| |
| |||||||
Log-Analyse und Auswertung: Cognac Trojaner kann nicht entfernt werdenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
15.07.2009, 13:11
| #1 |
 |  Cognac Trojaner kann nicht entfernt werden Ich habe erstmal gegoogelt und habe dabei herausgefunden, dass dieser Trojaner sich verfielfacht. Jedoch öffnet sich bei mir plötzlich der Internet-Explorer voller Werbung. In C:\Dokumente und Einstellungen\Patrick R\Lokale Einstellungen\Temp existiert eine Datei namens: "a.dat, die sich nicht löschen lässt. Ich habe bisher versucht mit "regedit" unter "Current Wondows Version" den "Cognac"- Ordner zu löschen, vergebens. Der Trojaner versucht sich auch permanent in die Boot.ini einzuschreiben, was ich aber mit "Trojancheck 6" blocken kann. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:46:03, on 15.07.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Avira\AntiVir Desktop\avmailc.exe C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\msa.exe C:\Program Files\ASUS\Ai Suite\AiGear3\CpuPowerMonitor.exe C:\Program Files\ASUS\Ai Suite\EnergySaving\PwSave.exe C:\Programme\FreePDF_XP\fpassist.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Trojancheck 6\tcguard.exe C:\Programme\Razer\Lachesis\razerhid.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Razer\Lachesis\OSD.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\ASUS\SmartDoctor\SmartDoctor.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\Razer\Lachesis\razertra.exe C:\Programme\Razer\Lachesis\razerofa.exe C:\Programme\ASUS\AASP\1.00.59\aaCenter.exe C:\Dokumente und Einstellungen\Patrick R\Desktop\CryptLoad_1.1.4\CryptLoad.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Programme\Mozilla Firefox\firefox1.exe C:\Programme\Windows Live\Mail\wlmail.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll (file missing) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [CPU Power Monitor] "C:\Program Files\ASUS\Ai Suite\AiGear3\CpuPowerMonitor.exe" O4 - HKLM\..\Run: [Cpu Level Up help] C:\Program Files\ASUS\Ai Suite\CpuLevelUpHelp.exe O4 - HKLM\..\Run: [ASUS Energy Saving] "C:\Program Files\ASUS\Ai Suite\EnergySaving\PwSave.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe O4 - HKLM\..\Run: [Lachesis] C:\Programme\Razer\Lachesis\razerhid.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programme\ASUS\SmartDoctor\SmartDoctor.exe /start O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: My_AutoWarkey_Script.lnk = C:\Programme\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avmailc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe |
|
15.07.2009, 23:19
| #2 |
| /// Helfer-Team    | Cognac Trojaner kann nicht entfernt werden Hallo HausTia
__________________ - Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 2. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 3. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 4. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! 5.
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post: → vor dein log schreibst du:[code] hier kommt dein logfile rein → dahinter:[/code] ** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw gruß Coverflow |
|
02.08.2009, 22:58
| #3 |
| | Cognac Trojaner kann nicht entfernt werden So ich habe jetzte alles gemacht was du mir geschrieben hast:
__________________Code:
ATTFilter ----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6066-3B2E
Verzeichnis von C:\
02.08.2009 20:40 43 filelist.txt
02.08.2009 19:50 534 RTHDCPL_Dump.txt
02.08.2009 19:47 2.145.386.496 pagefile.sys
09.06.2009 18:47 122 fpRedmon.log
08.04.2009 10:35 232 sqmdata00.sqm
08.04.2009 10:35 244 sqmnoopt00.sqm
----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6066-3B2E
Verzeichnis von C:\WINDOWS
02.08.2009 20:39 662.853 setupapi.log
02.08.2009 20:33 1.066.708 WindowsUpdate.log
02.08.2009 19:48 0 0.log
02.08.2009 19:47 159 wiadebug.log
02.08.2009 19:47 50 wiaservc.log
02.08.2009 19:47 2.048 bootstat.dat
15.07.2009 23:07 32.386 SchedLgU.Txt
15.07.2009 22:45 116 NeroDigital.ini
15.07.2009 20:01 275.045 DirectX.log
12.07.2009 00:19 135.680 msa.exe
07.07.2009 19:07 24.861 wmsetup.log
21.06.2009 23:27 30.535 scunin.dat
21.06.2009 23:27 967 ScUnin.pif
21.06.2009 23:27 69.632 ScUnin.exe
11.06.2009 00:13 683 win.ini
11.06.2009 00:13 44.170 tabletoc.log
11.06.2009 00:13 968.012 iis6.log
11.06.2009 00:13 399.485 tsoc.log
11.06.2009 00:13 48.081 ocmsn.log
11.06.2009 00:13 297.586 comsetup.log
11.06.2009 00:13 1.374 imsins.log
11.06.2009 00:13 178.607 ntdtcsetup.log
11.06.2009 00:13 20.018 KB961501.log
11.06.2009 00:13 417.140 ocgen.log
11.06.2009 00:13 60.137 MedCtrOC.log
11.06.2009 00:13 43.513 msgsocm.log
11.06.2009 00:13 152.244 netfxocm.log
11.06.2009 00:13 864.824 FaxSetup.log
11.06.2009 00:13 269.390 msmqinst.log
11.06.2009 00:13 1.374 imsins.BAK
11.06.2009 00:13 25.394 KB969897.log
11.06.2009 00:12 44.407 updspapi.log
11.06.2009 00:12 11.364 KB969898.log
11.06.2009 00:11 17.293 KB970238.log
11.06.2009 00:11 16.721 KB968537.log
10.06.2009 15:45 737.280 iun6002.exe
25.04.2009 16:30 291.629 svcpack.log
21.04.2009 17:48 43.833 spupdsvc.log
21.04.2009 17:48 187 spupdsvc.log.1.log
20.04.2009 13:09 23.591 WgaNotify.log
20.04.2009 12:47 13.639 KB959426.log
20.04.2009 12:47 11.943 KB961373.log
20.04.2009 00:25 24.031 KB956572.log
20.04.2009 00:25 20.899 KB952004.log
20.04.2009 00:24 17.762 KB960803.log
20.04.2009 00:24 21.556 KB963027.log
20.04.2009 00:23 10.805 KB923561.log
06.04.2009 17:26 6.120 BricoPackFoldersDelete.cmd
06.04.2009 17:26 54.886 BricoPackUninst.cmd
06.04.2009 17:26 54.886 BricoPackUninst.txt
06.04.2009 17:26 3.932.214 BricoPack Wallpaper.bmp
21.03.2009 12:39 231 LGNSlog.txt
11.03.2009 20:28 13.351 KB960225.log
11.03.2009 20:28 13.643 KB958690.log
11.03.2009 20:27 5.430 KB959772.log
25.02.2009 19:53 7.683 KB961118.log
25.02.2009 19:53 12.765 KB967715.log
13.02.2009 15:50 197.065 setupact.log
11.02.2009 20:55 6.069 KB960715.log
----- System ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6066-3B2E
Verzeichnis von C:\WINDOWS\system
----- System 32 (Achtung: Zeitfenster beachten!) ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6066-3B2E
Verzeichnis von C:\WINDOWS\system32
02.08.2009 19:50 2.206 wpa.dbl
02.08.2009 19:47 47.604 ativvaxx.cap
10.07.2009 14:48 189.288 PnkBstrB.xtr
10.07.2009 14:48 189.288 PnkBstrB.exe
08.07.2009 01:55 41.808 xfcodec.dll
26.06.2009 22:04 75.064 PnkBstrA.exe
11.06.2009 10:49 292.480 FNTCACHE.DAT
10.06.2009 15:46 67.700 perfc009.dat
10.06.2009 15:46 432.936 perfh009.dat
10.06.2009 15:46 449.478 perfh007.dat
10.06.2009 15:46 80.426 perfc007.dat
10.06.2009 15:46 1.043.802 PerfStringBackup.INI
