| |
| |||||||
Log-Analyse und Auswertung: Rechner verseucht???Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
14.08.2007, 22:23
| #1 |
 |  Rechner verseucht??? Hi @ all hab mir mal wieder Kaspersky Antivir 7 auf den Rechner geklatscht!!!! Nun bekomme ich ständig ne Ansage vom sys bei fast allem was ich mache das zb. Prozesse wie C:\WINDOWS\Explorer.exe oder C:WINDOWS\sytem32\winlogon.exe auf andere Prozesse probieren zuzugreifen. Hmmm außerdem hab ich mir glaub ich nen Backdoor Trojaner ruff jeballert(Backdoor.Win32.Bifrose.acs)  da bei den Dingern ein Neuaufsetzen des Systems ja scheinbar unausweichlich ist ist nun meine Frage bin ick jetzt wirklich verseucht oder hab ick schon wieder völlige Paranoia???? Wäre für Hilfe sehr dankbar....lieben Gruß der Ariba poste ma Hijack Log: Logfile of HijackThis v1.99.1 Scan saved at 23:15:38, on 14.08.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\Programme\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe C:\Programme\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareControl.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\alg.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Hijackthis\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" O4 - HKLM\..\Run: [Ashampoo AntiSpyWare Guard] C:\Programme\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://download.bitdefender.com/resources/scan8/oscan8.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - h**p://messenger.zone.msn.com/binary/ZIntro.cab56649.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - h**p://messenger.zone.msn.com/binary/Chess.cab57176.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe Ich hoffe ist nun korrekt gepostet der thread.  mittlerweile ist meine schnellstartleiste verschwunden alle einträge sind weg!!??  müsste ja nen zeichen sein für ne infektion!! oder???  |
|
14.08.2007, 23:25
| #2 |
| > MalwareDB   |  Rechner verseucht??? Warum diese Schrift?
__________________Wenn es eine Infektion mit besagtem Schädling ist, dann hilft nur ein Neuaufsetzen. Lass die Dateien C:\WINDOWS\Explorer.exe C:\WINDOWS\sytem32\winlogon.exe bei VirusTotal - Free Online Virus and Malware Scan scannen und poste das Ergebnis hier. Suche auch mal nach der Datei C:\WINDOWS\iaxcfg32.dl Bata |
|
15.08.2007, 10:15
| #3 | |
  | Rechner verseucht???Zitat:
Troj/Fowldo-Gen - Trojan - Sophos threat analysis Die Glaskugel aus  |
|
15.08.2007, 10:28
| #4 | |
| | Rechner verseucht???Zitat:
bin der englischen sprache was solch spezifische dinge angeht nicht so mächtig???!!!!!  |
|
15.08.2007, 10:18
| #5 |
| | Rechner verseucht???Guten Morgen Bata, erstmal danke für deine Antwort hab wie empfohlen die dateien scannen lassen und folgende infos erhalten(s.u.).Allerdings muss ich sagen das sich die explorer.exe von der schreibweise unterscheidet. Kaspersky zeigt mir Explorer.exe an und im windows Ordner finde ich aber nur die normale schreibweise explorer.exe ??? Wenn ich wirklich nicht um ein Neuaufsetzen drum rum komme muss ick mal ganz dumm fragen....muss ich dann meine zweite Festplatte och formatieren oder reicht es wenn ich meine platte mit WinXp platt mache und XP neu aufsetze??? Was mich noch interessieren würde , ist denn an hand des Hijack Log nichts zu erkennen??? C:\Windows\explorer.exe Antivirus Version letzte aktualisierung Ergebnis