|
Plagegeister aller Art und deren Bekämpfung: TR/Spy.Agent.awlh und TR/ATRAPS.Gen2' von Antivir gefundenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
06.08.2009, 08:43 | #1 |
| TR/Spy.Agent.awlh und TR/ATRAPS.Gen2' von Antivir gefunden Hallo, ich benötige dringend Hilfe. Vor kurzen wurden auf meinem PC von Antivir die Viren TR/Spy.Agent.awlh und TR/ATRAPS.Gen2 gefunden. In der Datei 'C:\System Volume Information\_restore{9040CF0A-3AA7-4D21-81C1-45119A5DEE8F}\RP912\A0085899.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Spy.Agent.awlh' [trojan] gefunden. In der Datei 'C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\pft2295~tmp\BTRINST.EXE' wurde ein Virus oder unerwünschtes Programm 'TR/ATRAPS.Gen2' [trojan] gefunden. Ich hab nicht viel Ahnung von Viren und benötige drigend eure Hilfe. Ein Neu-Aufsetzen von Windows möchte ich sofern möglich vermeiden. Mfg, need_ |
10.08.2009, 09:15 | #2 |
| TR/Spy.Agent.awlh und TR/ATRAPS.Gen2' von Antivir gefunden Ccleaner hab ich nun ausgeführt.
__________________Hier das log-file von malwarebytes' Anti-Malware Trojan.DNSChanger wurde hier im Scan gefunden. Hab leider vergessen auf "Ausgewähltes entfernen" zu drücken. Lass deshalb jetzt nochmal scannen Code:
ATTFilter Malwarebytes' Anti-Malware 1.40 Datenbank Version: 2589 Windows 5.1.2600 Service Pack 3 10.08.2009 10:05:53 logmalware.txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|) Durchsuchte Objekte: 250723 Laufzeit: 1 hour(s), 6 minute(s), 34 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\homeview (Trojan.DNSChanger) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\resycled (Trojan.DNSChanger) -> No action taken. Infizierte Dateien: C:\resycled\boot.com (Trojan.DNSChanger) -> No action taken. Geändert von need_ (10.08.2009 um 09:22 Uhr) |
10.08.2009, 09:17 | #3 |
| TR/Spy.Agent.awlh und TR/ATRAPS.Gen2' von Antivir gefunden log.txt von RSIT.exe
__________________Code:
ATTFilter Logfile of random's system information tool 1.06 (written by random/random) Run by Büro at 2009-08-10 10:08:26 Microsoft Windows XP Professional Service Pack 3 System drive C: has 8 GB (25%) free of 30 GB Total RAM: 1023 MB (43% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:08:31, on 10.08.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\ATKKBService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe E:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Büro\Desktop\RSIT.exe C:\Programme\Trend Micro\HijackThis\Büro.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - e:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart17.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: Nero Registry InCD Service (NeroRegInCDSrv) - Unknown owner - C:\Programme\Nero\Nero 7\InCD\NBHRegInCDSrv.exe (file missing) O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- End of file - 6601 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\AppleSoftwareUpdate.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-23 62080] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}] e:\PROGRA~1\SPYBOT~1\SDHelper.dll [2005-05-31 853672] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}] Groove GFS Browser Helper - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-07-25 41760] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-07-25 73728] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "SoundMAXPnP"=C:\Programme\Analog Devices\Core\smax4pnp.exe [2006-05-01 843776] "SoundMAX"=C:\Programme\Analog Devices\SoundMAX\Smax4.exe [2006-04-10 729088] "JMB36X Configure"=C:\WINDOWS\system32\JMRaidTool.exe [2006-06-02 385024] "ATICCC"=C:\Programme\ATI Technologies\ATI.ACE\cli.exe [2006-01-02 45056] "Adobe Reader Speed Launcher"=E:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-10-15 39792] "QuickTime Task"=C:\Programme\QuickTime\QTTask.exe [2009-01-05 413696] "iTunesHelper"=C:\Programme\iTunes\iTunesHelper.exe [2009-04-02 342312] "avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] "SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-07-25 149280] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] "Malwarebytes' Anti-Malware"=C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe [2009-08-03 419088] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:] [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe [2008-02-18 1057064] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe [2009-04-02 342312] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [2008-02-27 570664] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] C:\Programme\QuickTime\QTTask.exe [2009-01-05 413696] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SecurDisc] C:\Programme\Nero\Nero 7\InCD\NBHGui.exe [2008-02-18 1629480] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer] e:\Programme\Spybot - Search & Destroy\TeaTimer.exe [2005-05-31 1415824] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tunebite] C:\Programme\RapidSolution\Tunebite\Tunebite.exe -tray [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Audible Download Manager.lnk] C:\PROGRA~1\Audible\Bin\AUDIBL~1.EXE [2007-11-16 1697112] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Büro^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk] C:\PROGRA~1\MICROS~2\Office12\ONENOTEM.EXE [2006-10-26 98632] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart AutoCAD-Startbeschleuniger.lnk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart17.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] C:\WINDOWS\system32\Ati2evxx.dll [2006-03-17 61440] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265096] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} - C:\WINDOWS\system32\upnpui.dll [2008-04-14 239616] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook" "C:\Programme\Microsoft Office\Office12\GROOVE.EXE"="C:\Programme\Microsoft Office\Office12\GROOVE.EXE:*:Enabled:Microsoft Office Groove" "C:\Programme\Microsoft Office\Office12\ONENOTE.EXE"="C:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote" "E:\Fen8\K3TecModU.exe"="E:\Fen8\K3TecModU.exe:*:Enabled:K3TecMod " "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "F:\CDS\Nero\Installation\SetupX.exe"="F:\CDS\Nero\Installation\SetupX.exe:*:Enabled:Nero ProductSetup" "C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour" "C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18571f3c-cd3c-11db-a326-0018f38af376}] shell\AutoRun\command - F:\LaunchU3.