08.06.2009 15:33 8.676.883 mp3Media2.dll
01.06.2009 18:51 23.635.392 MRT.exe
07.05.2009 17:42 346.624 localspl.dll
29.04.2009 06:51 3.081.728 mshtml.dll
29.04.2009 06:51 618.496 urlmon.dll
29.04.2009 06:51 1.023.488 browseui.dll
29.04.2009 06:51 474.624 shlwapi.dll
29.04.2009 06:51 449.024 mshtmled.dll
29.04.2009 06:51 16.384 jsproxy.dll
29.04.2009 06:51 665.088 wininet.dll
29.04.2009 06:51 1.495.552 shdocvw.dll
29.04.2009 06:51 96.768 inseng.dll
29.04.2009 06:51 39.424 pngfilt.dll
29.04.2009 06:51 146.432 msrating.dll
29.04.2009 06:51 532.480 mstime.dll
29.04.2009 06:51 251.392 iepeers.dll
29.04.2009 06:51 205.312 dxtrans.dll
29.04.2009 06:51 81.920 ieencode.dll
29.04.2009 06:51 1.056.256 danim.dll
29.04.2009 06:51 55.808 extmgr.dll
29.04.2009 06:51 357.888 dxtmsft.dll
29.04.2009 06:51 152.064 cdfview.dll
29.04.2009 06:35 371.200 html.iec
27.04.2009 11:48 374.272 xpsp3res.dll
19.04.2009 22:06 1.846.784 win32k.sys
15.04.2009 17:11 584.192 rpcrt4.dll
06.04.2009 17:26 219.648 uxtheme.dll
05.04.2009 20:12 3.774 jupdate-1.6.0_13-b03.log
21.03.2009 16:20 1.059.840 kernel32.dll
10.03.2009 22:18 970.632 WgaTray.exe
10.03.2009 22:18 1.482.112 LegitCheckControl.dll
10.03.2009 22:18 265.096 WgaLogon.dll
09.03.2009 05:19 148.888 javaws.exe
09.03.2009 05:19 144.792 javaw.exe
09.03.2009 05:19 144.792 java.exe
09.03.2009 05:19 410.984 deploytk.dll
09.03.2009 02:53 73.728 javacpl.cpl
06.03.2009 16:44 286.208 pdh.dll
09.02.2009 13:47 2.018.304 ntkrnlpa.exe
09.02.2009 13:47 2.138.624 ntoskrnl.exe
09.02.2009 12:18 677.888 advapi32.dll
09.02.2009 12:18 399.360 rpcss.dll
09.02.2009 12:18 731.136 lsasrv.dll
09.02.2009 12:18 740.352 ntdll.dll
09.02.2009 12:04 111.104 services.exe
06.02.2009 18:54 35.328 sc.exe
03.02.2009 22:08 55.808 secur32.dll
----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6066-3B2E
Verzeichnis von C:\WINDOWS\Prefetch
02.08.2009 20:40 11.020 FIND.EXE-0EC32F1E.pf
02.08.2009 20:40 17.500 CMD.EXE-087B4001.pf
02.08.2009 20:39 27.606 FACT.EXE-1F48D283.pf
02.08.2009 20:39 119.656 FIREFOX1.EXE-1ECE65F9.pf
02.08.2009 20:39 8.000 JQSNOTIFY.EXE-1E60A522.pf
02.08.2009 20:39 58.222 AVCENTER.EXE-1D2DB8A2.pf
02.08.2009 20:37 40.220 4NZGRNR8.EXE-2E2ED85B.pf
02.08.2009 20:36 19.144 CCLEANER.EXE-065E2F3F.pf
02.08.2009 20:36 19.858 CCSETUP222_SLIM.EXE-1DA70C23.pf
02.08.2009 20:35 13.568 NOTEPAD.EXE-336351A9.pf
02.08.2009 20:33 60.754 WINRAR.EXE-3588DFE8.pf
02.08.2009 20:33 59.672 EXPLORER.EXE-082F38A9.pf
02.08.2009 20:33 13.820 VERCLSID.EXE-3667BD89.pf
02.08.2009 20:30 61.870 WMPLAYER.EXE-09969338.pf
02.08.2009 20:28 77.576 WMIPRVSE.EXE-28F301A9.pf
02.08.2009 20:28 98.136 WLMAIL.EXE-07132131.pf
02.08.2009 20:27 103.526 CRYPTLOAD.EXE-2DA99FFF.pf
02.08.2009 20:17 94.042 IEXPLORE.EXE-2CA9778D.pf
02.08.2009 20:00 56.872 MSA.EXE-1E98B210.pf
02.08.2009 19:55 58.606 JAVA.EXE-2167859B.pf
02.08.2009 19:50 17.264 RAZERTRA.EXE-16BC8261.pf
02.08.2009 19:50 21.434 MSMSGS.EXE-32066BA5.pf
02.08.2009 19:50 44.014 RTHDCPL.EXE-06918CFA.pf
02.08.2009 19:50 17.532 PWSAVE.EXE-192F99AA.pf
02.08.2009 19:50 12.534 FPASSIST.EXE-18368AA2.pf
02.08.2009 19:50 15.672 USERINIT.EXE-30B18140.pf
02.08.2009 19:50 42.654 WGATRAY.EXE-0ED38BED.pf
02.08.2009 19:50 8.020 QTTASK.EXE-2D7EEF34.pf
02.08.2009 19:50 11.628 CPULEVELUPHELP.EXE-1372A4FC.pf
02.08.2009 19:50 59.068 UPDATE.EXE-3398FCD6.pf
02.08.2009 19:49 1.339.000 NTOSBOOT-B00DFAAD.pf
15.07.2009 22:45 164.020 VLC.EXE-29851A71.pf
15.07.2009 22:00 48.876 HELPSVC.EXE-2878DDA2.pf
15.07.2009 22:00 14.372 GUARDGUI.EXE-147E0160.pf
15.07.2009 21:17 56.212 WAR3.EXE-3858031C.pf
15.07.2009 21:17 19.994 FROZEN THRONE.EXE-0ED0B3D3.pf
15.07.2009 20:22 34.594 AUTOHOTKEY.EXE-033E2A15.pf
15.07.2009 20:20 43.514 RAZERCFG.EXE-23FACD32.pf
15.07.2009 20:19 15.250 TASKMGR.EXE-20256C55.pf
15.07.2009 20:18 45.994 SDFIX.EXE-1A9E88EB.pf
15.07.2009 20:17 13.012 REGEDIT.EXE-1B606482.pf
15.07.2009 20:01 33.732 MSIEXEC.EXE-2F8A8CAE.pf
15.07.2009 20:01 6.318 DXDLLREG.EXE-3B244143.pf
15.07.2009 20:01 51.742 DXSETUP.EXE-347BCA3F.pf
15.07.2009 20:00 57.298 GAMEINST.EXE-076AE523.pf
15.07.2009 20:00 138.176 SETUP.EXE-31B8D3C3.pf
15.07.2009 20:00 32.886 AUTORUN.EXE-03D046DC.pf
15.07.2009 20:00 57.974 GAMEINST.EXE-21449C7C.pf
15.07.2009 20:00 57.298 GAMEINST.EXE-37950C06.pf
15.07.2009 19:58 6.330 DXDLLREG.EXE-08B98EF1.pf
15.07.2009 19:58 14.246 DXSETUP.EXE-2979CC15.pf
15.07.2009 19:56 57.362 GAMEINST.EXE-372BC0C6.pf
15.07.2009 19:56 15.884 SETUP.EXE-327952C5.pf
15.07.2009 19:55 45.594 ACROSETUP.EXE-1AF5AFDF.pf
15.07.2009 19:55 12.220 BSSNDRPT.EXE-2F822E94.pf
15.07.2009 19:55 57.298 GAMEINST.EXE-292492DA.pf
15.07.2009 19:44 8.546 DXDLLREG.EXE-35714334.pf
15.07.2009 19:44 51.804 DXSETUP.EXE-141E3053.pf
15.07.2009 19:41 57.152 GAMEINST.EXE-1F5CA002.pf
15.07.2009 19:17 334.776 Layout.ini
15.07.2009 18:54 11.744 RUNDLL32.EXE-3AF10E20.pf
15.07.2009 18:06 40.646 MP3MEDIA2.DLL-181D4ECE.pf
15.07.2009 18:06 38.186 FLV2MP3.EXE-07A13B4A.pf
15.07.2009 13:46 20.180 HIJACKTHIS.EXE-39024128.pf
15.07.2009 11:38 76.398 DFRGNTFS.EXE-269967DF.pf
15.07.2009 11:38 16.394 DEFRAG.EXE-273F131E.pf
15.07.2009 10:40 19.446 TCGUARD.EXE-1CA88984.pf
15.07.2009 10:40 6.104 OSD.EXE-0373909B.pf
15.07.2009 10:40 10.238 JUSCHED.EXE-336229D9.pf
15.07.2009 10:40 101.186 CPUPOWERMONITOR.EXE-20929CF4.pf
15.07.2009 10:40 15.514 RAZERHID.EXE-2D2B1F2B.pf
15.07.2009 10:40 10.384 READER_SL.EXE-2FAFE67A.pf
15.07.2009 10:40 10.540 ALCMTR.EXE-235F9538.pf
15.07.2009 10:40 5.090 CLISTART.EXE-025897C5.pf
14.07.2009 20:39 11.250 RUNDLL32.EXE-451FC2C0.pf
14.07.2009 20:12 65.298 XFIRE.EXE-021C4593.pf
12.07.2009 00:44 102.184 FIREFOX.EXE-1D57670A.pf
07.07.2009 00:29 20.812 WUAUCLT.EXE-399A8E72.pf
07.07.2009 00:27 34.400 AVWSC.EXE-24612965.pf
21.03.2009 10:58 36.228 AVWSC.EXE-21794CE9.pf
80 Datei(en) 4.813.184 Bytes
0 Verzeichnis(se), 109.460.598.784 Bytes frei
----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6066-3B2E
Verzeichnis von C:\WINDOWS\tasks
02.08.2009 20:00 248 {5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job
02.08.2009 20:00 292 {783AF354-B514-42d6-970E-3E8BF0A5279C}.job
02.08.2009 19:47 6 SA.DAT
4 Datei(en) 611 Bytes
0 Verzeichnis(se), 109.460.598.784 Bytes frei
----- Windows/Temp -----------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6066-3B2E
Verzeichnis von C:\WINDOWS\Temp
02.08.2009 19:50 483 WGAErrLog.txt
02.08.2009 19:47 16.384 Perflib_Perfdata_6f4.dat
09.06.2009 18:47 378 fpRedmon.log
12.05.2009 19:27 94.228 Microsoft .NET Framework 3.5-KB958484_20090512_172718312.html
12.05.2009 19:27 750.934 Microsoft .NET Framework 3.5-KB958484_20090512_172718312-Msi0.txt
12.05.2009 19:27 113.324 Microsoft .NET Framework 3.0-KB958483_20090512_172652718.html
