole32.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:39:21 219648 --a------ C:\WINDOWS\system32\uxtheme.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2007-04-19 13:41:36 294912 --a------ C:\Programme\SUPERAntiSpyware\SASWINLO.dll <Not Verified; SUPERAntiSpyware.com; SUPERAntiSpyware WinLogon Processor> 2006-12-13 12:39:08 818688 --a------ C:\WINDOWS\system32\wininet.dll <Not Verified; Microsoft Corporation; Windows® Internet Explorer> 2006-12-13 12:39:10 23552 --a------ C:\WINDOWS\system32\normaliz.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:38:39 266752 --a------ C:\WINDOWS\system32\iertutil.dll <Not Verified; Microsoft Corporation; Windows® Internet Explorer> 2006-12-13 12:34:26 95744 --a------ C:\WINDOWS\system32\iphlpapi.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:34:06 498688 --a------ C:\WINDOWS\system32\clbcatq.dll <Not Verified; Microsoft Corporation; COM Services> C:\WINDOWS\system32\svchost.exe (pid 1076) 2006-12-13 12:34:30 1058816 --a------ C:\WINDOWS\system32\kernel32.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:35:35 578560 --a------ C:\WINDOWS\system32\user32.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:34:22 280064 --a------ C:\WINDOWS\system32\gdi32.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:35:04 1286144 --a------ C:\WINDOWS\system32\ole32.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:35:25 8498688 --a------ C:\WINDOWS\system32\shell32.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:35:25 474624 --a------ C:\WINDOWS\system32\shlwapi.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:39:21 219648 --a------ C:\WINDOWS\system32\uxtheme.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:48:24 1054208 --a------ C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:34:07 617472 --a------ C:\WINDOWS\system32\comctl32.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:35:11 398336 --a------ C:\WINDOWS\system32\rpcss.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:34:00 56832 --a------ C:\WINDOWS\system32\authz.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:34:53 337408 --a------ C:\WINDOWS\system32\netapi32.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:34:06 498688 --a------ C:\WINDOWS\system32\clbcatq.dll <Not Verified; Microsoft Corporation; COM Services> 2006-12-13 12:34:26 95744 --a------ C:\WINDOWS\system32\iphlpapi.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> C:\WINDOWS\system32\svchost.exe (pid 1476) 2006-12-13 12:34:30 1058816 --a------ C:\WINDOWS\system32\kernel32.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:35:35 578560 --a------ C:\WINDOWS\system32\user32.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:34:22 280064 --a------ C:\WINDOWS\system32\gdi32.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:35:04 1286144 --a------ C:\WINDOWS\system32\ole32.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:35:25 8498688 --a------ C:\WINDOWS\system32\shell32.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:35:25 474624 --a------ C:\WINDOWS\system32\shlwapi.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:39:21 219648 --a------ C:\WINDOWS\system32\uxtheme.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:48:24 1054208 --a------ C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:34:07 617472 --a------ C:\WINDOWS\system32\comctl32.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:34:53 337408 --a------ C:\WINDOWS\system32\netapi32.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:34:12 112640 --a------ C:\WINDOWS\system32\dhcpcsvc.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:34:13 147456 --a------ C:\WINDOWS\system32\dnsapi.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:34:26 95744 --a------ C:\WINDOWS\system32\iphlpapi.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:34:17 1094144 --a------ C:\WINDOWS\system32\esent.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:39:08 818688 --a------ C:\WINDOWS\system32\wininet.dll <Not Verified; Microsoft Corporation; Windows® Internet Explorer> 2006-12-13 12:39:10 23552 --a------ C:\WINDOWS\system32\normaliz.