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d3e95df0-e784-11dd-a623-0018f38af376}] shell\AutoRun\command - H:\Programs\nu2menu\nu2menu.exe ======File associations====== .scr - open - "C:\Programme\Windows NT\Zubehör\WORDPAD.EXE" "%1" .scr - install - .scr - config - ======List of files/folders created in the last 1 months====== 2009-08-10 10:08:26 ----D---- C:\rsit 2009-08-10 08:45:36 ----D---- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Malwarebytes 2009-08-10 08:45:29 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2009-08-10 08:45:29 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-08-06 09:25:26 ----D---- C:\Programme\MozBackup 2009-08-06 09:03:36 ----A---- C:\WINDOWS\system32\javaws.exe 2009-08-06 09:03:36 ----A---- C:\WINDOWS\system32\javaw.exe 2009-08-06 09:03:36 ----A---- C:\WINDOWS\system32\java.exe 2009-08-06 08:59:56 ----D---- C:\Programme\Trend Micro 2009-08-04 11:53:01 ----D---- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Canneverbe_Limited 2009-08-04 11:49:13 ----D---- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\DeepBurner 2009-07-29 23:00:34 ----HDC---- C:\WINDOWS\$NtUninstallKB972260$ 2009-07-23 08:48:00 ----A---- C:\WINDOWS\system32\MFC71.dll 2009-07-15 23:06:19 ----HDC---- C:\WINDOWS\$NtUninstallKB973346$ 2009-07-15 23:06:14 ----HDC---- C:\WINDOWS\$NtUninstallKB971633$ 2009-07-15 23:04:58 ----HDC---- C:\WINDOWS\$NtUninstallKB961371$ ======List of files/folders modified in the last 1 months====== 2009-08-10 09:02:59 ----D---- C:\WINDOWS 2009-08-10 08:45:36 ----D---- C:\WINDOWS\Prefetch 2009-08-10 08:45:31 ----D---- C:\WINDOWS\system32\drivers 2009-08-10 08:45:29 ----RD---- C:\Programme 2009-08-10 07:31:29 ----A---- C:\WINDOWS\ODBC.INI 2009-08-10 07:24:19 ----D---- C:\Programme\Mozilla Thunderbird 2009-08-10 07:23:44 ----D---- C:\WINDOWS\Temp 2009-08-10 07:23:42 ----D---- C:\WINDOWS\system32\CatRoot2 2009-08-08 22:05:38 ----N---- C:\WINDOWS\SchedLgU.Txt 2009-08-07 07:23:59 ----D---- C:\Programme\StarMoney 6.0 S-Edition 2009-08-06 10:25:07 ----SHD---- C:\WINDOWS\Installer 2009-08-06 10:20:17 ----D---- C:\Programme\StarMoney 5.0 S-Edition 2009-08-06 10:19:34 ----HD---- C:\Programme\InstallShield Installation Information 2009-08-06 10:08:36 ----HD---- C:\WINDOWS\inf 2009-08-06 10:07:41 ----D---- C:\WINDOWS\system32 2009-08-06 09:03:33 ----D---- C:\Programme\Java 2009-08-04 11:57:24 ----D---- C:\WINDOWS\Debug 2009-08-04 11:46:03 ----A---- C:\WINDOWS\NeroDigital.ini 2009-07-29 23:00:39 ----RSHDC---- C:\WINDOWS\system32\dllcache 2009-07-29 07:09:36 ----HD---- C:\WINDOWS\$hf_mig$ 2009-07-25 05:23:00 ----A---- C:\WINDOWS\system32\deploytk.dll 2009-07-18 18:03:13 ----A---- C:\WINDOWS\system32\shdocvw.dll 2009-07-18 18:03:12 ----A---- C:\WINDOWS\system32\mshtml.dll ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 ASPI32;ASPI32; C:\WINDOWS\system32\drivers\ASPI32.sys [1999-09-10 25244] R1 asuskbnt;Enhanced Display Driver Helper Service; C:\WINDOWS\system32\drivers\atkkbnt.sys [2005-10-18 11008] R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104] R1 InCDPass;Nero InCDPass; C:\WINDOWS\system32\drivers\InCDPass.sys [2008-02-18 36648] R1 incdrm;Nero InCD MRW Remapper; C:\WINDOWS\system32\drivers\InCDRm.sys [2008-02-18 38312] R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448] R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720] R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520] R1 truecrypt;truecrypt; C:\WINDOWS\System32\drivers\truecrypt.sys [2007-05-03 188672] R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-08-07 55656] R2 CB90Dev1;CB90Dev1; C:\WINDOWS\system32\drivers\CB90Dev1.sys [1995-10-18 13952] R2 CB90Dev2;CB90Dev2; C:\WINDOWS\system32\drivers\CB90Dev2.sys [1995-10-18 13952] R2 CB90Dev3;CB90Dev3; C:\WINDOWS\system32\drivers\CB90Dev3.sys [1995-10-18 13952] R2 CbmDev1;CbmDev1; C:\WINDOWS\system32\drivers\CbmDev1.sys [1996-06-20 12704] R2 CbmDev2;CbmDev2; C:\WINDOWS\system32\drivers\CbmDev2.sys [1996-06-20 12704] R2 CbmDev3;CbmDev3; C:\WINDOWS\system32\drivers\CbmDev3.sys [1996-06-20 12704] R2 EIO;EIO; \??\C:\WINDOWS\system32\drivers\EIO.sys [] R2 Hardlock;Hardlock; \??\C:\WINDOWS\system32\drivers\hardlock.sys [] R2 MarxDev1;MarxDev1; C:\WINDOWS\system32\drivers\MarxDev1.sys [1998-03-10 14848] R2 MarxDev2;MarxDev2; C:\WINDOWS\system32\drivers\MarxDev2.sys [1998-03-10 14848] R2 MarxDev3;MarxDev3; C:\WINDOWS\system32\drivers\MarxDev3.sys [1998-03-10 14848] R3 ADIHdAudAddService;ADI UAA Function Driver for High Definition Audio Service; C:\WINDOWS\system32\drivers\ADIHdAud.sys [2006-05-02 229376] R3 AEAudio;AE Audio Service; C:\WINDOWS\system32\drivers\AEAudio.sys [2006-04-27 93824] R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2006-03-17 1520640] R3 AVMCOWAN;AVMCOWAN; C:\WINDOWS\system32\DRIVERS\AVMCOWAN.sys [2005-11-24 53632] R3 fpcibase;FRITZ!Card PCI; C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2005-11-24 548864] R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2009-03-19 23400] R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384] R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368] R3 MBAMSwissArmy;MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\mbamswissarmy.sys [] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288] R3 MTsensor;ATK0110 ACPI UTILITY; C:\WINDOWS\system32\DRIVERS\ASACPI.sys [2004-08-13 5810] R3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys [2006-07-27 83712] R3 SenFiltService;SenFilt Service; C:\WINDOWS\system32\drivers\Senfilt.sys [2006-03-17 392960] R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608] R4 InCDfs;Nero InCD File System; C:\WINDOWS\system32\drivers\InCDFs.sys [2008-02-18 118952] S3 AVMWAN;AVM NDIS WAN CAPI-Treiber; C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 37568] S3 gmer;gmer; C:\WINDOWS\System32\DRIVERS\gmer.sys [2008-12-10 85969] S3 tbhsd;Tunebite High-Speed Dubbing; C:\WINDOWS\system32\drivers\tbhsd.sys [2007-12-11 26784] S3 USBAAPL;Apple Mobile USB Driver; C:\WINDOWS\System32\Drivers\usbaapl.sys [2009-03-05 36864] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856] S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104] S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] S4 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2006-02-28 12032] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289] R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-08-07 185089] R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2009-03-06 132424] R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2006-03-17 405504] R2 ATKKeyboardService;ATK Keyboard Service; C:\WINDOWS\ATKKBService.exe [2006-04-10 241664] R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2008-12-12 238888] R2 InCDsrv;InCD Helper; C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe [2008-02-18 1553704] R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-07-25 153376] R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2004-08-11 38912] R3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2009-04-02 656168] S1 InCDrec;Nero InCD File System Recognizer; C:\WINDOWS\system32\drivers\InCDRec.sys [2008-02-18 16040] S2 NeroRegInCDSrv;Nero Registry InCD Service; C:\Programme\Nero\Nero 7\InCD\NBHRegInCDSrv.exe [] S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800] S3 Autodesk Licensing Service;Autodesk Licensing Service; C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe [2007-03-05 77944] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144] S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632] S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-27 65824] S3 NBService;NBService; C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe [2007-09-17 800040] S3 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe [2007-06-27 279848] S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136] S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184] S3 ServiceLayer;ServiceLayer; C:\Programme\PC Connectivity Solution\ServiceLayer.exe [2007-02-08 212480] -----------------EOF----------------- |