12.05.2009 19:27 2.120.580 Microsoft .NET Framework 3.0-KB958483_20090512_172652718-Msi0.txt
12.05.2009 19:27 4.841 dd_wcf_retCA266E.txt
12.05.2009 19:26 506.044 Microsoft .NET Framework 2.0-KB958481_20090512_172500218.html
12.05.2009 19:26 9.420.894 Microsoft .NET Framework 2.0-KB958481_20090512_172500218-Msi0.txt
12.05.2009 19:26 5.158 ASPNETSetup_00000.log
20.04.2009 00:25 524.288 TMP00000001008EC730F6AD82A0
20.04.2009 00:25 4.604.240 mpengine.dll
19.04.2009 21:01 16.384 Perflib_Perfdata_71c.dat
14 Datei(en) 18.178.160 Bytes
0 Verzeichnis(se), 109.460.598.784 Bytes frei
----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6066-3B2E
Verzeichnis von C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp
02.08.2009 20:40 20.316 a.dat
02.08.2009 20:39 0 etilqs_kb0A2XWX217hspmrIiga
02.08.2009 20:39 0 etilqs_WEGj7wCgrnZJHlFEurhI
02.08.2009 20:31 28.700 etilqs_ktYed9IFln3wmmGUMYu7
02.08.2009 19:55 184.446 jusched.log
02.08.2009 19:50 16.384 Perflib_Perfdata_e08.dat
02.08.2009 19:50 16.384 ~DF7280.tmp
15.07.2009 20:00 49 1215wrfiles.~lk
15.07.2009 20:00 49 6209wrfiles.~lk
15.07.2009 20:00 49 8220wrfiles.~lk
15.07.2009 19:56 49 1720wrfiles.~lk
15.07.2009 19:56 49 7653wrfiles.~lk
15.07.2009 19:56 316 MSIe7ea6.LOG
15.07.2009 19:55 49 3707wrfiles.~lk
15.07.2009 19:41 49 1964wrfiles.~lk
14.07.2009 20:41 7.326 java_install_reg.log
10.07.2009 20:32 17.060 wmplog00.sqm
09.07.2009 22:37 22.432 mod13F.tmp
09.07.2009 22:37 34 mod13D.tmp
09.07.2009 22:37 435 mod13E.tmp
09.07.2009 22:37 22.432 mod13C.tmp
09.07.2009 22:37 34 mod13A.tmp
09.07.2009 22:37 437 mod13B.tmp
09.07.2009 01:31 4.780.760 DWPUpgradeInstaller.exe
29.06.2009 16:10 755 ws_NET_20090629_0.log
29.06.2009 16:09 59.964 AdskCleanup.0001
28.06.2009 16:04 0 9taHv0hY.htm.part
28.06.2009 16:03 0 ThMiAYuY.htm.part
28.06.2009 15:34 755 ws_NET_20090628_0.log
15.06.2009 15:53 755 ws_NET_20090615_0.log
13.06.2009 12:57 0 jar_cache3084711512190355124.tmp
08.06.2009 17:34 0 7vi7D.tmp
07.06.2009 14:53 0 i1y66.tmp
07.06.2009 12:17 141 browserview-e2f090.htm
07.06.2009 12:17 45.187 browserview-1d42150.htm
24.05.2009 18:35 0 iuk9F.tmp
24.05.2009 18:34 0 6xs9D.tmp
22.05.2009 20:06 141 browserview-3455b00.htm
22.05.2009 20:06 40.795 browserview-1cf6870.htm
22.05.2009 20:06 141 browserview-e1d4b0.htm
21.05.2009 11:31 141 browserview-e1d3b8.htm
21.05.2009 11:31 141 browserview-37cd008.htm
21.05.2009 11:31 44.923 browserview-1ce8778.htm
18.05.2009 22:53 755 ws_NET_20090518_0.log
16.05.2009 17:37 59.964 Adobelm_Cleanup.0001
04.05.2009 18:10 755 ws_NET_20090504_0.log
04.05.2009 16:20 0 b86B.tmp
04.05.2009 16:19 0 tlf5.tmp
03.05.2009 11:53 755 ws_NET_20090503_0.log
02.05.2009 16:42 1.510 ws_NET_20090502_0.log
01.05.2009 10:13 11.246 dd_vcredistUI4604.txt
01.05.2009 10:13 523.114 dd_vcredistMSI4604.txt
01.05.2009 10:11 15.466 dd_vcredistUI443E.txt
01.05.2009 10:11 521.982 dd_vcredistMSI443E.txt
25.04.2009 16:32 11.182 dd_vcredistUI1368.txt
25.04.2009 16:32 521.602 dd_vcredistMSI1368.txt
25.04.2009 16:23 141 browserview-df1ad8.htm
25.04.2009 16:23 4.595 browserview-1c805f8.htm
19.04.2009 21:19 2.374 java_install_sp.log
19.04.2009 21:19 1.532.928 11a68f.mst
19.04.2009 21:19 9.635 jinstall.cfg
19.04.2009 21:11 0 uqu33.tmp
12.04.2009 22:48 141 browserview-dd0538.htm
12.04.2009 22:48 55.432 browserview-1aaea78.htm
09.04.2009 14:23 7.108 aa38_appcompat.txt
06.04.2009 17:29 55.147 browserview-1a6c7d0.htm
06.04.2009 17:29 141 browserview-dd1af0.htm
06.04.2009 17:27 798 PrePict.htm
06.04.2009 09:06 0 5ubB.tmp
05.04.2009 22:57 141 browserview-d81030.htm
05.04.2009 22:57 51.799 browserview-1a27f18.htm
05.04.2009 20:12 1.532.928 67775.mst
04.04.2009 14:53 141 browserview-34b3500.htm
04.04.2009 14:53 141 browserview-d81110.htm
04.04.2009 14:53 41.897 browserview-1a23790.htm
02.04.2009 19:38 141 browserview-30ee9d8.htm
29.03.2009 22:03 141 browserview-d80b78.htm
29.03.2009 22:03 141 browserview-30bff78.htm
29.03.2009 22:03 55.982 browserview-1a4caa0.htm
29.03.2009 05:43 141 browserview-d814a0.htm
29.03.2009 05:43 51.351 browserview-1a03ca8.htm
28.03.2009 19:10 76 dw.log
25.03.2009 09:02 607.640 jre-6u13-windows-i586-p-iftw.exe
22.03.2009 22:17 755 ws_NET_20090322_0.log
21.03.2009 16:35 141 browserview-d81028.htm
21.03.2009 16:35 41.901 browserview-19fcaa8.htm
21.03.2009 10:58 189.528 dd_vcredistUI656D.txt
21.03.2009 10:58 525.636 dd_vcredistMSI656D.txt
19.03.2009 19:43 189.576 dd_vcredistUI5AED.txt
19.03.2009 19:43 526.776 dd_vcredistMSI5AED.txt
18.03.2009 22:02 189.526 dd_vcredistUI769E.txt
18.03.2009 22:02 525.388 dd_vcredistMSI769E.txt
18.03.2009 21:57 12.304 etilqs_946sXXhHmIXIyCoH69a3
14.03.2009 17:54 141 browserview-d7ee38.htm
14.03.2009 17:54 50.814 browserview-19cfa88.htm
08.03.2009 15:18 0 W_6Cuu4l.htm.part
08.03.2009 14:02 693 TWAIN.LOG
08.03.2009 14:02 156 Twunk001.MTX
08.03.2009 14:02 2 Twain001.Mtx
04.03.2009 16:01 0 Twunk002.MTX
01.03.2009 15:27 0 3DyKoja6.htm.part
01.03.2009 01:33 141 browserview-d80568.htm
01.03.2009 01:33 141 browserview-2f11f40.htm
01.03.2009 01:33 49.958 browserview-1958480.htm
28.02.2009 19:48 141 browserview-d80470.htm
28.02.2009 19:48 55.268 browserview-1949750.htm
28.02.2009 13:30 141 browserview-dcf2e0.htm
28.02.2009 13:30 40.985 browserview-1995080.htm
111 Datei(en) 13.659.113 Bytes
0 Verzeichnis(se), 109.460.590.592 Bytes frei
|
|
02.08.2009, 23:09
| #4 |
| | Cognac Trojaner kann nicht entfernt werden GMER: Code:
ATTFilter GMER 1.0.15.15011 [4nzgrnr8.exe] - http://www.gmer.net
Rootkit scan 2009-08-02 23:21:43
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.15 ----
SSDT BA7CA6A6 ZwCreateKey
SSDT BA7CA69C ZwCreateThread
SSDT BA7CA6AB ZwDeleteKey
SSDT BA7CA6B5 ZwDeleteValueKey
SSDT spgf.sys ZwEnumerateKey [0xB9EC8CA2]
SSDT spgf.sys ZwEnumerateValueKey [0xB9EC9030]
SSDT BA7CA6BA ZwLoadKey
SSDT spgf.sys ZwOpenKey [0xB9EAB0C0]
SSDT BA7CA688 ZwOpenProcess
SSDT BA7CA68D ZwOpenThread
SSDT spgf.sys ZwQueryKey [0xB9EC9108]
SSDT spgf.sys ZwQueryValueKey [0xB9EC8F88]
SSDT BA7CA6C4 ZwReplaceKey
SSDT BA7CA6BF ZwRestoreKey
SSDT BA7CA6B0 ZwSetValueKey
SSDT BA7CA697 ZwTerminateProcess
INT 0x63 ? 8A54BBF8
INT 0x63 ? 8A54BBF8
INT 0x63 ? 8A54BBF8
INT 0x63 ? 8A54BBF8
INT 0x63 ? 8A54BBF8
INT 0x83 ? 8A54BBF8
INT 0x83 ? 8A54BBF8
INT 0x83 ? 8A19BF00
INT 0x84 ? 8A19BF00
INT 0x94 ? 8A19BF00
INT 0xA4 ? 8A19BF00
INT 0xA4 ? 8A19BF00
INT 0xA4 ? 8A19BF00
INT 0xA4 ? 8A19BF00
INT 0xB4 ? 8A19BF00
---- Kernel code sections - GMER 1.0.15 ----
? spgf.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B896E62C 5 Bytes JMP 8A19B4E0
? System32\Drivers\aglz5uow.SYS Das System kann den angegebenen Pfad nicht finden. !