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:38:39 266752 --a------ C:\WINDOWS\system32\iertutil.dll <Not Verified; Microsoft Corporation; Windows® Internet Explorer> 2006-12-13 12:34:06 498688 --a------ C:\WINDOWS\system32\clbcatq.dll <Not Verified; Microsoft Corporation; COM Services> 2006-12-13 12:35:44 132096 --a------ C:\WINDOWS\system32\wkssvc.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:34:16 243200 --a------ C:\WINDOWS\system32\es.dll <Not Verified; Microsoft Corporation; COM Services> 2006-12-13 12:35:27 96768 --a------ C:\WINDOWS\system32\srvsvc.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:34:54 197632 --a------ C:\WINDOWS\system32\netman.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:34:00 56832 --a------ C:\WINDOWS\system32\authz.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:35:28 715776 --a------ C:\WINDOWS\system32\sxs.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:34:09 1267200 --a------ C:\WINDOWS\system32\comsvcs.dll <Not Verified; Microsoft Corporation; COM Services> 2006-12-13 12:34:06 60416 --a------ C:\WINDOWS\system32\colbact.dll <Not Verified; Microsoft Corporation; COM Services> 2006-12-13 12:34:52 66560 --a------ C:\WINDOWS\system32\mtxclu.dll <Not Verified; Microsoft Corporation; COM Services> 2006-12-13 12:39:20 142336 --a------ C:\WINDOWS\system32\sfc_os.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:35:09 7680 --a------ C:\WINDOWS\system32\rasadhlp.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:35:31 249344 --a------ C:\WINDOWS\system32\tapisrv.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:35:09 180736 --a------ C:\WINDOWS\system32\rasmans.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:34:29 297984 --a------ C:\WINDOWS\system32\kerberos.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:34:02 625152 --a------ C:\WINDOWS\system32\catsrvut.dll <Not Verified; Microsoft Corporation; COM Services> 2006-12-13 12:34:01 225792 --a------ C:\WINDOWS\system32\catsrv.dll <Not Verified; Microsoft Corporation; COM Services> 2006-12-13 12:39:04 1162240 --a------ C:\WINDOWS\system32\urlmon.dll <Not Verified; Microsoft Corporation; Windows® Internet Explorer> C:\WINDOWS\system32\svchost.exe (pid 536) 2006-12-13 12:34:30 1058816 --a------ C:\WINDOWS\system32\kernel32.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:35:35 578560 --a------ C:\WINDOWS\system32\user32.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:34:22 280064 --a------ C:\WINDOWS\system32\gdi32.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:35:04 1286144 --a------ C:\WINDOWS\system32\ole32.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:35:25 8498688 --a------ C:\WINDOWS\system32\shell32.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:35:25 474624 --a------ C:\WINDOWS\system32\shlwapi.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:39:21 219648 --a------ C:\WINDOWS\system32\uxtheme.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:48:24 1054208 --a------ C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:34:07 617472 --a------ C:\WINDOWS\system32\comctl32.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:34:33 73728 --a------ C:\WINDOWS\system32\mscms.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:34:53 337408 --a------ C:\WINDOWS\system32\netapi32.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:34:06 498688 --a------ C:\WINDOWS\system32\clbcatq.dll <Not Verified; Microsoft Corporation; COM Services> C:\WINDOWS\explorer.exe (pid 1204) 2006-12-13 12:34:30 1058816 --a------ C:\WINDOWS\system32\kernel32.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:34:22 280064 --a------ C:\WINDOWS\system32\gdi32.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:35:35 578560 --a------ C:\WINDOWS\system32\user32.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:35:25 474624 --a------ C:\WINDOWS\system32\shlwapi.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:35:25 8498688 --a------ C:\WINDOWS\system32\shell32.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:35:04 1286144 --a------ C:\WINDOWS\system32\ole32.