10.08.2009, 09:18 | #4 |
| TR/Spy.Agent.awlh und TR/ATRAPS.Gen2' von Antivir gefunden info.txt von RSIT.exe Code:
ATTFilter info.txt logfile of random's system information tool 1.06 2009-08-10 10:08:33 ======Uninstall list====== -->C:\Programme\Nero\Nero 7\\nero\uninstall\UNNERO.exe /UNINSTALL -->C:\WINDOWS\NuNInst.exe /UNINSTALL -->C:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe Adobe Flash Player 9-->C:\WINDOWS\system32\Macromed\Flash\FlashUtil9b.exe -uninstallDelete Adobe Reader 8.1.6 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81300000003} Advanced WMA MP3 Converter version 1.2-->"C:\Programme\Media5 Software\Advanced WMA MP3 Converter\unins000.exe" AGFEO TK-Soft 32-->C:\Programme\AGFEO\TkSoft\vaporize.exe -u Apple Mobile Device Support-->MsiExec.exe /I{AFA20D47-69C3-4030-8DF8-D37466E70F13} Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033} ASUS Enhanced Display Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{315ACD04-BCEB-478B-9B1D-5431D0E6CB11}\setup.exe" -l0x7 -removeonly ATI - Dienstprogramm zur Deinstallation der Software-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe ATI Catalyst Control Center-->MsiExec.exe /I{F003CD43-85AF-4643-BC8D-3C170830827D} ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean ATI Parental Control & Encoder-->MsiExec.exe /I{90437E5F-0A9E-4B63-AD8B-D232897D18BF} Audible Download Manager-->C:\Programme\Audible\Bin\AudibleDM_iTunesSetup.exe /Uninstall AutoCAD 2007 - Deutsch-->MsiExec.exe /I{5783F2D7-5001-0407-0002-0060B0CE6BBA} Autodesk DWF Viewer-->C:\PROGRA~1\Autodesk\AUTODE~1\Setup.exe /remove /q0 Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE AVM FRITZ!-->C:\WINDOWS\IsUn0407.exe -fE:\Programme\FRITZ!\Uninst.isu -cE:\Programme\FRITZ!\UNINST.DLL Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B} Btrieve Workstation Engine v6.15-->C:\WINDOWS\uninst.exe -fC:\BTI\Win32\DeIsL1.isu Bullzip PDF Printer 3.0.0.278-->"e:\Programme\Bullzip\PDF Printer\unins000.exe" CCleaner (remove only)-->"E:\Programme\CCleaner\uninst.exe" Falk Reiseplaner City-->C:\WINDOWS\IsUn0407.exe -f"C:\Programme\Falk Reiseplaner City\tc5r1.isu" GPL Ghostscript 8.56-->e:\Programme\gs\uninstgs.exe "e:\Programme\gs\gs8.56\uninstal.txt" GPL Ghostscript Fonts-->e:\Programme\gs\uninstgs.exe "e:\Programme\gs\fonts\uninstal.txt" High Definition Audio Driver Package - KB888111-->C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe" iTunes-->MsiExec.exe /I{5EFCBB42-36AB-4FF9-B90C-E78C7B9EE7B3} Java(TM) 6 Update 15-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF} Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070} JRAID-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3A1B5D40-41E9-43FA-8C7B-A8667F5586EF}\setup.exe" -l0x7 -removeonly K-Lite Codec Pack 2.85 Full-->"C:\Programme\K-Lite Codec Pack\unins000.exe" Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe" Microsoft .NET Framework 2.0 Language Pack - DEU-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0 Language Pack - DEU\install.exe Microsoft .NET Framework 2.0 Service Pack 1-->MsiExec.exe /I{B508B3F1-A24A-32C0-B310-85786919EF28} Microsoft Office Access MUI (German) 2007-->MsiExec.exe /X{90120000-0015-0407-0000-0000000FF1CE} Microsoft Office Enterprise 2007-->"C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall ENTERPRISE /dll OSETUP.DLL Microsoft Office Enterprise 2007-->MsiExec.exe /X{90120000-0030-0000-0000-0000000FF1CE} Microsoft Office Excel MUI (German) 2007-->MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE} Microsoft Office Groove MUI (German) 2007-->MsiExec.exe /X{90120000-00BA-0407-0000-0000000FF1CE} Microsoft Office InfoPath MUI (German) 2007-->MsiExec.exe /X{90120000-0044-0407-0000-0000000FF1CE} Microsoft Office OneNote MUI (German) 2007-->MsiExec.exe /X{90120000-00A1-0407-0000-0000000FF1CE} Microsoft Office Outlook MUI (German) 2007-->MsiExec.exe /X{90120000-001A-0407-0000-0000000FF1CE} Microsoft Office PowerPoint MUI (German) 2007-->MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE} Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE} Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE} Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE} Microsoft Office Proof (Italian) 2007-->MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE} Microsoft Office Proofing (German) 2007-->MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE} Microsoft Office Publisher MUI (German) 2007-->MsiExec.exe /X{90120000-0019-0407-0000-0000000FF1CE} Microsoft Office Shared MUI (German) 2007-->MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE} Microsoft Office Word MUI (German) 2007-->MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE} Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475} Microsoft XML Parser und SDK-->MsiExec.exe /I{35343FF7-939B-401A-87B3-FF90A5123D88} MozBackup 1.4.9-->C:\Programme\MozBackup\Uninstall.exe Mozilla Firefox (3.5.2)-->E:\Programme\Mozilla Firefox\uninstall\helper.exe Mozilla Thunderbird (2.0.0.22)-->C:\Programme\Mozilla Thunderbird\uninstall\helper.exe MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F} MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF} MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71} MSXML 6.0 Parser (KB933579)-->MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E} Nero 7 Essentials-->MsiExec.exe /X{EF3E420F-2DCF-4C24-8E37-896801901031} neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B} NutzenWasIst-->E:\Bürodaten\Programme\NutzenWasIst\uninst\fimain.exe OKI C5100 Digitally Signed Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F51251E6-FF62-48D0-9F87-149F48CDE46C}\setup.exe" PC Connectivity Solution-->MsiExec.exe /I{6094AB91-4CC8-498E-9DFF-134CC0B159DE} PixiePack Codec Pack-->MsiExec.exe /I{621FCD24-4498-4324-A81E-07D331376EDF} QuickTime-->MsiExec.exe /I{216AB108-2AE1-4130-B3D5-20B2C4C80F8F} REALTEK GbE & FE Ethernet PCI-E NIC Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C9BED750-1211-4480-B1A5-718A3BE15525}\Setup.exe" -l0x7 -removeonly SCHLECKER Foto Digital Service-->"C:\Programme\SCHLECKER\SCHLECKER Foto Digital Service\uninstall.exe" SDS Ausschreibungs Profi Basis-->"E:\Programme\SETUP\setup.exe" /u Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 