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9EAC040] spgf.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9EAC13C] spgf.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9EAC0BE] spgf.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9EAC7FC] spgf.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9EAC6D2] spgf.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B9EBBD92] spgf.sys
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!CreateWindowExA] [00417CDF] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!CreateWindowExW] [00417D55] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!DialogBoxParamW] [00417EDF] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!MessageBoxW] [00417EEB] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!ShowWindow] [00417DCB] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!ShowWindow] [00417DCB] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!CreateWindowExA] [00417CDF] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!SetWindowPos] [00417E75] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\CRYPT32.dll [USER32.dll!MessageBoxW] [00417EEB] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\CRYPT32.dll [USER32.dll!MessageBoxA] [00417EEB] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!DialogBoxParamA] [00417EDF] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!DialogBoxParamW] [00417EDF] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!CreateWindowExA] [00417CDF] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!CreateWindowExW] [00417D55] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!MessageBoxA] [00417EEB] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!MessageBoxW] [00417EEB] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!MessageBoxIndirectA] [00417ED9] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!MessageBoxIndirectW] [00417ED9] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!SetWindowPos] [00417E75] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!ShowWindow] [00417DCB] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!CreateWindowExW] [00417D55] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!DialogBoxParamW] [00417EDF] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!ShowWindow] [00417DCB] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!SetWindowPos] [00417E75] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!MessageBoxW] [00417EEB] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!MessageBoxA] [00417EEB] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!MessageBoxIndirectW] [00417ED9] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\USERENV.dll [USER32.dll!SetWindowPos] [00417E75] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\USERENV.dll [USER32.dll!ShowWindow] [00417DCB] C:\WINDOWS\msa.exe
IAT C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\USERENV.dll [USER32.dll!DialogBoxParamW] [00417EDF] C:\WINDOWS\msa.exe
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 8A54A1F8
Device \Driver\usbuhci \Device\USBPDO-0 8A02B1F8
Device \Driver\PCI_PNP3020 \Device\00000044 spgf.sys
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A4DC1F8
Device \Driver\dmio \Device\DmControl\DmConfig 8A4DC1F8
Device \Driver\dmio \Device\DmControl\DmPnP 8A4DC1F8
Device \Driver\dmio \Device\DmControl\DmInfo 8A4DC1F8
Device \Driver\usbuhci \Device\USBPDO-1 8A02B1F8
Device \Driver\usbuhci \Device\USBPDO-2 8A02B1F8
Device \Driver\usbehci \Device\USBPDO-3 8A28C500
Device \Driver\usbuhci \Device\USBPDO-4 8A02B1F8
Device \Driver\usbuhci \Device\USBPDO-5 8A02B1F8
Device \Driver\usbuhci \Device\USBPDO-6 8A02B1F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A54C1F8
Device \Driver\usbehci \Device\USBPDO-7 8A28C500
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A54C1F8
Device \Driver\Cdrom \Device\CdRom0 8A190500
Device \Driver\Cdrom \Device\CdRom1 8A190500
Device \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-12 8A54B1F8
Device \Driver\atapi \Device\Ide\IdePort0 8A54B1F8
Device \Driver\atapi \Device\Ide\IdePort1 8A54B1F8
Device \Driver\atapi \Device\Ide\IdePort2 8A54B1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-7 8A54B1F8
Device \Driver\atapi \Device\Ide\IdePort3 8A54B1F8
Device \Driver\atapi \Device\Ide\IdePort4 8A54B1F8
Device \Driver\atapi \Device\Ide\IdePort5 8A54B1F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 8A181500
Device \Driver\NetBT \Device\NetbiosSmb 8A181500
Device \Driver\usbuhci \Device\USBFDO-0 8A02B1F8
Device \Driver\usbuhci \Device\USBFDO-1 8A02B1F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8A03B500
Device \Driver\usbuhci \Device\USBFDO-2 8A02B1F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8A03B500
Device \Driver\usbehci \Device\USBFDO-3 8A28C500
Device \Driver\sptd \Device\1099033020 spgf.sys
Device \Driver\usbuhci \Device\USBFDO-4 8A02B1F8
Device \Driver\Ftdisk \Device\FtControl 8A54C1F8
Device \Driver\usbuhci \Device\USBFDO-5 8A02B1F8
Device \Driver\usbuhci \Device\USBFDO-6 8A02B1F8
Device \Driver\usbehci \Device\USBFDO-7 8A28C500
Device \Driver\aglz5uow \Device\Scsi\aglz5uow1Port6Path0Target0Lun0 8A2821F8
Device \Driver\aglz5uow \Device\Scsi\aglz5uow1 8A2821F8
Device \FileSystem\Cdfs \Cdfs 8A17B500
---- Services - GMER 1.0.15 ----
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] dclink <-- ROOTKIT !!!
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** )
|
|
02.08.2009, 23:10
| #5 |
| | Cognac Trojaner kann nicht entfernt werden Der zweite Teil von GMER: Code:
ATTFilter ---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink@DisplayName Microsoft Driver
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink@Description Bietet Startfunktionalit?t f?r DCOM-Dienste.
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink\Parameters@ServiceDll C:\WINDOWS\system32\liorlu.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@DisplayName Boot Manager
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@Description F?hrt eine aktuelle Liste der Computer im Netzwerk und gibt diese an als Browser fungierende Computer weiter. Diese Liste wird nicht aktualisiert oder gewartet, falls der Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k?nnen die Dienste, die von diesem ausschlie?lich Dienst abh?ngig sind, nicht mehr gestartet werden.
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych\Parameters@ServiceDll C:\WINDOWS\system32\liorlu.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 1726502437
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 -1327979651
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x65 0x0B 0x62 0xB4 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x17 0xF2 0x5D 0x67 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x90 0xBB 0x04 0x3B ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xA7 0xEF 0xEC 0xF7 ...
Reg HKLM\SYSTEM\ControlSet002\Services\dclink@DisplayName Microsoft Driver
Reg HKLM\SYSTEM\ControlSet002\Services\dclink@Type 32
Reg HKLM\SYSTEM\ControlSet002\Services\dclink@Start 2
Reg HKLM\SYSTEM\ControlSet002\Services\dclink@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\dclink@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet002\Services\dclink@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\Services\dclink@Description Bietet Startfunktionalit?t f?r DCOM-Dienste.
Reg HKLM\SYSTEM\ControlSet002\Services\dclink\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\dclink\Parameters@ServiceDll C:\WINDOWS\system32\liorlu.dll
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych@DisplayName Boot Manager
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych@Type 32
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych@Start 2
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych@Description F?hrt eine aktuelle Liste der Computer im Netzwerk und gibt diese an als Browser fungierende Computer weiter. Diese Liste wird nicht aktualisiert oder gewartet, falls der Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k?nnen die Dienste, die von diesem ausschlie?lich Dienst abh?ngig sind, nicht mehr gestartet werden.
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych\Parameters@ServiceDll C:\WINDOWS\system32\liorlu.dll
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x65 0x0B 0x62 0xB4 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x17 0xF2 0x5D 0x67 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x90 0xBB 0x04 0x3B ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xA7 0xEF 0xEC 0xF7 ...