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:34:01 1022976 --a------ C:\WINDOWS\system32\browseui.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:35:13 1497600 --a------ C:\WINDOWS\system32\shdocvw.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:34:53 337408 --a------ C:\WINDOWS\system32\netapi32.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:39:08 818688 --a------ C:\WINDOWS\system32\wininet.dll <Not Verified; Microsoft Corporation; Windows® Internet Explorer> 2006-12-13 12:39:10 23552 --a------ C:\WINDOWS\system32\normaliz.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:38:39 266752 --a------ C:\WINDOWS\system32\iertutil.dll <Not Verified; Microsoft Corporation; Windows® Internet Explorer> 2006-12-13 12:39:21 219648 --a------ C:\WINDOWS\system32\uxtheme.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:48:24 1054208 --a------ C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:34:07 617472 --a------ C:\WINDOWS\system32\comctl32.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:34:06 498688 --a------ C:\WINDOWS\system32\clbcatq.dll <Not Verified; Microsoft Corporation; COM Services> 2006-12-13 12:36:49 96256 --a------ C:\Programme\Windows Media Player\wmpband.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:38:35 6049280 --a------ C:\WINDOWS\system32\ieframe.dll <Not Verified; Microsoft Corporation; Windows® Internet Explorer> 2006-12-13 12:39:04 1162240 --a------ C:\WINDOWS\system32\urlmon.dll <Not Verified; Microsoft Corporation; Windows® Internet Explorer> 2006-12-13 12:38:56 3577856 --a------ C:\WINDOWS\system32\mshtml.dll <Not Verified; Microsoft Corporation; Windows® Internet Explorer> 2006-12-13 12:38:59 156160 --a------ C:\WINDOWS\system32\msls31.dll <Not Verified; Microsoft Corporation; Microsoft® Line Services> 2006-12-13 12:34:30 19968 --a------ C:\WINDOWS\system32\linkinfo.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:34:52 1084416 --a------ C:\WINDOWS\system32\msxml3.dll <Not Verified; Microsoft Corporation; Microsoft(R) MSXML 3.0 SP 7> 2006-12-13 12:34:26 95744 --a------ C:\WINDOWS\system32\iphlpapi.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2006-12-13 12:39:06 231424 --a------ C:\WINDOWS\system32\webcheck.dll <Not Verified; Microsoft Corporation; Windows® Internet Explorer> 2006-12-13 12:37:30 133632 --a------ C:\WINDOWS\system32\wpdshserviceobj.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2008-06-15 16:48:08 94720 --a------ C:\Programme\FileZilla FTP Client\fzshellext.dll <Not Verified; ; fzshellext Dynamic Link Library> 2006-12-13 12:37:14 166912 --a------ C:\WINDOWS\system32\portabledevicetypes.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:37:14 284160 --a------ C:\WINDOWS\system32\portabledeviceapi.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2006-12-13 12:35:28 715776 --a------ C:\WINDOWS\system32\sxs.dll <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2008-05-13 10:13:36 77824 --a------ C:\Programme\SUPERAntiSpyware\SASSEH.DLL <Not Verified; SuperAdBlocker.com; SuperAntiSpyware> 2004-11-02 22:16:40 121856 --a------ C:\Programme\WinRAR\RarExt.dll 2008-07-17 17:48:22 65793 --a------ C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll <Not Verified; Avira GmbH; AntiVir Workstation> 2006-06-05 16:07:45 196608 --a------ C:\Programme\PowerISO\PWRISOSH.DLL <Not Verified; PowerISO Computing, Inc.; PowerISO Shell Dynamic Link Library> 2006-06-05 14:06:22 20992 --a------ C:\Programme\MagicISO\misosh.dll <Not Verified; MagicISO, Inc.; MagicISO Shell Extension Module> 2006-12-13 12:37:29 2603008 --a------ C:\WINDOWS\system32\wpdshext.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2001-11-28 00:01:00 335872 -----n--- C:\Programme\WIBU-SYSTEMS\System\WibuShellExt.dll <Not Verified; WIBU-SYSTEMS AG; WIBU-SYSTEMS AG> 2007-02-27 12:39:26 61440 --a------ C:\Programme\SUPERAntiSpyware\SASCTXMN.DLL <Not Verified; SUPERAntiSpyware.com; SUPERAntiSpyware Context Menu Extension> -- Scheduled Tasks ------------------------------------------------------------- 2008-07-25 17:16:05 392 --a------ C:\WINDOWS\Tasks\1-Klick-Wartung.job 2007-05-27 14:10:53 330 --a------ C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1167566453.job -- Files created between 2008-06-30 and 2008-07-30 ----------------------------- 2008-07-30 15:18:59 0 d-------- C:\Programme\SUPERAntiSpyware 2008-07-29 21:52:08 0 d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-07-19 19:44:44 0 d-------- C:\Programme\Gemeinsame Dateien\Control Panels |