9 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950759)-->"C:\WINDOWS\$NtUninstallKB950759$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB953838)-->"C:\WINDOWS\$NtUninstallKB953838$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956390)-->"C:\WINDOWS\$NtUninstallKB956390$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB963027)-->"C:\WINDOWS\$NtUninstallKB963027$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969897)-->"C:\WINDOWS\$NtUninstallKB969897$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB972260)-->"C:\WINDOWS\$NtUninstallKB972260$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe" SoundMAX-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F0A37341-D692-11D4-A984-009027EC0A9C}\Setup.exe" -l0x7 -removeonly Spelling Dictionaries Support For Adobe Reader 8-->MsiExec.exe /I{AC76BA86-7AD7-5464-3428-800000000003} Spybot - Search & Destroy 1.4-->"e:\Programme\Spybot - Search & Destroy\unins000.exe" StarMoney 6.0 S-Edition-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{4D3E66F1-1946-4B70-9AA7-93E43E3156F9}\setup.exe" -l0x7 -removeonly Thermal Analysis Tool-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6B2C675E-8040-431B-99C4-137DF4FBF75A}\setup.exe" -l0x9 -removeonly TrueCrypt-->"C:\Programme\TrueCrypt\TrueCrypt Setup.exe" /u C:\Programme\TrueCrypt\ Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe" Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe" Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe" Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe" Weight Watchers Points Plan-->MsiExec.exe /X{0D5447EE-FEC6-49B2-9367-ED5CFB87D436} Winamp-->"C:\Programme\Winamp\UninstWA.exe" Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe" WinRAR archiver-->E:\Programme\WinRAR\uninstall.exe ======Security center information====== AV: AntiVir Desktop FW: Outpost Firewall Pro (disabled) ======System event log====== Computer Name: OFFICE Event Code: 6005 Message: Der Ereignisprotokolldienst wurde gestartet. Record Number: 19647 Source Name: EventLog Time Written: 20090528071115.000000+120 Event Type: Informationen User: Computer Name: OFFICE Event Code: 6009 Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 3 Multiprocessor Free. Record Number: 19646 Source Name: EventLog Time Written: 20090528071115.000000+120 Event Type: Informationen User: Computer Name: OFFICE Event Code: 6006 Message: Der Ereignisprotokolldienst wurde beendet. Record Number: 19645 Source Name: EventLog Time Written: 20090527231220.000000+120 Event Type: Informationen User: Computer Name: OFFICE Event Code: 26 Message: Anwendungspopup: Windows: Andere Benutzer sind zurzeit auf diesem Computer angemeldet. Das Herunterfahren von Windows kann zum Datenverlust führen. Möchten Sie den Vorgang fortsetzen? Record Number: 19644 Source Name: Application Popup Time Written: 20090527231159.000000+120 Event Type: Informationen User: Computer Name: OFFICE Event Code: 7036 Message: Dienst "IMAPI-CD-Brenn-COM-Dienste" befindet sich jetzt im Status "Beendet". Record Number: 19643 Source Name: Service Control Manager Time Written: 20090527225201.000000+120 Event Type: Informationen User: =====Application event log===== Computer Name: OFFICE Event Code: 1800 Message: Der Windows-Sicherheitscenterdienst wurde gestartet. Record Number: 1148 Source Name: SecurityCenter Time Written: 20080124061404.000000+060 Event Type: Informationen User: Computer Name: OFFICE Event Code: 1000 Message: Fehlgeschlagene Anwendung audibledm_itunessetup.exe, Version 5.0.0.17, fehlgeschlagenes Modul audibledm_itunessetup.exe, Version 5.0.0.17, Fehleradresse 0x00024870. Record Number: 1147 Source Name: Application Error Time Written: 20080123113043.000000+060 Event Type: Fehler User: Computer Name: OFFICE Event Code: 0 Message: Record Number: 1146 Source Name: iPod Service Time Written: 20080123070333.000000+060 Event Type: Informationen User: Computer Name: OFFICE Event Code: 1800 Message: Der Windows-Sicherheitscenterdienst wurde gestartet. Record Number: 1145 Source Name: SecurityCenter Time Written: 20080123064420.000000+060 Event Type: Informationen User: Computer Name: OFFICE Event Code: 1002 Message: Stillstehende Anwendung wmplayer.exe, Version 9.0.0.3250, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Record Number: 1144 Source Name: Application Hang Time Written: 20080122181228.000000+060 Event Type: Fehler User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=C:\Programme\PC Connectivity Solution\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\QuickTime\QTSystem\ "windir"=%SystemRoot% "FP_NO_HOST_CHECK"=NO "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=6 "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 6, GenuineIntel "PROCESSOR_REVISION"=0f06 "NUMBER_OF_PROCESSORS"=2 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "CLASSPATH"=.;C:\Programme\Java\jre6\lib\ext\QTJava.zip "QTJAVA"=C:\Programme\Java\jre6\lib\ext\QTJava.zip -----------------EOF----------------- |
12.08.2009, 17:36 | #5 |
| TR/Spy.Agent.awlh und TR/ATRAPS.Gen2' von Antivir gefunden Erstelle bitte nochmal einen GMER Report, sowie einen Report mit einem aktualisierten Antivir und im Zweifelsfalle danach ein neuen RSIT Report, damit wir alles auf einem aktuellen Stand ist. BTW: DNS-Changer sind schon uebel, da sagt schon mancher "neuaufsetzen"
__________________ MfG Ralf |
13.08.2009, 12:15 | #6 |
| TR/Spy.Agent.awlh und TR/ATRAPS.Gen2' von Antivir gefunden danke raman, dass du mir hilfst! so, hab GMER mal drüberlaufen lassen: Code:
ATTFilter GMER 1.0.15.15020 [mrcno7er.exe] - http://www.gmer.net Rootkit scan 2009-08-13 13:13:20 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.15 ---- SSDT F7CBFE86 ZwCreateKey SSDT F7CBFE7C ZwCreateThread SSDT F7CBFE8B ZwDeleteKey SSDT F7CBFE95 ZwDeleteValueKey SSDT sptd.sys ZwEnumerateKey [0xF7487A92] SSDT sptd.sys ZwEnumerateValueKey [0xF7487E20] SSDT F7CBFE9A ZwLoadKey SSDT sptd.sys ZwOpenKey [0xF7482090] SSDT F7CBFE68 ZwOpenProcess SSDT F7CBFE6D ZwOpenThread SSDT sptd.sys ZwQueryKey [0xF7487EF8] SSDT sptd.sys ZwQueryValueKey [0xF7487D78] SSDT F7CBFEA4 ZwReplaceKey SSDT F7CBFE9F ZwRestoreKey SSDT F7CBFE90 ZwSetValueKey SSDT F7CBFE77 ZwTerminateProcess ---- Kernel code sections - GMER 1.0.15 ---- ? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. .text USBPORT.SYS!DllUnload F68BA8AC 5 Bytes JMP 86D751C8 ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7482AB4] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F7482BFA] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F7482B7C] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F7483728] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F74835FE] sptd.sys ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 86FD01E8 AttachedDevice \FileSystem\Ntfs \Ntfs InCDRec.sys (InCD File System Recognizer/Nero AG) Device \FileSystem\Fastfat \FatCdrom 86A43980 Device \Driver\usbuhci \Device\USBPDO-0 86D741E8 Device \Driver\usbuhci \Device\USBPDO-1 86D741E8 Device \Driver\dmio \Device\DmControl\DmIoDaemon 86FD21E8 Device \Driver\dmio \Device\DmControl\DmConfig 86FD21E8 Device \Driver\dmio \Device\DmControl\DmPnP 86FD21E8 Device \Driver\dmio \Device\DmControl\DmInfo 86FD21E8 Device \Driver\usbehci \Device\USBPDO-2 86D934F0 Device \Driver\usbuhci \Device\USBPDO-3 86D741E8 Device \Driver\usbuhci \Device\USBPDO-4 86D741E8 Device \Driver\usbuhci \Device\USBPDO-5 86D741E8 Device \Driver\usbehci \Device\USBPDO-6 86D934F0 Device \Driver\Ftdisk \Device\HarddiskVolume1 86F601E8 Device \Driver\Ftdisk \Device\HarddiskVolume2 86F601E8 Device \Driver\Cdrom \Device\CdRom0 86D501E8 Device \Driver\Cdrom \Device\CdRom1 86D501E8 Device \Driver\NetBT \Device\NetBt_Wins_Export 868ED980 Device \Driver\NetBT \Device\NetbiosSmb 868ED980 Device \Driver\usbuhci \Device\USBFDO-0 86D741E8 Device \Driver\usbuhci \Device\USBFDO-1 86D741E8 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 86C5C980 Device \Driver\usbehci \Device\USBFDO-2 86D934F0 Device \FileSystem\MRxSmb \Device\LanmanRedirector 86C5C980 Device \Driver\usbuhci \Device\USBFDO-3 86D741E8 Device \Driver\usbuhci \Device\USBFDO-4 86D741E8 Device \Driver\Ftdisk \Device\FtControl 86F601E8 Device \Driver\usbuhci \Device\USBFDO-5 86D741E8 Device \Driver\usbehci \Device\USBFDO-6 86D934F0 Device \Driver\JRAID \Device\Scsi\JRAID1Port4Path0Target0Lun0 86FD11E8 Device \Driver\JRAID \Device\Scsi\JRAID1 86FD11E8 Device \FileSystem\Fastfat \Fat 86A43980 AttachedDevice \FileSystem\Fastfat \Fat InCDRec.sys (InCD File System Recognizer/Nero AG) Device \FileSystem\Cdfs \Cdfs 868D2980 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 E:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x5C 0xD0 0x3F 0x0D ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xFA 0xA2 0x75 0x30 ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x57 0xB6 0x2B 0x62 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 -1840514722 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 393185627 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x5C 0xD0 0x3F 0x0D ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 E:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x5C 0xD0 0x3F 0x0D ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xFA 0xA2 0x75 0x30 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x57 0xB6 0x2B 0x62 ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x5C 0xD0 0x3F 0x0D ... Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG08.00.00.01WORKSTATION 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 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OOSAFEERASE02.00.00.01MSWINDOWS 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 ---- EOF - GMER 1.0.15 ---- |
13.08.2009, 18:04 | #7 |
| TR/Spy.Agent.awlh und TR/ATRAPS.Gen2' von Antivir gefunden so, hier ist nun der scan-report von antivir: Code:
ATTFilter Avira AntiVir Personal Erstellungsdatum der Reportdatei: Donnerstag, 13. August 2009 13:18 Es wird nach 1635561 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : OFFICE Versionsinformationen: BUILD.DAT : 9.0.0.407 17961 Bytes 29.07.2009 10:29:00 AVSCAN.EXE : 9.0.3.7 466689 Bytes 07.08.2009 09:27:08 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36 ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 20:19:11 ANTIVIR2.VDF : 7.1.5.88 2668032 Bytes 10.08.2009 05:32:17 ANTIVIR3.VDF : 7.1.5.106 239616 Bytes 13.08.2009 11:17:47 Engineversion : 8.2.1.1 AEVDF.DLL : 8.1.1.1 106868 Bytes 30.04.2009 10:52:04 AESCRIPT.DLL : 8.1.2.25 459130 Bytes 13.08.2009 05:32:20 AESCN.DLL : 8.1.2.4 127348 Bytes 22.07.2009 17:19:50 AERDL.DLL : 8.1.2.4 430452 Bytes 15.07.2009 09:06:58 AEPACK.DLL : 8.1.3.18 401783 Bytes 27.05.2009 15:07:20 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 05.07.2009 20:19:18 AEHEUR.DLL : 8.1.0.154 1917302 Bytes 10.08.2009 07:05:38 AEHELP.DLL : 8.1.5.3 233846 Bytes 22.07.2009 17:19:49 AEGEN.DLL : 8.1.1.56 356725 Bytes 13.08.2009 05:32:20 AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40 AECORE.DLL : 8.1.7.6 184694 Bytes 22.07.2009 17:19:48 AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56 AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55 AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17 RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, E:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Donnerstag, 13. August 2009 13:18 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '44793' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'InCDsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ATKKBService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SMax4.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smax4pnp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '39' Prozesse mit '39' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '56' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\pop.googlemail.com\Inbox [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen [WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht. C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\pop.googlemail.com\Trash [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen [WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht. C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'E:\' <Bürodatenträger> E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv [0] Archivtyp: ZIP --> Mail/pop.googlemail.com/Inbox [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen --> Mail/pop.googlemail.com/Trash [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen [WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht. Ende des Suchlaufs: Donnerstag, 13. August 2009 14:16 Benötigte Zeit: 57:29 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 9405 Verzeichnisse wurden überprüft 327459 Dateien wurden geprüft 4 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 327453 Dateien ohne Befall 2296 Archive wurden durchsucht 5 Warnungen 1 Hinweise 44793 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden |
13.08.2009, 18:17 | #8 |
| TR/Spy.Agent.awlh und TR/ATRAPS.Gen2' von Antivir gefunden Deinstalliere bitte folgendes... Java(TM) 6 Update 7 Adobe Flash Player 9 Mache bitte noch einen Kontrollscan mit Kasperskys onlinescanner: Poste den ertellten Bericht, sofern es Funde gab Kaspersky Lab: Anti-Virus, Internet Security, Mobile Security & Antiviren-Software und Services für Unternehmen
__________________ MfG Ralf |
13.08.2009, 23:40 | #9 |
| TR/Spy.Agent.awlh und TR/ATRAPS.Gen2' von Antivir gefunden @raman Leitet der virus dein Seitenabfrgen dann über einen anderen DNS-Server? |
14.08.2009, 11:06 | #10 |
| TR/Spy.Agent.awlh und TR/ATRAPS.Gen2' von Antivir gefunden Er macht sich das einfacher. Er traegt einfach einen "boesen" DNS Server in den Lan/IP Einstellungen ein und laesst das so von Windows erledigen.