---- EOF - GMER 1.0.15 ----
Code:
ATTFilter 08/02/09 23:26:24 [Info]: BlackLight Engine 2.2.1092 initialized
08/02/09 23:26:24 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/02/09 23:26:24 [Note]: 7019 4
08/02/09 23:26:24 [Note]: 7005 0
08/02/09 23:26:26 [Note]: 7006 0
08/02/09 23:26:26 [Note]: 7011 2948
08/02/09 23:26:26 [Note]: 7035 0
08/02/09 23:26:26 [Note]: 7026 0
08/02/09 23:26:26 [Note]: 7026 0
08/02/09 23:26:27 [Note]: FSRAW library version 1.7.1024
08/02/09 23:34:22 [Note]: 2000 1012
08/02/09 23:51:14 [Note]: 7007 0
|
|
10.08.2009, 10:45
| #6 | |
| /// Helfer-Team | Cognac Trojaner kann nicht entfernt werden hi Wichtig!: Zitat:
Geh auf den Reiter "Services". Dort sollte das gefundene Rootkit dann rot erscheinen. Klicke mit der rechten Maustaste drauf und wähle "delete". Falls eine Sicherheitsabfrage kommt, bejahe sie bitte ► 'Anleitung' visuell 2. Dann lass` "gmer" erneut scannen Scanner wieder einschalten, bevor Du ins Netz gehst! und poste den Bericht. |
|
14.08.2009, 21:19
| #7 |
| | Cognac Trojaner kann nicht entfernt werdenCode:
ATTFilter GMER 1.0.15.15011 [4nzgrnr8.exe] - http://www.gmer.net
Rootkit scan 2009-08-14 22:19:10
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.15 ----
SSDT BA6946B6 ZwCreateKey
SSDT BA6946AC ZwCreateThread
SSDT BA6946BB ZwDeleteKey
SSDT BA6946C5 ZwDeleteValueKey
SSDT spau.sys ZwEnumerateKey [0xB9EC8CA2]
SSDT spau.sys ZwEnumerateValueKey [0xB9EC9030]
SSDT BA6946CA ZwLoadKey
SSDT spau.sys ZwOpenKey [0xB9EAB0C0]
SSDT BA694698 ZwOpenProcess
SSDT BA69469D ZwOpenThread
SSDT spau.sys ZwQueryKey [0xB9EC9108]
SSDT spau.sys ZwQueryValueKey [0xB9EC8F88]
SSDT BA6946D4 ZwReplaceKey
SSDT BA6946CF ZwRestoreKey
SSDT BA6946C0 ZwSetValueKey
SSDT BA6946A7 ZwTerminateProcess
INT 0x63 ? 8A54BBF8
INT 0x63 ? 8A54BBF8
INT 0x63 ? 8A54BBF8
INT 0x63 ? 8A54BBF8
INT 0x63 ? 8A54BBF8
INT 0x83 ? 8A54BBF8
INT 0x83 ? 8A54BBF8
INT 0x83 ? 8A16ABF8
INT 0x84 ? 8A16ABF8
INT 0x94 ? 8A16ABF8
INT 0xA4 ? 8A16ABF8
INT 0xA4 ? 8A16ABF8
INT 0xA4 ? 8A16ABF8
INT 0xA4 ? 8A16ABF8
INT 0xB4 ? 8A16ABF8
---- Kernel code sections - GMER 1.0.15 ----
? spau.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B8FE362C 5 Bytes JMP 8A16A1D8
? System32\Drivers\aps6fxr7.SYS Das System kann den angegebenen Pfad nicht finden. !
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9EAC040] spau.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9EAC13C] spau.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9EAC0BE] spau.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9EAC7FC] spau.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9EAC6D2] spau.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B9EBBD92] spau.sys
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 8A54A1F8
Device \Driver\PCI_PNP5298 \Device\00000044 spau.sys
Device \Driver\usbuhci \Device\USBPDO-0 8A1661F8
Device \Driver\usbuhci \Device\USBPDO-1 8A1661F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A4DC1F8
Device \Driver\dmio \Device\DmControl\DmConfig 8A4DC1F8
Device \Driver\dmio \Device\DmControl\DmPnP 8A4DC1F8
Device \Driver\dmio \Device\DmControl\DmInfo 8A4DC1F8
Device \Driver\usbuhci \Device\USBPDO-2 8A1661F8
Device \Driver\usbehci \Device\USBPDO-3 8A1181F8
Device \Driver\usbuhci \Device\USBPDO-4 8A1661F8
Device \Driver\usbuhci \Device\USBPDO-5 8A1661F8
Device \Driver\usbuhci \Device\USBPDO-6 8A1661F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A54C1F8
Device \Driver\usbehci \Device\USBPDO-7 8A1181F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A54C1F8
Device \Driver\Cdrom \Device\CdRom0 8A04E1F8
Device \Driver\Cdrom \Device\CdRom1 8A04E1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-12 8A54B1F8
Device \Driver\atapi \Device\Ide\IdePort0 8A54B1F8
Device \Driver\atapi \Device\Ide\IdePort1 8A54B1F8
Device \Driver\atapi \Device\Ide\IdePort2 8A54B1F8
Device \Driver\atapi \Device\Ide\IdePort3 8A54B1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-7 8A54B1F8
Device \Driver\atapi \Device\Ide\IdePort4 8A54B1F8
Device \Driver\atapi \Device\Ide\IdePort5 8A54B1F8
Device \Driver\sptd \Device\3442595298 spau.sys
Device \Driver\NetBT \Device\NetBt_Wins_Export 8A1EB368
Device \Driver\NetBT \Device\NetbiosSmb 8A1EB368
Device \Driver\usbuhci \Device\USBFDO-0 8A1661F8
Device \Driver\usbuhci \Device\USBFDO-1 8A1661F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8A13A500
Device \Driver\usbuhci \Device\USBFDO-2 8A1661F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8A13A500
Device \Driver\usbehci \Device\USBFDO-3 8A1181F8
Device \Driver\Ftdisk \Device\FtControl 8A54C1F8
Device \Driver\usbuhci \Device\USBFDO-4 8A1661F8
Device \Driver\usbuhci \Device\USBFDO-5 8A1661F8
Device \Driver\usbuhci \Device\USBFDO-6 8A1661F8
Device \Driver\usbehci \Device\USBFDO-7 8A1181F8
Device \Driver\aps6fxr7 \Device\Scsi\aps6fxr71 8A0231F8
Device \Driver\aps6fxr7 \Device\Scsi\aps6fxr71Port6Path0Target0Lun0 8A0231F8
Device \FileSystem\Cdfs \Cdfs 8A199500
---- Services - GMER 1.0.15 ----
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [DISABLED] dclink <-- ROOTKIT !!!
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [DISABLED] irrnqych <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink@DisplayName Microsoft Driver
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink@Start 4
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink@Description Bietet Startfunktionalit?t f?r DCOM-Dienste.
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\dclink\Parameters@ServiceDll C:\WINDOWS\system32\liorlu.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@DisplayName Boot Manager
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@Start 4
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@Description F?hrt eine aktuelle Liste der Computer im Netzwerk und gibt diese an als Browser fungierende Computer weiter. Diese Liste wird nicht aktualisiert oder gewartet, falls der Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k?nnen die Dienste, die von diesem ausschlie?lich Dienst abh?ngig sind, nicht mehr gestartet werden.
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\irrnqych\Parameters@ServiceDll C:\WINDOWS\system32\liorlu.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 1726502437
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 -1327979651
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x65 0x0B 0x62 0xB4 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x17 0xF2 0x5D 0x67 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x90 0xBB 0x04 0x3B ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x94 0xAE 0xB5 0xF0 ...
Reg HKLM\SYSTEM\ControlSet002\Services\dclink@DisplayName Microsoft Driver
Reg HKLM\SYSTEM\ControlSet002\Services\dclink@Type 32
Reg HKLM\SYSTEM\ControlSet002\Services\dclink@Start 4
Reg HKLM\SYSTEM\ControlSet002\Services\dclink@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\dclink@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet002\Services\dclink@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\Services\dclink@Description Bietet Startfunktionalit?t f?r DCOM-Dienste.
Reg HKLM\SYSTEM\ControlSet002\Services\dclink\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\dclink\Parameters@ServiceDll C:\WINDOWS\system32\liorlu.dll
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych@DisplayName Boot Manager
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych@Type 32
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych@Start 4
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych@Description F?hrt eine aktuelle Liste der Computer im Netzwerk und gibt diese an als Browser fungierende Computer weiter. Diese Liste wird nicht aktualisiert oder gewartet, falls der Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k?nnen die Dienste, die von diesem ausschlie?lich Dienst abh?ngig sind, nicht mehr gestartet werden.
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\irrnqych\Parameters@ServiceDll C:\WINDOWS\system32\liorlu.dll
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x65 0x0B 0x62 0xB4 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x17 0xF2 0x5D 0x67 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x90 0xBB 0x04 0x3B ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x94 0xAE 0xB5 0xF0 ...