|
30.07.2008, 23:07
| #14 |
| | Trojaner TR/Agent.49152.BE -- Find3M Report --------------------------------------------------------------- 2008-07-30 22:50:57 0 --a------ C:\WINDOWS\TempFile 2008-07-30 22:50:37 0 d-------- C:\Programme\Google 2008-07-30 22:19:44 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype 2008-07-30 20:44:57 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\skypePM 2008-07-30 15:18:59 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com 2008-07-30 15:18:44 0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-07-29 21:52:11 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes 2008-07-28 02:02:08 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe 2008-07-26 05:35:10 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\AdobeUM 2008-07-21 10:56:28 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\FileZilla 2008-07-19 19:58:34 0 d--h----- C:\Programme\InstallShield Installation Information 2008-07-19 19:58:33 0 d-------- C:\Programme\Gemeinsame Dateien\Adobe 2008-07-19 19:44:44 0 d-------- C:\Programme\Gemeinsame Dateien 2008-07-19 19:32:22 0 d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared 2008-07-18 12:28:31 0 d-------- C:\Programme\ePrompter 2008-07-18 12:28:08 0 d-------- C:\Programme\MagicISO 2008-07-10 18:03:06 0 d-------- C:\Programme\Lavasoft 2008-07-06 13:26:39 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia 2008-06-28 14:14:04 0 d-------- C:\Programme\FileZilla FTP Client 2008-06-23 17:20:43 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla 2008-06-23 16:22:17 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat 2008-06-23 16:21:52 0 d-------- C:\Programme\Gemeinsame Dateien\Skype 2008-05-30 12:05:39 0 d-------- C:\Programme\Windows Live 2008-05-30 12:05:28 0 d--hs--c- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller 2008-05-10 15:58:24 418634 --a------ C:\WINDOWS\system32\perfh007.dat 2008-05-10 15:58:24 75998 --a------ C:\WINDOWS\system32\perfc007.dat -- Registry Dump --------------------------------------------------------------- *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [16.08.2005 20:40] "RTHDCPL"="RTHDCPL.EXE" [28.06.2006 08:54 C:\WINDOWS\RTHDCPL.exe] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [17.07.2008 17:48] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [20.04.2008 12:40] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [22.02.2008 04:25] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [27.12.2006 20:23] "***"="C:\WINDOWS\SYSTEM32\***.vbs" [] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 01:57] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [07.07.2008 09:42] "SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [28.05.2008 10:33] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "DisableStatusMessages"=0 (0x0) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"=1 (0x1) "NoResolveTrack"=1 (0x1) "LinkResolveIgnoreLinkInfo"=1 (0x1) "NoResolveSearch"=1 (0x1) "NoLowDiskSpaceChecks"=1 (0x1) "NoStartBanner"=1 (0x1) "ClearRecentDocsOnExit"=1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"=1 (0x1) "NoResolveTrack"=1 (0x1) "LinkResolveIgnoreLinkInfo"=1 (0x1) "NoResolveSearch"=1 (0x1) "NoLowDiskSpaceChecks"=1 (0x1) "NoStartBanner"=1 (0x1) "ClearRecentDocsOnExit"=1 (0x1) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programme\SUPERAntiSpyware\SASSEH.DLL [13.05.2008 10:13 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] C:\Programme\SUPERAntiSpyware\SASWINLO.dll 19.04.2007 13:41 294912 C:\Programme\SUPERAntiSpyware\SASWINLO.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice] @="Service" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime "NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe "GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" "SkyTel"=SkyTel.EXE "BigDogPath"=C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{159b7261-95cc-11db-b077-806d6172696f}] AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe ***.vbs [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{159b7263-95cc-11db-b077-806d6172696f}] AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe ***.vbs -- Hosts ----------------------------------------------------------------------- 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 8828 more entries in hosts file. -- End of Deckard's System Scanner: finished at 2008-07-30 23:17:25 ------------ |