__________________ MfG Ralf |
14.08.2009, 11:20 | #11 |
| TR/Spy.Agent.awlh und TR/ATRAPS.Gen2' von Antivir gefunden so hier der kaspersky scan report teil 1: Code:
ATTFilter ------------------------------------------------------------------------------- PROTOKOLL FÜR KASPERSKY ONLINE SCANNER Freitag, 14. August 2009 12:16:15 Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600) Version von Kaspersky Online Scanner: 5.0.98.2 Letztes Update der Antiviren-Datenbanken: 14/08/2009 Anzahl der Einträge in den Antiviren-Datenbanken: 2625173 ------------------------------------------------------------------------------- Scan-Einstellungen: Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte Archive untersuchen: ja Mail-Datenbanken untersuchen: ja Untersuchungsobjekt - Arbeitsplatz: C:\ D:\ E:\ F:\ Untersuchungsergebnisse: Untersuchte Objekte insgesamt: 119988 Viren gefunden: 6 Infizierte Objekte gefunden: 89 Verdächtige Objekte gefunden: 0 Untersuchungszeit: 01:29:58 Name des infizierten Objekts / Virusname / Letzte Aktion C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\avguard.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Inbox/[From stoppkern@gmx.de][Date 24 Dec 2007 10:51:13][Subj [virus probably unknown NewHeur_PE virus] Von Vanessa]/Foto-Xerox-M02___JPG.com Infizierte Objekte: Trojan.Win32.Agent.cyo übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Inbox/[From hssmbshs@mdcc-fun.de][Date 15 Jan 2008 18:13:18][Subj [virus Win32/Netsky.Z worm] Hi]/Data.zip/Data.txt .exe Infizierte Objekte: Email-Worm.Win32.NetSky.aa übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Inbox/[From hssmbshs@mdcc-fun.de][Date 15 Jan 2008 18:13:18][Subj [virus Win32/Netsky.Z worm] Hi]/Data.zip Infizierte Objekte: Email-Worm.Win32.NetSky.aa übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Inbox/[From alex10094001@aol.com][Date 29 Jan 2008 18:06:36][Subj [virus Win32/Netsky.Z worm] Information]/Textfile.zip/Textfile.txt .exe Infizierte Objekte: Email-Worm.Win32.NetSky.aa übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Inbox/[From alex10094001@aol.com][Date 29 Jan 2008 18:06:36][Subj [virus Win32/Netsky.Z worm] Information]/Textfile.zip Infizierte Objekte: Email-Worm.Win32.NetSky.aa übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Inbox/[From krussbertz@gmx.de][Date 16 Feb 2008 21:23:59][Subj [virus Win32/TrojanDropper.Agent.AGE trojan] Re: Deine Bekannts]/Foto-privat-01__JPG.com Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Inbox/[From Errharder-W@gmx.de][Date 5 Mar 2009 13:14:17][Subj Antwort von Maria]/Foto-Maria-.jgp.zip/Foto-Maria-.jgp.com Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Inbox/[From Errharder-W@gmx.de][Date 5 Mar 2009 13:14:17][Subj Antwort von Maria]/Foto-Maria-.jgp.zip Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Inbox/[From boungertz-l@gmx.de][Date 31 Mar 2009 22:09:13][Subj Hallo von Tanja]/Foto-Tanja-.jpeq.zip/Foto-Tanja-.jpeq.com/Bild.exe Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Inbox/[From boungertz-l@gmx.de][Date 31 Mar 2009 22:09:13][Subj Hallo von Tanja]/Foto-Tanja-.jpeq.zip/Foto-Tanja-.jpeq.com Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Inbox/[From boungertz-l@gmx.de][Date 31 Mar 2009 22:09:13][Subj Hallo von Tanja]/Foto-Tanja-.jpeq.zip Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Inbox/[From E-elreich@gmx.de][Date 2 May 2009 13:38:58][Subj Hallo von Nora]/Nora-Karte-.jpeq.zip/Nora-Karte-.jpeq.com/Bild.exe Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Inbox/[From E-elreich@gmx.de][Date 2 May 2009 13:38:58][Subj Hallo von Nora]/Nora-Karte-.jpeq.zip/Nora-Karte-.jpeq.com Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Inbox/[From E-elreich@gmx.de][Date 2 May 2009 13:38:58][Subj Hallo von Nora]/Nora-Karte-.jpeq.zip Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Inbox/[From F-kassmertz@gmx.de][Date 4 Jun 2009 01:46:07][Subj Bewerbung von Olga]/Foto-Olga.jpq.zip/Foto-Olga.jpq.com/Bild.exe Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.alm übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Inbox/[From F-kassmertz@gmx.de][Date 4 Jun 2009 01:46:07][Subj Bewerbung von Olga]/Foto-Olga.jpq.zip/Foto-Olga.jpq.com Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.alm übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Inbox/[From F-kassmertz@gmx.de][Date 4 Jun 2009 01:46:07][Subj Bewerbung von Olga]/Foto-Olga.jpq.zip Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.alm übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Inbox/[From AA-kassmertz@gmx.de][Date 6 Jul 2009 23:10:34][Subj Re: Antwort von Renate]/Bild-Cannon-06.jpq.zip/Bild-Cannon-06.jpq.com/Bild.exe Infizierte Objekte: Trojan-Dropper.Win32.Agent.age übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Inbox/[From AA-kassmertz@gmx.de][Date 6 Jul 2009 23:10:34][Subj Re: Antwort von Renate]/Bild-Cannon-06.jpq.zip/Bild-Cannon-06.jpq.com Infizierte Objekte: Trojan-Dropper.Win32.Agent.age übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Inbox/[From AA-kassmertz@gmx.de][Date 6 Jul 2009 23:10:34][Subj Re: Antwort von Renate]/Bild-Cannon-06.jpq.zip Infizierte Objekte: Trojan-Dropper.Win32.Agent.age übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Inbox/[From Hugelst@gmx.de][Date 31 Jul 2009 23:57:30][Subj Hallo Schatzi]/Foto-B.Susanne_JPG.zip/Foto-B.Susanne_JPG.com/speicher-77.exe Infizierte Objekte: Trojan-Dropper.Win32.Agent.age übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Inbox/[From Hugelst@gmx.de][Date 31 Jul 2009 23:57:30][Subj Hallo Schatzi]/Foto-B.Susanne_JPG.zip/Foto-B.Susanne_JPG.com/Update.reg Infizierte Objekte: Trojan.Win32.KillAV.hr übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Inbox/[From Hugelst@gmx.de][Date 31 Jul 2009 23:57:30][Subj Hallo Schatzi]/Foto-B.Susanne_JPG.zip/Foto-B.Susanne_JPG.com Infizierte Objekte: Trojan.Win32.KillAV.hr übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Inbox/[From Hugelst@gmx.de][Date 31 Jul 2009 23:57:30][Subj Hallo Schatzi]/Foto-B.Susanne_JPG.zip Infizierte Objekte: Trojan.Win32.KillAV.hr übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Inbox MailBerkeleymbox: infiziert - 24 übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Trash/[From Errharder-W@gmx.de][Date 5 Mar 2009 13:14:17][Subj Antwort von Maria]/Foto-Maria-.jgp.zip/Foto-Maria-.jgp.com Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Trash/[From Errharder-W@gmx.de][Date 5 Mar 2009 13:14:17][Subj Antwort von Maria]/Foto-Maria-.jgp.zip Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Trash/[From boungertz-l@gmx.de][Date 31 Mar 2009 22:09:13][Subj Hallo von Tanja]/Foto-Tanja-.jpeq.zip/Foto-Tanja-.jpeq.com/Bild.exe Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Trash/[From boungertz-l@gmx.de][Date 31 Mar 2009 22:09:13][Subj Hallo von Tanja]/Foto-Tanja-.jpeq.zip/Foto-Tanja-.jpeq.com Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Trash/[From boungertz-l@gmx.de][Date 31 Mar 2009 22:09:13][Subj Hallo von