---- EOF - GMER 1.0.15 ----
|
|
21.08.2009, 18:30
| #8 |
| /// Helfer-Team | Cognac Trojaner kann nicht entfernt werden hi habe dich übersehen...sorry  melde Dich bitte wenn Du noch Hilfe benötigst! gruß Coverflow |
|
21.08.2009, 22:29
| #9 |
| | Cognac Trojaner kann nicht entfernt werden Ja hallo! Ich habe ja jetzt alles gepostet und ich hätte erwartet das du mir sagen kannst was ich zu tun habe um ihn los zu werden  (außer natürlich es ist bereit geschehen ^^) Jedenfalls schon mal danke Lg Haustia |
|
23.08.2009, 16:07
| #10 | |
| /// Helfer-Team | Cognac Trojaner kann nicht entfernt werden hi 1. - Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\ Code:
ATTFilter Drivers to delete:
dclink
irrnqych
Files to delete:
C:\WINDOWS\tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job
C:\WINDOWS\tasks\{783AF354-B514-42d6-970E-3E8BF0A5279C}.job
C:\WINDOWS\system32\msxml71.dll
Wichtig!: Sofort beim Download/speichern v. Avenger, musst Du die Installdatei also avenger.exe umbenennen! Wähle eine beliebige Dateiname, die Endung soll *.com sein! → Lade den Avenger herunter und entzippe ihn auf den Desktop. (direkt als `EXE` *hier* erhältlich ) → die avenger.exe per Doppelklick starten → füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein → dann klicke auf "Execute" → wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja". → auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch → nach Neustart wird ein Dos Fenster aufgehen. → wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt → kopiere und füge den Inhalt direkt aus der Textdatei hier rein 3. Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten): Zitat:
reinige dein System mit Ccleaner:
5. poste erneut: Trend Micro HijackThis-Logfile filelist.bat - Nur den letzten sechs Monaten! |
|
23.08.2009, 18:42
| #11 |
| | Cognac Trojaner kann nicht entfernt werden Avenger: Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Driver "dclink" deleted successfully.
Driver "irrnqych" deleted successfully.
File "C:\WINDOWS\tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job" deleted successfully.
File "C:\WINDOWS\tasks\{783AF354-B514-42d6-970E-3E8BF0A5279C}.job" deleted successfully.
Error: file "C:\WINDOWS\system32\msxml71.dll" not found!
Deletion of file "C:\WINDOWS\system32\msxml71.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate.
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:35:27, on 23.08.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Avira\AntiVir Desktop\avmailc.exe C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\Mozilla Firefox\firefox1.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avmailc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe -- End of file - 1969 bytes Code:
ATTFilter ----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6066-3B2E
Verzeichnis von C:\
23.08.2009 19:37 43 filelist.txt
23.08.2009 19:25 2.145.386.496 pagefile.sys
23.08.2009 18:20 534 RTHDCPL_Dump.txt
23.08.2009 18:19 1.820 avenger.txt
23.08.2009 18:15 212 remove.txt.txt
09.06.2009 18:47 122 fpRedmon.log
08.04.2009 10:35 244 sqmnoopt00.sqm
08.04.2009 10:35 232 sqmdata00.sqm
23 Datei(en) 2.146.428.960 Bytes
0 Verzeichnis(se), 111.859.994.624 Bytes frei
----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6066-3B2E
Verzeichnis von C:\WINDOWS
23.08.2009 19:36 1.190 WindowsUpdate.log
23.08.2009 19:26 0 0.log
23.08.2009 19:26 159 wiadebug.log
23.08.2009 19:26 50 wiaservc.log
23.08.2009 19:25 2.048 bootstat.dat
23.08.2009 19:24 32.548 SchedLgU.Txt
22.08.2009 13:21 116 NeroDigital.ini
12.07.2009 00:19 135.680 msa.exe
21.06.2009 23:27 30.535 scunin.dat
21.06.2009 23:27 69.632 ScUnin.exe
21.06.2009 23:27 967 ScUnin.pif
11.06.2009 00:13 683 win.ini
10.06.2009 15:45 737.280 iun6002.exe
06.04.2009 17:26 6.120 BricoPackFoldersDelete.cmd
06.04.2009 17:26 54.886 BricoPackUninst.txt
06.04.2009 17:26 54.886 BricoPackUninst.cmd
06.04.2009 17:26 3.932.214 BricoPack Wallpaper.bmp
97 Datei(en) 62.084.796 Bytes
0 Verzeichnis(se), 111.859.990.528 Bytes frei
----- System ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6066-3B2E
Verzeichnis von C:\WINDOWS\system
25 Datei(en) 929.787 Bytes
0 Verzeichnis(se), 111.859.990.528 Bytes frei
----- System 32 (Achtung: Zeitfenster beachten!) ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6066-3B2E
Verzeichnis von C:\WINDOWS\system32
23.08.2009 19:26 2.206 wpa.dbl
23.08.2009 19:25 47.604 ativvaxx.cap
24.07.2009 03:57 41.872 xfcodec.dll
10.07.2009 14:48 189.288 PnkBstrB.xtr
10.07.2009 14:48 189.288 PnkBstrB.exe
26.06.2009 22:04 75.064 PnkBstrA.exe
11.06.2009 10:49 292.480 FNTCACHE.DAT
10.06.2009 15:46 67.700 perfc009.dat
10.06.2009 15:46 432.936 perfh009.dat
10.06.2009 15:46 449.478 perfh007.dat
10.06.2009 15:46 80.426 perfc007.dat
10.06.2009 15:46 1.043.802 PerfStringBackup.INI
08.06.2009 15:33 8.676.883 mp3Media2.dll
01.06.2009 18:51 23.635.392 MRT.exe
07.05.2009 17:42 346.624 localspl.dll
29.04.2009 06:51 3.081.728 mshtml.dll
29.04.2009 06:51 618.496 urlmon.dll
29.04.2009 06:51 1.023.488 browseui.dll
29.04.2009 06:51 474.624 shlwapi.dll
29.04.2009 06:51 449.024 mshtmled.dll
29.04.2009 06:51 16.384 jsproxy.dll
29.04.2009 06:51 665.088 wininet.dll
29.04.2009 06:51 1.495.552 shdocvw.dll
29.04.2009 06:51 96.768 inseng.dll
29.04.2009 06:51 39.424 pngfilt.dll
29.04.2009 06:51 146.432 msrating.dll
29.04.2009 06:51 532.480 mstime.dll
29.04.2009 06:51 251.392 iepeers.dll
29.04.2009 06:51 205.312 dxtrans.dll
29.04.2009 06:51 81.920 ieencode.dll
29.04.2009 06:51 1.056.256 danim.dll
29.04.2009 06:51 55.808 extmgr.dll
29.04.2009 06:51 357.888 dxtmsft.dll
29.04.2009 06:51 152.064 cdfview.dll
29.04.2009 06:35 371.200 html.iec
27.04.2009 11:48 374.272 xpsp3res.dll
19.04.2009 22:06 1.846.784 win32k.sys
15.04.2009 17:11 584.192 rpcrt4.dll
06.04.2009 17:26 219.648 uxtheme.dll
05.04.2009 20:12 3.774 jupdate-1.6.0_13-b03.log
21.03.2009 16:20 1.059.840 kernel32.dll
10.03.2009 22:18 970.632 WgaTray.exe
10.03.2009 22:18 1.482.112 LegitCheckControl.dll
10.03.2009 22:18 265.096 WgaLogon.dll
09.03.2009 05:19 148.888 javaws.exe
09.03.2009 05:19 144.792 javaw.exe
09.03.2009 05:19 144.792 java.exe
09.03.2009 05:19 410.984 deploytk.dll
09.03.2009 02:53 73.728 javacpl.cpl
06.03.2009 16:44 286.208 pdh.dll
----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6066-3B2E
Verzeichnis von C:\WINDOWS\Prefetch
23.08.2009 19:37 11.020 FIND.EXE-0EC32F1E.pf
23.08.2009 19:37 12.564 CMD.EXE-087B4001.pf
23.08.2009 19:37 83.336 WINRAR.EXE-3588DFE8.pf
23.08.2009 19:35 16.938 NOTEPAD.EXE-336351A9.pf
23.08.2009 19:35 112.000 WMIPRVSE.EXE-28F301A9.pf
23.08.2009 19:34 19.482 HIJACKTHIS.EXE-39024128.pf
23.08.2009 19:32 15.476 VERCLSID.EXE-3667BD89.pf
23.08.2009 19:30 8.000 JQSNOTIFY.EXE-1E60A522.pf
23.08.2009 19:30 108.610 FIREFOX1.EXE-1ECE65F9.pf