|
30.07.2008, 23:09
| #15 |
| | Trojaner TR/Agent.49152.BE Deckard's System Scanner v20071014.68 Extra logfile - please post this as an attachment with your post. -------------------------------------------------------------------------------- -- System Information ---------------------------------------------------------- Microsoft Windows XP Professional (build 2600) SP 2.0 Architecture: X86; Language: German CPU 0: AMD Athlon(tm) 64 X2 Dual Core Processor 3800+ CPU 1: AMD Athlon(tm) 64 X2 Dual Core Processor 3800+ Percentage of Memory in Use: 16% Physical Memory (total/avail): 3071.36 MiB / 2577.17 MiB Pagefile Memory (total/avail): 4447.27 MiB / 3963 MiB Virtual Memory (total/avail): 2047.88 MiB / 1878.84 MiB C: is Fixed (NTFS) - 19.53 GiB total, 4.58 GiB free. D: is Fixed (NTFS) - 129.52 GiB total, 62.16 GiB free. E: is CDROM (No Media) \\.\PHYSICALDRIVE0 - SAMSUNG SP1654N - 149.05 GiB - 2 partitions \PARTITION0 (bootable) - Installierbares Dateisystem - 19.53 GiB - C: \PARTITION1 - Erweitert mit Int 13 (erweitert) - 129.52 GiB - D: -- Security Center ------------------------------------------------------------- AUOptions is disabled. Windows Internal Firewall is enabled. FirstRunDisabled is set. AV: Avira AntiVir PersonalEdition v8.0.1.26 (Avira GmbH) [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\@Last Software\\SketchUp 5\\SketchUp.exe"="C:\\Programme\\@Last Software\\SketchUp 5\\SketchUp.exe:* isabled:SketchUp Application""C:\\Programme\\Tiny Personal Firewall\\PERSFW.EXE"="C:\\Programme\\Tiny Personal Firewall\\PERSFW.EXE:*:Enabled:Tiny Personal Firewall Engine" "C:\\Programme\\InterVideo\\WinDVD4PR\\WinDVD.exe"="C:\\Programme\\InterVideo\\WinDVD4PR\\WinDVD.exe:* isabled:WinDVD""C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook" "C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"="C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE:*:Enabled:Microsoft Office Groove" "C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote" "C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox" "C:\\Programme\\Autodesk\\Backburner\\monitor.exe"="C:\\Programme\\Autodesk\\Backburner\\monitor.exe:*:Enabled:backburner 2.3 monitor" "C:\\Programme\\Autodesk\\Backburner\\manager.exe"="C:\\Programme\\Autodesk\\Backburner\\manager.exe:*:Enabled:backburner 2.3 manager" "C:\\Programme\\Autodesk\\Backburner\\server.exe"="C:\\Programme\\Autodesk\\Backburner\\server.exe:*:Enabled:backburner 2.3 server" "C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour" "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" -- Environment Variables ------------------------------------------------------- ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users APPDATA=C:\Dokumente und Einstellungen\***\Anwendungsdaten CLASSPATH=C:\Programme\QuickTime\QTSystem\QTJava.zip CommonProgramFiles=C:\Programme\Gemeinsame Dateien COMPUTERNAME=*** ComSpec=C:\WINDOWS\system32\cmd.exe FP_NO_HOST_CHECK=NO HOMEDRIVE=C: HOMEPATH=\Dokumente und Einstellungen\*** LOGONSERVER=\\*** NUMBER_OF_PROCESSORS=2 OS=Windows_NT Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Programme\Gemeinsame Dateien\Autodesk Shared\;C:\Programme\QuickTime\QTSystem\;C:\Programme\Autodesk\Backburner\ PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH PROCESSOR_ARCHITECTURE=x86 PROCESSOR_IDENTIFIER=x86 Family 15 Model 75 Stepping 2, AuthenticAMD PROCESSOR_LEVEL=15 PROCESSOR_REVISION=4b02 ProgramFiles=C:\Programme PROMPT=$P$G QTJAVA=C:\Programme\QuickTime\QTSystem\QTJava.zip SESSIONNAME=Console