AhnLab-V32007.8.15.02007.08.14-AntiVir7.4.1.622007.08.15-Authentium4.93.82007.08.15-Avast4.7.1029.02007.08.13-AVG7.5.0.4762007.08.14-BitDefender7.22007.08.15-CAT-QuickHeal9.002007.08.14-ClamAV0.912007.08.15-DrWeb4.332007.08.15-eSafe7.0.15.02007.08.10-eTrust-Vet31.1.50612007.08.15-Ewido4.02007.08.14-FileAdvisor12007.08.15-Fortinet2.91.0.02007.08.15-F-Prot4.3.2.482007.08.14-F-Secure6.70.13030.02007.08.15-IkarusT3.1.1.122007.08.15-Kaspersky4.0.2.242007.08.15-McAfee50972007.08.14-Microsoft1.27042007.08.15-NOD32v224622007.08.15-Norman5.80.022007.08.14-Panda9.0.0.42007.08.14-Prevx1V22007.08.15-Rising19.36.21.002007.08.15-Sophos4.20.02007.08.12-Sunbelt2.2.907.02007.08.14-Symantec102007.08.15-TheHacker6.1.8.1682007.08.14-VBA323.12.2.22007.08.14-VirusBuster4.3.26:92007.08.14-Webwasher-Gateway6.0.12007.08.15- weitere Informationen File size: 1036288 bytesMD5: 64d320c0e301eedc5a4adbbdc5024f7fSHA1: 31e7d89607ba519b1473f6449f5e638282feb6c6 C:\WINDOWS\system32\winlogon.exe Antivirus Version letzte aktualisierung Ergebnis AhnLab-V32007.8.15.02007.08.14-AntiVir7.4.1.622007.08.15-Authentium4.93.82007.08.15-Avast4.7.1029.02007.08.13-AVG7.5.0.4762007.08.14-BitDefender7.22007.08.15-CAT-QuickHeal9.002007.08.14-ClamAV0.912007.08.15-DrWeb4.332007.08.15-eSafe7.0.15.02007.08.10-eTrust-Vet31.1.50612007.08.15-Ewido4.02007.08.14-FileAdvisor12007.08.15-Fortinet2.91.0.02007.08.15-F-Prot4.3.2.482007.08.14-F-Secure6.70.13030.02007.08.15-IkarusT3.1.1.122007.08.15-Kaspersky4.0.2.242007.08.15-McAfee50972007.08.14-Microsoft1.27042007.08.15-NOD32v224622007.08.15-Norman5.80.022007.08.14-Panda9.0.0.42007.08.14-Prevx1V22007.08.15-Rising19.36.21.002007.08.15-Sophos4.20.02007.08.12-Sunbelt2.2.907.02007.08.14-Symantec102007.08.15-TheHacker6.1.8.1682007.08.14-VBA323.12.2.22007.08.14-VirusBuster4.3.26:92007.08.14-Webwasher-Gateway6.0.12007.08.15- weitere Informationen File size: 1036288 bytesMD5: 64d320c0e301eedc5a4adbbdc5024f7fSHA1: 31e7d89607ba519b1473f6449f5e638282feb6c6 poste mal noch die infos die ich von Kaspersky bekommen hab : gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\Explorer.EXE gefunden: potentiell gefährliche Software Invader Prozess: C:\Dokumente und Einstellungen\Stefan Baetke\Desktop\iwn2k3ek.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\Dokumente und Einstellungen\Stefan Baetke\Lokale Einstellungen\Temp\is-4NQ76.tmp\is-4MII2.tmp gefunden: potentiell gefährliche Software Invader Prozess: C:\Programme\eScan\scanremv.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\system32\winlogon.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\System32\svchost.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\Programme\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe nicht gefunden: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\PROGRA~1\eScan\INSTSCAN.EXE//PE_Patch.UPX nicht gefunden: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\Dokumente und Einstellungen\Stefan Baetke\Desktop\iwn2k3ek.exe//file0152//PE_Patch.UPX gefunden: potentiell gefährliche Software Invader Prozess: C:\Programme\TuneUp Utilities 2007\OneClickMaintenance.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\system32\cisvc.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\system32\svchost.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\system32\cidaemon.exe hoffe ist erstmal wieder ein Schritt in die richtige Richtung. Welche Progs sollte ich denn sonst noch so nutzen wenn ich mein Sys neu aufgesetzt hab??? Habe im mom Adaware, Spybot Search & Destroy, Ashampoo AntiSpyware ,CCleaner und Kaspersky Antivirus Geändert von AribaOne (15.08.2007 um 10:24 Uhr) |