23.08.2009 19:27 1.271.890 NTOSBOOT-B00DFAAD.pf
23.08.2009 18:57 55.790 UPDATE.EXE-3398FCD6.pf
23.08.2009 18:43 18.334 GUARDGUI.EXE-147E0160.pf
23.08.2009 18:43 522.414 Layout.ini
23.08.2009 18:27 33.690 CCLEANER.EXE-065E2F3F.pf
23.08.2009 18:27 58.514 AVCENTER.EXE-1D2DB8A2.pf
23.08.2009 18:24 12.314 NET.EXE-01A53C2F.pf
23.08.2009 18:24 13.338 NET1.EXE-029B9DB4.pf
23.08.2009 18:24 14.136 REGEDIT.EXE-1B606482.pf
23.08.2009 18:16 12.734 AVENGERH.COM.EXE-293DB4B7.pf
23.08.2009 17:00 7.508 JAVA.EXE-2167859B.pf
23.08.2009 17:00 12.470 MMMTEST.EXE-0861453A.pf
23.08.2009 16:56 38.382 RAZERTRA.EXE-16BC8261.pf
23.08.2009 16:56 88.552 RAZEROFA.EXE-325B7931.pf
23.08.2009 11:53 73.710 WMPLAYER.EXE-09969338.pf
23.08.2009 10:14 74.896 MFATIGUE.EXE-05956243.pf
23.08.2009 09:03 11.108 RUNDLL32.EXE-451FC2C0.pf
23.08.2009 09:02 45.704 FPASSIST.EXE-18368AA2.pf
23.08.2009 09:02 69.794 CPUPOWERMONITOR.EXE-20929CF4.pf
23.08.2009 09:02 12.744 RAZERHID.EXE-2D2B1F2B.pf
23.08.2009 09:02 10.384 READER_SL.EXE-2FAFE67A.pf
23.08.2009 09:02 10.238 JUSCHED.EXE-336229D9.pf
23.08.2009 09:02 86.340 EXPLORER.EXE-082F38A9.pf
23.08.2009 09:02 88.410 USERINIT.EXE-30B18140.pf
23.08.2009 09:02 71.032 WGATRAY.EXE-0ED38BED.pf
23.08.2009 09:02 5.114 CLISTART.EXE-025897C5.pf
23.08.2009 09:02 10.552 ALCMTR.EXE-235F9538.pf
23.08.2009 09:02 8.020 QTTASK.EXE-2D7EEF34.pf
22.08.2009 22:25 178.716 VLC.EXE-29851A71.pf
22.08.2009 22:25 16.910 DRWTSN32.EXE-2B4B52AC.pf
22.08.2009 22:25 31.098 DWWIN.EXE-30875ADC.pf
22.08.2009 22:00 11.946 NO CD MFATIGUE 1.0 GER.EXE-23210607.pf
22.08.2009 21:59 11.936 NO CD MFATIGUE 1.0 GER.EXE-0767FFF3.pf
22.08.2009 21:59 15.202 TASKMGR.EXE-20256C55.pf
22.08.2009 21:56 8.036 HARDWAREDETECT.EXE-0311D1D5.pf
22.08.2009 21:53 5.200 _ISDEL.EXE-01FF1FA8.pf
22.08.2009 21:53 20.488 _INS5576._MP-192A9953.pf
22.08.2009 21:53 14.798 SETUP.EXE-0F40F254.pf
22.08.2009 21:51 35.000 AMDCPU.EXE-1CF7D36D.pf
22.08.2009 21:33 25.982 JAVAWS.EXE-1714DD62.pf
22.08.2009 21:33 72.248 JAVAW.EXE-0159D575.pf
22.08.2009 21:27 94.128 HELPSVC.EXE-2878DDA2.pf
22.08.2009 19:47 19.530 TCGUARD.EXE-1CA88984.pf
22.08.2009 19:47 87.056 CCC.EXE-1B087988.pf
22.08.2009 19:47 11.202 CPULEVELUPHELP.EXE-1372A4FC.pf
22.08.2009 19:44 6.268 LOGON.SCR-151EFAEA.pf
22.08.2009 14:18 114.276 SOLDAT.EXE-32917C32.pf
21.08.2009 19:59 72.442 DFRGNTFS.EXE-269967DF.pf
21.08.2009 19:59 16.482 DEFRAG.EXE-273F131E.pf
21.08.2009 18:46 100.728 WLMAIL.EXE-07132131.pf
16.08.2009 22:29 6.104 OSD.EXE-0373909B.pf
16.08.2009 22:29 9.412 INITSD.EXE-277CC8B7.pf
16.08.2009 22:29 61.838 SMARTDOCTOR.EXE-250BC6C5.pf
16.08.2009 22:29 11.646 AUTOHOTKEY.EXE-033E2A15.pf
16.08.2009 22:29 51.432 DAEMON.EXE-28AD7272.pf
16.08.2009 22:29 45.078 RTHDCPL.EXE-06918CFA.pf
16.08.2009 22:29 55.132 AVGNT.EXE-39CD89BF.pf
16.08.2009 14:59 18.090 LOGONUI.EXE-0AF22957.pf
16.08.2009 13:59 47.120 GAMEOVERLAYUI.EXE-03CBAF9C.pf
16.08.2009 13:58 64.860 HL2.EXE-27AB5AC8.pf
16.08.2009 13:53 54.306 STEAM.EXE-25824B4E.pf
16.08.2009 12:04 13.834 RUNDLL32.EXE-17FD73B3.pf
16.08.2009 12:02 19.798 AACENTER.EXE-3AA8B488.pf
16.08.2009 12:02 21.348 MSMSGS.EXE-32066BA5.pf
16.08.2009 12:02 10.662 ADOBE GAMMA LOADER.EXE-1FD09C3A.pf
14.08.2009 19:03 51.614 WMPLAYER.EXE-09969339.pf
14.08.2009 19:03 50.306 4NZGRNR8.EXE-2E2ED85B.pf
14.08.2009 19:02 11.132 RUNDLL32.EXE-268BFF96.pf
14.08.2009 18:59 19.346 FLASHPLAYERUPDATE.EXE-12E46C19.pf
14.08.2009 18:59 4.718 NS8.TMP-03AD538D.pf
14.08.2009 18:59 11.130 NPSWF32_FLASHUTIL.EXE-25560C89.pf
14.08.2009 18:59 11.646 AU_.EXE-04365CA0.pf
14.08.2009 18:59 12.918 UNINSTALL_PLUGIN.EXE-1B14221A.pf
14.08.2009 18:58 47.914 MOM.EXE-36B2EDCA.pf
14.08.2009 18:58 19.040 PWSAVE.EXE-192F99AA.pf
14.08.2009 18:54 17.432 RUNDLL32.EXE-327ED30F.pf
14.08.2009 18:29 35.952 RUNDLL32.EXE-24812177.pf
14.08.2009 18:29 47.584 AVSCAN.EXE-25724B6E.pf
14.08.2009 18:27 122.826 FIREFOX.EXE-1D57670A.pf
09.08.2009 21:07 72.676 WAR3.EXE-3858031C.pf
09.08.2009 21:07 19.990 FROZEN THRONE.EXE-0ED0B3D3.pf
09.08.2009 11:00 97.676 CRYPTLOAD.EXE-2DA99FFF.pf
07.08.2009 21:22 43.920 TEAMSPEAK.EXE-1C1FA5B1.pf
07.08.2009 19:38 20.784 W32MKDE.EXE-297E6F1D.pf
07.08.2009 19:38 33.410 COMTEST.EXE-19C55BF2.pf
07.08.2009 19:24 39.786 MIRC.EXE-10C67652.pf
07.08.2009 19:24 15.134 AGENTSVR.EXE-002E45AB.pf
07.08.2009 10:08 29.266 RESTARTER.EXE-21886ED5.pf
06.08.2009 23:34 135.172 IEXPLORE.EXE-2CA9778D.pf
06.08.2009 23:05 64.970 XFIRE.EXE-021C4593.pf
06.08.2009 12:17 43.844 MSA.EXE-1E98B210.pf
07.07.2009 00:29 20.812 WUAUCLT.EXE-399A8E72.pf
07.07.2009 00:27 34.400 AVWSC.EXE-24612965.pf
21.03.2009 10:58 36.228 AVWSC.EXE-21794CE9.pf
103 Datei(en) 5.757.496 Bytes
0 Verzeichnis(se), 111.859.863.552 Bytes frei
----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6066-3B2E
Verzeichnis von C:\WINDOWS\tasks
23.08.2009 19:25 6 SA.DAT
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 111.859.863.552 Bytes frei
----- Windows/Temp -----------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6066-3B2E
Verzeichnis von C:\WINDOWS\Temp
23.08.2009 19:26 16.384 Perflib_Perfdata_258.dat
23.08.2009 19:25 483 WGAErrLog.txt
12.05.2009 19:27 94.228 Microsoft .NET Framework 3.5-KB958484_20090512_172718312.html
12.05.2009 19:27 113.324 Microsoft .NET Framework 3.0-KB958483_20090512_172652718.html
12.05.2009 19:26 506.044 Microsoft .NET Framework 2.0-KB958481_20090512_172500218.html
20.04.2009 00:25 524.288 TMP00000001008EC730F6AD82A0
20.04.2009 00:25 4.604.240 mpengine.dll
7 Datei(en) 5.858.991 Bytes
0 Verzeichnis(se), 111.859.863.552 Bytes frei
----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6066-3B2E
Verzeichnis von C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp
23.08.2009 19:36 0 etilqs_ZhfwvXJnxSM9zR3Xz7SU
23.08.2009 19:34 114.688 ~DF9CA7.tmp
23.08.2009 18:21 114.688 ~DF58DE.tmp
23.08.2009 18:20 16.384 ~DFFEC.tmp
23.08.2009 17:00 193.378 jusched.log
22.08.2009 21:33 7.617 java_install_reg.log
07.08.2009 19:38 13.592 temp.ani
07.08.2009 19:37 208.896 drm_dyndata_7360006.dll
03.08.2009 12:33 69.727 MicCal.bin
09.07.2009 22:37 22.432 mod13F.tmp
09.07.2009 22:37 34 mod13D.tmp
09.07.2009 22:37 435 mod13E.tmp
09.07.2009 22:37 22.432 mod13C.tmp
09.07.2009 22:37 34 mod13A.tmp
09.07.2009 22:37 437 mod13B.tmp
09.07.2009 01:31 4.780.760 DWPUpgradeInstaller.exe
07.06.2009 12:17 141 browserview-e2f090.htm
07.06.2009 12:17 45.187 browserview-1d42150.htm
22.05.2009 20:06 141 browserview-3455b00.htm
22.05.2009 20:06 141 browserview-e1d4b0.htm
22.05.2009 20:06 40.795 browserview-1cf6870.htm
21.05.2009 11:31 141 browserview-37cd008.htm
21.05.2009 11:31 141 browserview-e1d3b8.htm
21.05.2009 11:31 44.923 browserview-1ce8778.htm
25.04.2009 16:23 141 browserview-df1ad8.htm
25.04.2009 16:23 4.595 browserview-1c805f8.htm
19.04.2009 21:19 1.532.928 11a68f.mst