SystemDrive=C: SystemRoot=C:\WINDOWS TEMP=C:\DOKUME~1\***\LOKALE~1\Temp TMP=C:\DOKUME~1\***\LOKALE~1\Temp USERDOMAIN=*** USERNAME=*** USERPROFILE=C:\Dokumente und Einstellungen\*** windir=C:\WINDOWS -- User Profiles --------------------------------------------------------------- *** (admin) -- Add/Remove Programs --------------------------------------------------------- --> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0 --> MsiExec.exe /I{9A346205-EA92-4406-B1AB-50379DA3F057} --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Ad-Aware --> MsiExec.exe /I{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF} Adobe Acrobat 6.0 Professional - English, Français, Deutsch --> MsiExec.exe /I{AC76BA86-1033-F400-7760-000000000001} AHV content for Acrobat and Flash --> MsiExec.exe /I{6BBAA81D-6A7E-43AD-8889-2F002DCAAFDD} AutoCAD 2004 --> MsiExec.exe /I{5783F2D7-0201-0409-0002-0060B0CE6BBA} Avira AntiVir Personal - Free Antivirus --> C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE Backburner --> MsiExec.exe /I{3D347E6D-5A03-4342-B5BA-6A771885F379} Canon EOS 20D WIA-Treiber --> C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{ED9775A0-383E-4EAA-8DA5-8CC6860D60A3} Canon PIXMA iP2000 --> C:\WINDOWS\system32\CNMCP66.exe "-PRINTERNAMECanon PIXMA iP2000" "-HELPERDLLC:\BJPrinter\CNMWINDOWS\Canon PIXMA iP2000 Installer\Inst2\cnmis.dll" "-RCDLLC:\BJPrinter\CNMWINDOWS\Canon PIXMA iP2000 Installer\Inst2\cnmi0407.dll" DivX Web Player --> C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN FileZilla Client 3.0.11 --> C:\Programme\FileZilla FTP Client\uninstall.exe Google Earth --> MsiExec.exe /I{1D14373E-7970-4F2F-A467-ACA4F0EA21E3} Hamachi 1.0.2.5 --> C:\Programme\Hamachi\uninstall.exe High Definition Audio Driver Package - KB888111 --> "C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe" HijackThis 2.0.2 --> "C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe" /uninstall HP Foto- und Bildbearbeitung 2.0 - All-in-One --> MsiExec.exe /X{9867A917-5D17-40DE-83BA-BEA5293194B1} HP Foto- und Bildbearbeitung 2.0 All-in-One Treiber --> MsiExec.exe /X{6ECB39BD-73C2-44DD-B1A0-898207C58D8B} HP Foto und Bildbearbeitung 2.0 - hp psc 1200 series --> C:\Programme\Hewlett-Packard\Digital Imaging\{7C8BB31C-E09E-4c7d-BBF1-45E33B467FE1}\Setup\hpzscr01.exe -datfile hposcr02.dat -forcereboot hp psc 1200 series --> MsiExec.exe /X{C900EF06-2E76-49C7-8DB0-41F629B21DC5} HP Speicher-Disc --> MsiExec.exe /X{B376402D-58EA-45EA-BD50-DD924EB67A70} iFinger --> C:\PROGRA~1\iFinger\UNWISE.EXE C:\PROGRA~1\iFinger\INSTALL.LOG InterVideo WinDVD Platinum --> "C:\Programme\InstallShield Installation Information\{8DC9BEFF-07FC-4631-BBF4-8F00F74953C2}\setup.exe" REMOVEALL Java(TM) 6 Update 5 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050} Macromedia Flash MX --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3BE480ED-E17A-431A-981C-5C2EDDBCD3BF}\Setup.exe" -l0x9 UNINSTALL Macromedia Flash Player 8 --> RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\swflash.inf,DefaultUninstall,5 Magic ISO Maker v5.3 (build 0216) --> C:\PROGRA~1\MagicISO\UNWISE.EXE C:\PROGRA~1\MagicISO\INSTALL.LOG Malwarebytes' Anti-Malware --> "C:\Programme\Malwarebytes' Anti-Malware\unins000.exe" Mozilla Firefox (3.0.1) --> C:\Programme\Mozilla Firefox\uninstall\helper.exe MSXML 6.0 Parser --> MsiExec.exe /I{AEB9948B-4FF2-47C9-990E-47014492A0FE} Nero 6 Ultra Edition --> C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL NVIDIA Drivers --> C:\WINDOWS\system32\nvuide.exe UninstallGUI PDF Settings --> MsiExec.exe /I{AC5B0C19-D851-42F4-BDA0-410ECF7F70A5} Philips SPC 200NC PC Camera --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2A2646FB-7BAC-451B-BF90-4889C4429C5E}\Setup.exe" -l0x7 PowerISO --> "C:\Programme\PowerISO\uninstall.exe" QuickTime --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{929408E6-D265-4174-805F-81D1D914E2A4} /l1031 RealPlayer --> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0 Realtek High Definition Audio Driver --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x7 -removeonly RPM Browser for Windows --> "C:\Program Files\RPM Browser