|
15.08.2007, 10:39
| #6 |
| > MalwareDB | Rechner verseucht??? Inwiefern unterscheiden sichdie Schreibweisen? Auf den Speicherordner bezogen oder auf die Buchstaben? Groß- und Kleinschreibung ist hier egal. Wenn Du neu aufsetzen musst, dann musst Du erstmal nur das Xp InstallationsLaufwerk Formatieren. Das zweite sollte nach Festerigstellung der Installation zuerst gescannt werden. Anhand des HJT Logs ist erstmal nichts zu erkennen, was nichts bedeutet, das Programm dient nur dem ersten kennenlernen Deines Systems.  Was mich wundert ist, das Kaspersky die eigenen Produkte anmaulen soll. Wenn Du neu Installieren willst, solltest Du zuerst diese Anleitung durchlesen, dann ein Antivirenprogramm Deiner Wahl, die Windowseigene Firewall anschalten und immer den bewußten Umgang mit dem Internet üben, dann bleibt der Rechner auch sauber. Ich würde es gerne noch mit einem den Deckard's System Scanner probieren. Laden, alle Programme schließen, ausführen. Am Ende das Log hier posten. @Rene-Gad: Ich dachte an den hier. Bata |
|
15.08.2007, 11:05
| #7 |
| | Rechner verseucht??? Rettung in sicht, krieg gerade wieder nen lächeln im gesicht!!! finde es echt spektakulär welch wissen in manchen hirnwindungen steckt!!!!  so dit sind die infos die ich erhalten habe: Deckard's System Scanner v20070809.63 Run by Stefan Baetke on 2007-08-15 at 11:46:20 Computer is in Normal Mode. -------------------------------------------------------------------------------- -- System Restore -------------------------------------------------------------- Successfully created a Deckard's System Scanner Restore Point. -- Last 4 Restore Point(s) -- 4: 2007-08-15 09:46:24 UTC - RP4 - Deckard's System Scanner Restore Point 3: 2007-08-15 08:16:53 UTC - RP3 - Software Distribution Service 3.0 2: 2007-08-14 22:58:19 UTC - RP2 - Software Distribution Service 3.0 1: 2007-08-14 22:41:22 UTC - RP1 - Systemprüfpunkt Backed up registry hives. Performed disk cleanup. -- HijackThis (run as +++++++.exe) --------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 11:46:52, on 15.08.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\cidaemon.exe C:\Dokumente und Einstellungen\+++++++\Desktop\dss.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\PROGRA~1\HIJACK~1\++++++++.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" O4 - HKLM\..\Run: [Ashampoo AntiSpyWare Guard] C:\Programme\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab[/url] O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://download.bitdefender.com/resources/scan8/oscan8.cab[/url] O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - h**p://messenger.zone.msn.com/binary/ZIntro.cab56649.cab[/url] O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab[/url] O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - h**p://messenger.zone.msn.com/binary/Chess.cab57176.cab[/url] O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- HijackThis Fixed Entries (C:\PROGRA~1\HIJACK~1\backups\) -------------------- backup-20061222-012821-918 O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) backup-20061222-012822-186 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL backup-20061222-012822-371 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL backup-20061222-012822-498 O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://download.bitdefender.com/resources/scan8/oscan8.cab backup-20061222-012822-642 O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) backup-20070114-180121-326 