12.04.2009 22:48 141 browserview-dd0538.htm
12.04.2009 22:48 55.432 browserview-1aaea78.htm
06.04.2009 17:29 141 browserview-dd1af0.htm
06.04.2009 17:29 55.147 browserview-1a6c7d0.htm
06.04.2009 17:27 798 PrePict.htm
05.04.2009 22:57 141 browserview-d81030.htm
05.04.2009 22:57 51.799 browserview-1a27f18.htm
05.04.2009 20:12 1.532.928 67775.mst
04.04.2009 14:53 141 browserview-34b3500.htm
04.04.2009 14:53 141 browserview-d81110.htm
04.04.2009 14:53 41.897 browserview-1a23790.htm
02.04.2009 19:38 141 browserview-30ee9d8.htm
29.03.2009 22:03 141 browserview-30bff78.htm
29.03.2009 22:03 141 browserview-d80b78.htm
29.03.2009 22:03 55.982 browserview-1a4caa0.htm
29.03.2009 05:43 141 browserview-d814a0.htm
29.03.2009 05:43 51.351 browserview-1a03ca8.htm
25.03.2009 09:02 607.640 jre-6u13-windows-i586-p-iftw.exe
21.03.2009 16:35 141 browserview-d81028.htm
21.03.2009 16:35 41.901 browserview-19fcaa8.htm
18.03.2009 21:57 12.304 etilqs_946sXXhHmIXIyCoH69a3
14.03.2009 17:54 141 browserview-d7ee38.htm
14.03.2009 17:54 50.814 browserview-19cfa88.htm
01.03.2009 01:33 141 browserview-2f11f40.htm
01.03.2009 01:33 141 browserview-d80568.htm
01.03.2009 01:33 49.958 browserview-1958480.htm
28.02.2009 19:48 141 browserview-d80470.htm
28.02.2009 19:48 55.268 browserview-1949750.htm
28.02.2009 13:30 141 browserview-dcf2e0.htm
28.02.2009 13:30 40.985 browserview-1995080.htm
60 Datei(en) 10.209.019 Bytes
0 Verzeichnis(se), 111.859.859.456 Bytes frei
 |
|
23.08.2009, 19:02
| #12 | ||
| /// Helfer-Team | Cognac Trojaner kann nicht entfernt werden hi 1. was ist mit dein Logfile v. Trend Micro/HijackThis pssiert? wieso so kurz? Hoffe nicht dass Du (fast) alles gefixt hast?  Du solltest wie hier beschrieben habe 1 Eintrag fixen:-> http://www.trojaner-board.de/75293-c...tml#post458775 Fallso doch, dann mache bitte folgendes: Zitat:
Verwende bitte den Avenger nochmal (laut Anleitung!) - vorher das `alte Backup` (mit die gelöschten Dateien) löschen Code:
ATTFilter Files to delete:
C:\WINDOWS\msa.exe
|
|
26.08.2009, 10:07
| #13 |
| | Cognac Trojaner kann nicht entfernt werden Ich bin schon ein Problemkind was? xD  HijackThis: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:01:08, on 26.08.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Program Files\ASUS\Ai Suite\AiGear3\CpuPowerMonitor.exe C:\Programme\Razer\Lachesis\razerhid.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Trojancheck 6\tcguard.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\ASUS\SmartDoctor\SmartDoctor.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Razer\Lachesis\OSD.exe C:\Programme\Avira\AntiVir Desktop\avmailc.exe C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE C:\Programme\Razer\Lachesis\razertra.exe C:\Programme\Razer\Lachesis\razerofa.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\Mozilla Firefox\firefox1.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [CPU Power Monitor] "C:\Program Files\ASUS\Ai Suite\AiGear3\CpuPowerMonitor.exe" O4 - HKLM\..\Run: [Lachesis] C:\Programme\Razer\Lachesis\razerhid.exe O4 - HKLM\..\Run: [Cpu Level Up help] C:\Program Files\ASUS\Ai Suite\CpuLevelUpHelp.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programme\ASUS\SmartDoctor\SmartDoctor.exe /start O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: My_AutoWarkey_Script.lnk = C:\Programme\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avmailc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe -- End of file - 5744 bytes Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "C:\WINDOWS\msa.exe" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
|
|
26.08.2009, 22:22
| #14 |
| /// Helfer-Team | Cognac Trojaner kann nicht entfernt werden hi So sieht die Welt gleich ganz anders aus...:aplaus: 1. - den Quarantäne Ordner überall leeren - Antivirus bzw Anti-Spy-Programm usw - Entferne Gmer - C:\avenger\backup.zip löschen– (mit den Inhalt der gelöschten Dateien) → Papierkorb leeren 2. alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren **Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
3. reinige dein System mit Ccleaner:
4. Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
5.
|
|
27.08.2009, 11:05
| #15 |
| | Cognac Trojaner kann nicht entfernt werden heyy  Malwarebytes: Code:
ATTFilter Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2702
Windows 5.1.2600 Service Pack 2
27.08.2009 01:13:13
mbam-log-2009-08-27 (01-13-13).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|H:\|)
Durchsuchte Objekte: 205936
Laufzeit: 54 minute(s), 18 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Typelib\{40196867-19f8-7157-c097-ecaff653c9ad} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\ColdWare (Malware.Trace) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Programme\Gamers.IRC\bin\dll\dmu.dll (Trojan.Bot) -> Quarantined and deleted successfully.
C:\Programme\Gamers.IRC\bin\dll\SysTray.dll (Trojan.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FA7086A1-0AFA-458A-B10D-7A7F20B1C755}\RP15\A0002085.exe (Trojan.Banker) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FA7086A1-0AFA-458A-B10D-7A7F20B1C755}\RP16\A0002498.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FA7086A1-0AFA-458A-B10D-7A7F20B1C755}\RP16\A0002500.exe (Trojan.Banker) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FA7086A1-0AFA-458A-B10D-7A7F20B1C755}\RP16\A0002513.exe (Trojan.Banker) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FA7086A1-0AFA-458A-B10D-7A7F20B1C755}\RP4\A0000370.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Patrick R\Desktop\CryptLoad_1.1.4\router\FRITZ!Box\nc.exe (PuP.Keylogger) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
Code:
ATTFilter SUPERAntiSpyware Scan Log
http://www.superantispyware.com
Generated 08/27/2009 at 11:50 AM
Application Version : 4.27.1002
Core Rules Database Version : 4072
Trace Rules Database Version: 2012
Scan type : Complete Scan
Total Scan Time : 00:22:21
Memory items scanned : 625
Memory threats detected : 0
Registry items scanned : 6632
Registry threats detected : 0
File items scanned : 22802
File threats detected : 3
Adware.Vundo/Variant-MSFake
C:\DOKUMENTE UND EINSTELLUNGEN\PATRICK R\DESKTOP\SPIELE\TC\AGE2_X1.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\PATRICK R\DESKTOP\SPIELE\TC\AOE\AGE2_X1.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\PATRICK R\DESKTOP\SPIELE\TC\AOE\AOE\AGE2_X1.EXE
|
|
| Themen zu Cognac Trojaner kann nicht entfernt werden |
| adobe, antivir, antivir guard, asus, avira, bho, bonjour, desktop, einstellungen, excel, firefox, hijack, hijackthis, hkus\s-1-5-18, internet explorer, kann nicht entfernt werden, löschen, microsoft, mozilla, ordner, plug-in, programme, software, system, trojaner, windows, windows xp, öffnet |
Linear-Darstellung