for Windows\uninstall\uninst.exe" SafeCast Shared Components --> C:\Programme\Gemeinsame Dateien\Macrovision Shared\SafeCast\Install\CDAC13BA.EXE /uninstall Sentinel System Driver --> C:\WINDOWS\SYSTEM32\RNBOSENT\SETUPX86.EXE /U /q Skype™ 3.8 --> MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82} Spybot - Search & Destroy --> "C:\Programme\Spybot - Search & Destroy\unins000.exe" SUPERAntiSpyware Professional --> MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA} Tiny Personal Firewall 2.0.15 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{ED5AF20A-7155-11D4-AAB3-204C4F4F5020}\Setup.exe" anything TuneUp Utilities 2007 --> MsiExec.exe /I{C8BB4912-12D9-42AE-B571-E580D8CD1B5B} VideoLAN VLC media player 0.8.4a --> C:\Programme\VideoLAN\VLC\uninstall.exe Virtual Desktop Camera for Skype --> MsiExec.exe /I{5F3748F1-B1EE-46E0-9E2C-F00733170B6F} Windows Live Anmelde-Assistent --> MsiExec.exe /I{AFA4E5FD-ED70-4D92-99D0-162FD56DC986} Windows Live installer --> MsiExec.exe /X{7A7B0BF3-2F00-4F03-8A9B-6ABCC07B90C6} Windows Live Mail --> MsiExec.exe /I{82F2B38B-1426-443D-874C-AC25675E7BEB} WinRAR Archivierer --> C:\Programme\WinRAR\uninstall.exe -- Application Event Log ------------------------------------------------------- Event Record #/Type5775 / Warning Event Submitted/Written: 07/30/2008 03:30:24 PM Event ID/Source: 4113 / Avira AntiVir Event Description: HEUR/HTML.MalwareC:\System Volume Information\_restore{8CCE1EF7-7C5E-43E6-BF2F-D238BCBAD7AF}\RP311\A0037180.vbs Event Record #/Type5767 / Error Event Submitted/Written: 07/29/2008 11:03:27 PM Event ID/Source: 8 / crypt32 Event Description: Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben. . Event Record #/Type5760 / Warning Event Submitted/Written: 07/29/2008 09:56:04 PM Event ID/Source: 4113 / Avira AntiVir Event Description: HEUR/HTML.MalwareC:\System Volume Information\_restore{8CCE1EF7-7C5E-43E6-BF2F-D238BCBAD7AF}\RP311\A0037180.vbs Event Record #/Type5759 / Warning Event Submitted/Written: 07/29/2008 09:50:49 PM Event ID/Source: 4113 / Avira AntiVir Event Description: HTML/Infected.WebPage.GenC:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\a9wbn3b4.default\Cache\B2FD5D5Bd01 Event Record #/Type5758 / Warning Event Submitted/Written: 07/29/2008 09:24:51 PM Event ID/Source: 4113 / Avira AntiVir Event Description: HEUR/HTML.MalwareC:\System Volume Information\_restore{8CCE1EF7-7C5E-43E6-BF2F-D238BCBAD7AF}\RP311\A0037180.vbs -- Security Event Log ---------------------------------------------------------- No Errors/Warnings found. -- System Event Log ------------------------------------------------------------ Event Record #/Type3379 / Error Event Submitted/Written: 07/30/2008 10:50:21 PM / 07/30/2008 10:50:51 PM Event ID/Source: 4000 / fwdrv Event Description: \Device\FWDRVUnable to capture ZwLoadDriver Event Record #/Type3374 / Error Event Submitted/Written: 07/30/2008 10:36:44 PM / 07/30/2008 10:37:14 PM Event ID/Source: 4000 / fwdrv Event Description: \Device\FWDRVUnable to capture ZwLoadDriver Event Record #/Type3369 / Error Event Submitted/Written: 07/30/2008 05:47:54 PM / 07/30/2008 05:48:24 PM Event ID/Source: 4000 / fwdrv Event Description: \Device\FWDRVUnable to capture ZwLoadDriver Event Record #/Type3364 / Error Event Submitted/Written: 07/30/2008 11:06:43 AM / 07/30/2008 11:07:13 AM Event ID/Source: 4000 / fwdrv Event Description: \Device\FWDRVUnable to capture ZwLoadDriver Event Record #/Type3358 / Error Event Submitted/Written: 07/29/2008 10:50:17 PM / 07/29/2008 10:50:47 PM Event ID/Source: 4000 / fwdrv Event Description: \Device\FWDRVUnable to capture ZwLoadDriver -- End of Deckard's System Scanner: finished at 2008-07-30 23:17:25 ------------ |
|
| Themen zu Trojaner TR/Agent.49152.BE |
| 32-bit, ad-aware, add-on, antivir, avira, bho, bitte um hilfe, bonjour, computer, desktop, drivers, excel, firefox, google, hijack, hijack this, hijackthis, hkus\s-1-5-18, internet explorer, logfile, mozilla, mozilla firefox, object, quara, scan, senden, software, system, toolbars, trojaner, vielen dank, windows, windows xp, windows\system32\drivers |
Linear-Darstellung