Tanja]/Foto-Tanja-.jpeq.zip Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Trash/[From E-elreich@gmx.de][Date 2 May 2009 13:38:58][Subj Hallo von Nora]/Nora-Karte-.jpeq.zip/Nora-Karte-.jpeq.com/Bild.exe Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Trash/[From E-elreich@gmx.de][Date 2 May 2009 13:38:58][Subj Hallo von Nora]/Nora-Karte-.jpeq.zip/Nora-Karte-.jpeq.com Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Trash/[From E-elreich@gmx.de][Date 2 May 2009 13:38:58][Subj Hallo von Nora]/Nora-Karte-.jpeq.zip Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Trash/[From F-kassmertz@gmx.de][Date 4 Jun 2009 01:46:07][Subj Bewerbung von Olga]/Foto-Olga.jpq.zip/Foto-Olga.jpq.com/Bild.exe Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.alm übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Trash/[From F-kassmertz@gmx.de][Date 4 Jun 2009 01:46:07][Subj Bewerbung von Olga]/Foto-Olga.jpq.zip/Foto-Olga.jpq.com Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.alm übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Trash/[From F-kassmertz@gmx.de][Date 4 Jun 2009 01:46:07][Subj Bewerbung von Olga]/Foto-Olga.jpq.zip Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.alm übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Trash/[From AA-kassmertz@gmx.de][Date 6 Jul 2009 23:10:34][Subj Re: Antwort von Renate]/Bild-Cannon-06.jpq.zip/Bild-Cannon-06.jpq.com/Bild.exe Infizierte Objekte: Trojan-Dropper.Win32.Agent.age übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Trash/[From AA-kassmertz@gmx.de][Date 6 Jul 2009 23:10:34][Subj Re: Antwort von Renate]/Bild-Cannon-06.jpq.zip/Bild-Cannon-06.jpq.com Infizierte Objekte: Trojan-Dropper.Win32.Agent.age übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Trash/[From AA-kassmertz@gmx.de][Date 6 Jul 2009 23:10:34][Subj Re: Antwort von Renate]/Bild-Cannon-06.jpq.zip Infizierte Objekte: Trojan-Dropper.Win32.Agent.age übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Trash/[From Hugelst@gmx.de][Date 31 Jul 2009 23:57:30][Subj Hallo Schatzi]/Foto-B.Susanne_JPG.zip/Foto-B.Susanne_JPG.com/speicher-77.exe Infizierte Objekte: Trojan-Dropper.Win32.Agent.age übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Trash/[From Hugelst@gmx.de][Date 31 Jul 2009 23:57:30][Subj Hallo Schatzi]/Foto-B.Susanne_JPG.zip/Foto-B.Susanne_JPG.com/Update.reg Infizierte Objekte: Trojan.Win32.KillAV.hr übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Trash/[From Hugelst@gmx.de][Date 31 Jul 2009 23:57:30][Subj Hallo Schatzi]/Foto-B.Susanne_JPG.zip/Foto-B.Susanne_JPG.com Infizierte Objekte: Trojan.Win32.KillAV.hr übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Trash/[From Hugelst@gmx.de][Date 31 Jul 2009 23:57:30][Subj Hallo Schatzi]/Foto-B.Susanne_JPG.zip Infizierte Objekte: Trojan.Win32.KillAV.hr übersprungen C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird\Profiles\la5lfpvr.default\Mail\Local Folders\Trash MailBerkeleymbox: infiziert - 18 übersprungen C:\Dokumente und Einstellungen\Büro\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Büro\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Büro\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen |
14.08.2009, 11:21 | #12 |
| TR/Spy.Agent.awlh und TR/ATRAPS.Gen2' von Antivir gefunden und teil 2: Code:
ATTFilter C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen C:\System Volume Information\_restore{9040CF0A-3AA7-4D21-81C1-45119A5DEE8F}\RP935\change.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\ODiag.evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\OSession.evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\Perflib_Perfdata_634.dat Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Inbox/[From stoppkern@gmx.de][Date 24 Dec 2007 10:51:13][Subj [virus probably unknown NewHeur_PE virus] Von Vanessa]/Foto-Xerox-M02___JPG.com Infizierte Objekte: Trojan.Win32.Agent.cyo übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Inbox/[From hssmbshs@mdcc-fun.de][Date 15 Jan 2008 18:13:18][Subj [virus Win32/Netsky.Z worm] Hi]/Data.zip/Data.txt .exe Infizierte Objekte: Email-Worm.Win32.NetSky.aa übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Inbox/[From hssmbshs@mdcc-fun.de][Date 15 Jan 2008 18:13:18][Subj [virus Win32/Netsky.Z worm] Hi]/Data.zip Infizierte Objekte: Email-Worm.Win32.NetSky.aa übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Inbox/[From alex10094001@aol.com][Date 29 Jan 2008 18:06:36][Subj [virus Win32/Netsky.Z worm] Information]/Textfile.zip/Textfile.txt .exe Infizierte Objekte: Email-Worm.Win32.NetSky.aa übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Inbox/[From alex10094001@aol.com][Date 29 Jan 2008 18:06:36][Subj [virus Win32/Netsky.Z worm] Information]/Textfile.zip Infizierte Objekte: Email-Worm.Win32.NetSky.aa übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Inbox/[From krussbertz@gmx.de][Date 16 Feb 2008 21:23:59][Subj [virus Win32/TrojanDropper.Agent.AGE trojan] Re: Deine Bekannts]/Foto-privat-01__JPG.com Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Inbox/[From Errharder-W@gmx.de][Date 5 Mar 2009 13:14:17][Subj Antwort von Maria]/Foto-Maria-.jgp.zip/Foto-Maria-.jgp.com Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Inbox/[From Errharder-W@gmx.de][Date 5 Mar 2009 13:14:17][Subj Antwort von Maria]/Foto-Maria-.jgp.zip Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Inbox/[From boungertz-l@gmx.de][Date 31 Mar 2009 22:09:13][Subj Hallo von Tanja]/Foto-Tanja-.jpeq.zip/Foto-Tanja-.jpeq.com/Bild.exe Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Inbox/[From boungertz-l@gmx.de][Date 31 Mar 2009 22:09:13][Subj Hallo von Tanja]/Foto-Tanja-.jpeq.zip/Foto-Tanja-.jpeq.com Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Inbox/[From boungertz-l@gmx.de][Date 31 Mar 2009 22:09:13][Subj Hallo von Tanja]/Foto-Tanja-.jpeq.zip Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Inbox/[From E-elreich@gmx.de][Date 2 May 2009 13:38:58][Subj Hallo von Nora]/Nora-Karte-.jpeq.zip/Nora-Karte-.jpeq.com/Bild.exe Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Inbox/[From E-elreich@gmx.de][Date 2 May 2009 13:38:58][Subj Hallo von Nora]/Nora-Karte-.jpeq.zip/Nora-Karte-.jpeq.com Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Inbox/[From E-elreich@gmx.de][Date 2 May 2009 13:38:58][Subj Hallo von Nora]/Nora-Karte-.jpeq.zip Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Inbox/[From F-kassmertz@gmx.de][Date 4 Jun 2009 01:46:07][Subj Bewerbung von Olga]/Foto-Olga.jpq.zip/Foto-Olga.jpq.com/Bild.exe Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.alm übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Inbox/[From F-kassmertz@gmx.de][Date 4 Jun 2009 01:46:07][Subj Bewerbung von Olga]/Foto-Olga.jpq.zip/Foto-Olga.jpq.com Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.alm übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Inbox/[From F-kassmertz@gmx.de][Date 4 Jun 2009 01:46:07][Subj Bewerbung von Olga]/Foto-Olga.jpq.zip Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.alm übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Inbox/[From AA-kassmertz@gmx.de][Date 6 Jul 2009 23:10:34][Subj Re: Antwort von Renate]/Bild-Cannon-06.jpq.zip/Bild-Cannon-06.jpq.com/Bild.exe Infizierte Objekte: Trojan-Dropper.Win32.Agent.age übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Inbox/[From AA-kassmertz@gmx.de][Date 6 Jul 2009 23:10:34][Subj Re: Antwort von Renate]/Bild-Cannon-06.jpq.zip/Bild-Cannon-06.jpq.com Infizierte Objekte: Trojan-Dropper.Win32.Agent.age übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Inbox/[From AA-kassmertz@gmx.de][Date 6 Jul 2009 23:10:34][Subj Re: Antwort von Renate]/Bild-Cannon-06.jpq.zip Infizierte Objekte: Trojan-Dropper.Win32.Agent.age übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Inbox/[From Hugelst@gmx.de][Date 31 Jul 2009 23:57:30][Subj Hallo Schatzi]/Foto-B.Susanne_JPG.zip/Foto-B.Susanne_JPG.com/speicher-77.exe Infizierte Objekte: Trojan-Dropper.Win32.Agent.age übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Inbox/[From Hugelst@gmx.de][Date 31 Jul 2009 23:57:30][Subj Hallo Schatzi]/Foto-B.Susanne_JPG.zip/Foto-B.Susanne_JPG.com/Update.reg Infizierte Objekte: Trojan.Win32.KillAV.hr übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Inbox/[From Hugelst@gmx.de][Date 31 Jul 2009 23:57:30][Subj Hallo Schatzi]/Foto-B.Susanne_JPG.zip/Foto-B.Susanne_JPG.com Infizierte Objekte: Trojan.Win32.KillAV.hr übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Inbox/[From Hugelst@gmx.de][Date 31 Jul 2009 23:57:30][Subj Hallo Schatzi]/Foto-B.Susanne_JPG.zip Infizierte Objekte: Trojan.Win32.KillAV.hr übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Inbox Infizierte Objekte: Trojan.Win32.KillAV.hr übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Trash/[From Errharder-W@gmx.de][Date 5 Mar 2009 13:14:17][Subj Antwort von Maria]/Foto-Maria-.jgp.zip/Foto-Maria-.jgp.com Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Trash/[From Errharder-W@gmx.de][Date 5 Mar 2009 13:14:17][Subj Antwort von Maria]/Foto-Maria-.jgp.zip Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Trash/[From boungertz-l@gmx.de][Date 31 Mar 2009 22:09:13][Subj Hallo von Tanja]/Foto-Tanja-.jpeq.zip/Foto-Tanja-.jpeq.com/Bild.exe Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Trash/[From boungertz-l@gmx.de][Date 31 Mar 2009 22:09:13][Subj Hallo von Tanja]/Foto-Tanja-.jpeq.zip/Foto-Tanja-.jpeq.com Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Trash/[From boungertz-l@gmx.de][Date 31 Mar 2009 22:09:13][Subj Hallo von Tanja]/Foto-Tanja-.jpeq.zip Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Trash/[From E-elreich@gmx.de][Date 2 May 2009 13:38:58][Subj Hallo von Nora]/Nora-Karte-.jpeq.zip/Nora-Karte-.jpeq.com/Bild.exe Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Trash/[From E-elreich@gmx.de][Date 2 May 2009 13:38:58][Subj Hallo von Nora]/Nora-Karte-.jpeq.zip/Nora-Karte-.jpeq.com Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Trash/[From E-elreich@gmx.de][Date 2 May 2009 13:38:58][Subj Hallo von Nora]/Nora-Karte-.jpeq.zip Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.cy übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Trash/[From F-kassmertz@gmx.de][Date 4 Jun 2009 01:46:07][Subj Bewerbung von Olga]/Foto-Olga.jpq.zip/Foto-Olga.jpq.com/Bild.exe Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.alm übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Trash/[From F-kassmertz@gmx.de][Date 4 Jun 2009 01:46:07][Subj Bewerbung von Olga]/Foto-Olga.jpq.zip/Foto-Olga.jpq.com Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.alm übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Trash/[From F-kassmertz@gmx.de][Date 4 Jun 2009 01:46:07][Subj Bewerbung von Olga]/Foto-Olga.jpq.zip Infizierte Objekte: Trojan-Dropper.Win32.Mudrop.alm übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Trash/[From AA-kassmertz@gmx.de][Date 6 Jul 2009 23:10:34][Subj Re: Antwort von Renate]/Bild-Cannon-06.jpq.zip/Bild-Cannon-06.jpq.com/Bild.exe Infizierte Objekte: Trojan-Dropper.Win32.Agent.age übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Trash/[From AA-kassmertz@gmx.de][Date 6 Jul 2009 23:10:34][Subj Re: Antwort von Renate]/Bild-Cannon-06.jpq.zip/Bild-Cannon-06.jpq.com Infizierte Objekte: Trojan-Dropper.Win32.Agent.age übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Trash/[From AA-kassmertz@gmx.de][Date 6 Jul 2009 23:10:34][Subj Re: Antwort von Renate]/Bild-Cannon-06.jpq.zip Infizierte Objekte: Trojan-Dropper.Win32.Agent.age übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Trash/[From Hugelst@gmx.de][Date 31 Jul 2009 23:57:30][Subj Hallo Schatzi]/Foto-B.Susanne_JPG.zip/Foto-B.Susanne_JPG.com/speicher-77.exe Infizierte Objekte: Trojan-Dropper.Win32.Agent.age übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Trash/[From Hugelst@gmx.de][Date 31 Jul 2009 23:57:30][Subj Hallo Schatzi]/Foto-B.Susanne_JPG.zip/Foto-B.Susanne_JPG.com/Update.reg Infizierte Objekte: Trojan.Win32.KillAV.hr übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Trash/[From Hugelst@gmx.de][Date 31 Jul 2009 23:57:30][Subj Hallo Schatzi]/Foto-B.Susanne_JPG.zip/Foto-B.Susanne_JPG.com Infizierte Objekte: Trojan.Win32.KillAV.hr übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Trash/[From Hugelst@gmx.de][Date 31 Jul 2009 23:57:30][Subj Hallo Schatzi]/Foto-B.Susanne_JPG.zip Infizierte Objekte: Trojan.Win32.KillAV.hr übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv/Mail/Local Folders/Trash Infizierte Objekte: Trojan.Win32.KillAV.hr übersprungen E:\backup\Thunderbird 2.0.0.22 (de) - 2009-08-06.pcv ZIP: infiziert - 44 übersprungen E:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen E:\System Volume Information\_restore{9040CF0A-3AA7-4D21-81C1-45119A5DEE8F}\RP935\change.log Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. |
14.08.2009, 11:50 | #13 |
| TR/Spy.Agent.awlh und TR/ATRAPS.Gen2' von Antivir gefunden Du solltest dein Inbound aufraeumen, bzw wenn du das schon hast, komprimiere bitte die einzelnen Mailordner in thunderbird, das bringt Platz und Geschwindigkeit. Ich hoffe du hast nicht irgendwann eines dieser "Foto-B.Susanne_JPG.zip" geoeffnet, die sind extrem "unlustig".... Aktive Malware habe ich aber nicht mehr gesehen. Ob du das Risiko eingehen moechtest, das wir wirklich alles erwischt haben, kannst du deine Passworte wechseln und dein Windows auf den neusten Stand bringen...
__________________ MfG Ralf |
17.08.2009, 17:36 | #14 |
| TR/Spy.Agent.awlh und TR/ATRAPS.Gen2' von Antivir gefunden Ok, danke für die Hilfe! Ich werde dann wohl doch schon früher auf Windows 7 umsteigen, dann kann ich das Risiko ausschließen. Mfg need_ |
Themen zu TR/Spy.Agent.awlh und TR/ATRAPS.Gen2' von Antivir gefunden |
'tr/atraps.gen2', ahnung, antivir, benötige, datei, dokumente, dringend, einstellungen, information, kurze, lokale, programm, restore, system, system volume information, temp, tmp, tr/atraps.gen, tr/atraps.gen2, trojan, unerwünschtes programm, viren, virus, volume, windows, _restore |