O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- File Associations ----------------------------------------------------------- .txt - txtfile - DefaultIcon - C:\WINDOWS\Icons\Windows-Black\Windows Black.icl,26 -- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------- R0 snapman (Acronis Snapshots Manager) - c:\windows\system32\drivers\snapman.sys <Not Verified; Acronis; Acronis Snapshot API> R0 sr (Filtertreiber für Systemwiederherstellung) - c:\windows\\systemroot\system32\drivers\sr.sys (file missing) R3 Pcouffin (VSO Software pcouffin) - c:\windows\system32\drivers\pcouffin.sys <Not Verified; VSO Software; Patin couffin engine> S1 InCDPass - c:\windows\system32\drivers\incdpass.sys (file missing) S1 InCDRm (InCD Reader) - c:\windows\system32\drivers\incdrm.sys (file missing) S3 AMDPCI - c:\dokume~1\stefan~1\lokale~1\temp\amdpci.sys (file missing) S3 amdtools (AMD Special Tools Driver) - c:\windows\system32\drivers\amdtools.sys (file missing) S3 EagleNT - c:\windows\system32\drivers\eaglent.sys (file missing) S3 TVICHW32 - c:\windows\system32\drivers\tvichw32.sys <Not Verified; EnTech Taiwan; TVicHW32 Generic Device Driver for Windows 95/98/ME/NT/2000/2003/XP/XP64> S3 WpdUsb - c:\windows\system32\drivers\wpdusb.sys (file missing) S4 InCDFs (InCD File System) - c:\windows\system32\drivers\incdfs.sys (file missing) -- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled -------------------- S3 ServiceLayer - "c:\programme\pc connectivity solution\servicelayer.exe" <Not Verified; Nokia.; PC Connectivity Solution> -- Device Manager: Disabled ---------------------------------------------------- No disabled devices found. -- Scheduled Tasks ------------------------------------------------------------- 2007-07-20 17:15:43 412 --a------ C:\WINDOWS\Tasks\1-Klick-Wartung.job -- Files created between 2007-07-15 and 2007-08-15 ----------------------------- 2007-08-15 10:36:03 0 dr-h----- C:\Dokumente und Einstellungen\++++++\Recent 2007-08-15 10:20:31 0 d-------- C:\WINDOWS\Prefetch 2007-08-15 01:00:58 0 d-------- C:\Programme\MSXML 6.0 2007-08-15 00:39:10 81976 --a------ C:\WINDOWS\winsbak2.reg 2007-08-15 00:39:10 11026 --a------ C:\WINDOWS\winsbak.reg 2007-08-15 00:39:08 0 d-------- C:\Dokumente und Einstellungen\LocalService\Vorlagen 2007-08-15 00:39:08 0 d-------- C:\Dokumente und Einstellungen\LocalService\Startmenü 2007-08-15 00:39:08 0 d-------- C:\Dokumente und Einstellungen\LocalService\Dokumente 2007-08-15 00:39:08 0 d-------- C:\Dokumente und Einstellungen\LocalService\Desktop 2007-08-15 00:39:07 0 d-------- C:\Dokumente und Einstellungen\NetworkService\Desktop 2007-08-15 00:39:02 0 d-------- C:\Programme\Gemeinsame Dateien\MicroWorld 2007-08-15 00:38:40 43520 --a------ C:\WINDOWS\killproc.exe <Not Verified; MicroWorld Technologies Inc.; KILLPROC> 2007-08-15 00:38:31 126976 --a------ C:\WINDOWS\system32\mwnsp.dll <Not Verified; MicroWorld Technologies Inc.; MicroWorld Internet Traffic Scanner> 2007-08-15 00:38:31 1044480 --a------ C:\WINDOWS\system32\contfilt.dll <Not Verified; MicroWorld Technologies Inc.; contfilt> 2007-08-15 00:38:30 7680 --a------ C:\WINDOWS\sporder.exe <Not Verified; Microsoft Corporation; Microsoft(R) Windows NT(R) Operating System> 2007-08-15 00:38:30 9488 --a------ C:\WINDOWS\sporder.dll <Not Verified; Microsoft Corporation; Microsoft(R) Windows NT(R) Operating System> 2007-08-15 00:38:29 130560 --a------ C:\WINDOWS\system32\ZIPDLL.DLL <Not Verified; ; BCB/Delphi Zip> 2007-08-15 00:38:29 125440 --a------ C:\WINDOWS\system32\UNZDLL.DLL <Not Verified; ; BCB/Delphi UnZip> 2007-08-15 00:38:28 356352 --a------ C:\WINDOWS\system32\mwtsp.dll <Not Verified; MicroWorld Technologies Inc.; MicroWorld Internet Traffic Scanner> 2007-08-15 00:38:28 44032 --a------ C:\WINDOWS\inst_tsp.exe <Not Verified; MicroWorld Technologies Inc.; eScan/MailScan/eConceal/X-Spam> 2007-08-15 00:38:26 0 d-------- C:\WINDOWS\system32\FLCSS.EXE 2007-08-15 00:08:18 23600 --a------ C:\WINDOWS\system32\drivers\TVICHW32.SYS <Not Verified; EnTech Taiwan; TVicHW32 Generic Device Driver for Windows 95/98/ME/NT/2000/2003/XP/XP64> 2007-08-14 17:27:24 0 dr------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien 2007-08-14 16:49:36 0 dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten 2007-08-14 15:49:26 82258 --a------ C:\WINDOWS\system32\drivers\klin.dat 2007-08-14 15:49:26 82258 --a------ C:\WINDOWS\system32\drivers\klick.dat 2007-08-14 15:48:55 0 d-------- C:\Programme\Kaspersky Lab 2007-08-14 15:48:53 73248 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2007-08-14 15:48:53 2290208 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2007-08-03 04:05:00 0 d-------- C:\Programme\Deadhunt 2007-08-03 03:46:50 0 d-------- C:\Programme\Ultimate Mortal Kombat 3 2007-08-03 03:29:11 0 d-------- C:\Programme\Passware 2007-07-30 23:11:08 0 d-------- C:\Programme\Windows Live 2007-07-30 23:11:08 0 d-------- C:\Programme\Messenger Plus! Live 2007-07-30 23:09:03 0 d-------- C:\Programme\MSN Messenger 2007-07-30 17:09:46 0 d-------- C:\Programme\JetAudio 2007-07-30 17:09:46 0 d-------- C:\Programme\Gemeinsame Dateien\COWON 2007-07-27 16:03:37 0 d-------- C:\Programme\Macrogaming 2007-07-19 15:18:39 0 d-------- C:\WINDOWS\system32\NtmsData 2007-07-19 01:30:02 2322432 --a------ C:\WINDOWS\system32\TUKernel.exe <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2007-07-19 01:15:22 0 d--h----- C:\WINDOWS\Icons 2007-07-18 12:42:26 0 d-------- C:\Programme\ICQ6 2007-07-18 12:34:37 0 d-------- C:\WINDOWS\aod 2007-07-18 12:03:16 0 d-------- C:\Programme\ICQToolbar 2007-07-15 16:34:53 552 --a------ C:\WINDOWS\system32\d3d8caps.dat 2007-07-15 14:40:58 0 d-------- C:\WINDOWS\BDOSCAN8 2007-07-15 14:06:28 0 d-------- C:\Programme\Made on a PC -- Find3M Report --------------------------------------------------------------- 2007-08-15 10:16:36 0 d-------- C:\Programme\ElcomSoft 2007-08-15 00:08:16 2214 --a------ C:\WINDOWS\mozver.dat 2007-08-14 17:44:05 0 d-------- C:\Dokumente und Einstellungen\+++++++++\Anwendungsdaten\Azureus 2007-08-14 14:52:15 0 d-------- C:\Programme\PeerGuardian2 2007-08-12 13:03:33 0 d-------- C:\Programme\TuneUp Utilities 2007 2007-08-02 23:30:05 0 d-------- C:\Dokumente und Einstellungen\++++++++\Anwendungsdaten\VSO_HWE 2007-08-02 23:06:38 0 d-------- C:\Dokumente und Einstellungen\++++++\Anwendungsdaten\CopyToDvd 2007-08-02 23:04:52 0 d-------- C:\Dokumente und Einstellungen\+++++++++\Anwendungsdaten\Vso 2007-08-02 22:49:03 34 --a------ C:\Dokumente und Einstellungen\++++++++\Anwendungsdaten\pcouffin.log 2007-08-02 22:48:55 47360 --a------ C:\Dokumente und Einstellungen\++++++++\Anwendungsdaten\pcouffin.sys <Not Verified; VSO Software; Patin couffin engine> 2007-08-02 22:48:55 1144 --a------ C:\Dokumente und Einstellungen\+++++++\Anwendungsdaten\pcouffin.inf 2007-08-02 22:48:55 7887 --a------ C:\Dokumente und Einstellungen\++++++++\Anwendungsdaten\pcouffin.cat 2007-08-02 22:48:45 0 d-------- C:\Programme\vso 2007-07-31 13:52:05 0 d-------- C:\Programme\StarOffice7 2007-07-30 17:32:06 0 d-------- C:\Dokumente und Einstellungen\++++++++\Anwendungsdaten\COWON 2007-07-30 17:09:46 0 d--h----- C:\Programme\InstallShield Installation Information 2007-07-30 17:09:46 0 d-------- C:\Programme\Gemeinsame Dateien 2007-07-30 16:28:28 0 d-------- C:\Programme\Windows Media Connect 2 2007-07-30 16:26:36 0 d-------- C:\Programme\Microsoft ActiveSync 2007-07-22 23:31:20 65967 --a------ C:\Dokumente und Einstellungen\++++++++\Anwendungsdaten\NMM-MetaData.db 2007-07-19 15:22:18 81920 --a------ C:\Dokumente und Einstellungen\++++++++\Anwendungsdaten\ezpinst.exe 2007-07-19 15:22:07 0 d-------- C:\Programme\Elaborate Bytes 2007-07-18 12:47:32 0 d-------- C:\Dokumente und Einstellungen\++++++++\Anwendungsdaten\ICQ 2007-07-18 12:41:51 0 d-------- C:\Dokumente und Einstellungen\++++++++\Anwendungsdaten\InstallShield 2007-07-18 12:34:38 457 --a------ C:\Programme\INSTALL.LOG 2007-07-15 14:29:48 0 d-------- C:\Programme\PC Connectivity Solution 2007-07-08 14:55:04 0 d-------- C:\Dokumente und Einstellungen\+++++++\Anwendungsdaten\Help 2007-07-07 11:02:40 0 d-------- C:\Programme\Gemeinsame Dateien\ATI Technologies 2007-07-07 05:47:36 0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2007-07-07 03:36:37 0 d-------- C:\Programme\Gemeinsame Dateien\Panda Software 2007-07-06 22:08:02 0 d-------- C:\Programme\JavaSoft 2007-07-06 21:44:19 0 d-------- C:\Programme\CCleaner 2007-07-06 21:41:20 0 d-------- C:\Dokumente und Einstellungen\++++++++\Anwendungsdaten\CDZilla 2007-07-04 23:45:33 0 d-------- C:\Programme\Online-Dienste 2007-07-02 15:52:58 0 d-------- C:\Programme\Gemeinsame Dateien\Adobe 2007-06-13 14:29:00 520192 -----n--- C:\WINDOWS\system32\ati2sgag.exe <Not Verified; ; ATI Smart> 2007-05-22 23:05:48 405448 --a------ C:\WINDOWS\system32\perfh007.dat 2007-05-22 23:05:48 70778 --a------ C:\WINDOWS\system32\perfc007.dat -- Registry Dump --------------------------------------------------------------- *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AVP"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [20.06.2007 13:04] "Ashampoo AntiSpyWare Guard"="C:\Programme\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe" [15.09.2006 02:30] [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "PcSync"=C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "SynchronousMachineGroupPolicy"=0 (0x0) "SynchronousUserGroupPolicy"=0 (0x0) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ClearRecentDocsOnExit"=1 (0x1) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}] @="Volume shadow copy" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp -- End of Deckard's System Scanner: finished at 2007-08-15 at 11:48:42 --------- |
|
15.08.2007, 11:47
| #8 |
| > MalwareDB | Rechner verseucht??? Lösche folgende Dateien/Ordner C:\WINDOWS\winsbak2.reg C:\WINDOWS\winsbak.reg C:\WINDOWS\system32\FLCSS.EXE (Ordner) Lade Dir die complete.bat wie hier beschrieben und poste die Logs. Bata |
|
| Themen zu Rechner verseucht??? |
| antispyware, antivir, backdoor, backdoor trojaner, canon, confused, dateien, explorer.exe, firefox, frage, hijack, hijackthis, hotkey, icq, internet, internet explorer, kaspersky, logon.exe, microsoft, mozilla, mozilla firefox, object, programme, prozesse, rechner verseucht, software, solution, trojaner, träge, windows, windows xp, winlogon.exe |
Hybrid-Darstellung
