|
Plagegeister aller Art und deren Bekämpfung: Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSGWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
17.08.2007, 21:06 | #1 |
| Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG Hallo Wissende, Habe mir wie es scheint einiges eingefangen, was ich jetzt nicht mehr los bekomme. Die oben genannten Programme werden von meinen Virenprogramme immer wieder gefunden und können nicht gelöscht werden. Habs auch schon mit KillBox versucht, aber ohne erfolg. Der Infostealer wird von meinem Norton angezeigt, was anscheinend ein häufiges Problem ist, wie ich bereits hier im Forum gelesen hab. Der Spy.Banker.CSG wird von meinem AntiVir gefunden und kann ebenfalls nicht gelöscht werden. Der Fundort ist dabei bei allen gleich und zwar \Windows\Temp\"Dateiname".tmp Da ich auf diesem Gebiet nicht wirklich viel Erfahrung habe, bitte ich um Nachsicht, falls ich wichtige Details oder Infos noch nicht gepostet hab, aber werde mein bestes tun. Habt ihr da eine Idee was zu tun ist? Danke schon im Voraus! Gruß Georg |
18.08.2007, 01:59 | #2 |
/// TB-Ausbilder | Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG Hi,
__________________erstelle bitte erstmal ein HJT-Log. Die Anleitung befindet sich in der FAQ. Desweiteren würde ich dir empfehlen Onlinebanking auf jedenfall Ruhen zu lassen, bis wir geklärt haben was auf deinem Rechner und das Konto evtl sperren zu lassen. Laut avira schreibt der Trojaner auch deine Passwörter anderer Konten, sowie evtl Systeminformationen mit. Solltest du also einen 2. Rechner zu Hand haben, dann würde ich dir empfehlen, den befallenen Rechner erstmal vom Netz zu nehmen und die Logs über den 2. Rechner zu posten. lg myrtille |
18.08.2007, 02:37 | #3 |
| Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG Hallo,
__________________hab alles soweit befolgt und bin jetzt mit meinem alten Comp online. Hier is das HJT-Log. Hoffe ihr könnt was finden ohne dass ich meinen Rechner neu aufsetzen muss. Logfile of HijackThis v1.99.1 Scan saved at 03:23:37, on 18.08.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe c:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Winamp\winampa.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\CameraFixer.exe C:\WINDOWS\vsnpstd.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe C:\Programme\Roxio\Media Experience\DMXLauncher.exe C:\Programme\Roxio\Drag-to-Disc\DrgToDsc.exe C:\Programme\PokerOffice\bin\javaw.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\svchost.exe C:\Programme\ASUS WiFi-AP Solo\RtWLan.exe C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE C:\Programme\PartyGaming\PartyGaming.exe C:\Programme\MySQL\MySQL Server 4.1\bin\mysqld.exe C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\Winamp\winamp.exe C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\FATALI~1\LOKALE~1\Temp\Rar$EX00.360\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - c:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - c:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: Microsoft Help - {B3A05538-8F91-49C1-8EE3-6EB142B41E2A} - C:\Programme\Microsoft Help\Microsoft.System.Help.Object.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - c:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - c:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [Ai Nap] "C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe" O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\System32\xRaidSetup.exe boot O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [POEngine] "C:\Programme\PokerOffice\POEngine.exe" C:\Programme\PokerOffice O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKLM\..\Run: [CameraFixer] C:\WINDOWS\CameraFixer.exe O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RoxWatchTray] "C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" O4 - HKLM\..\Run: [DMXLauncher] "C:\Programme\Roxio\Media Experience\DMXLauncher.exe" O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Drag-to-Disc\DrgToDsc.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe" O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - c:\Programme\Norton Internet Security\ccPwdSvc.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Programme\Norton Internet Security\comHost.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing) O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - c:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing) O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Sonic Shared\RoxioUPnPRenderer9.exe O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Sonic Shared\RoxioUpnpService9.exe O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - c:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe Gruß Georg |
18.08.2007, 02:45 | #4 |
/// TB-Ausbilder | Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG Hi, im Log ist soweit nichts zu sehen. Was positiv sein kann aber nicht muss. Insbesondere da 2 Antivirenscanner die Datei gefunden haben. Mache daher mal folgendes: 1)eScan(Die find.bat einfach per rechtsklick und "speichern unter" runterladen, in 12. den Teil mit der find.zip ignorieren und gleich bei der find.bat weitermachen.) 2)Blacklight 3)silentrunner-log Stelle alle Logs hier rein, sollten diese auch alle (!) sauber sein, dürfte es sich um Fehlalarme handeln. Entscheide dich bitte noch für ein Antivirenprogramm. 2 Programme können zu einem komplett zerstörten System führen. lg myrtille |
18.08.2007, 03:11 | #5 |
| Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG Ich weiß nicht, wie ich das Protokoll von escan posten soll, da es bei weitem zu groß ist. "Silent Runners.vbs", revision 52, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "Skype" = ""C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."] "MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS] "ICQ" = ""C:\Programme\ICQ6\ICQ.exe" silent" ["ICQ, Inc."] "DAEMON Tools Pro Agent" = ""C:\Programme\DAEMON Tools Pro\DTProAgent.exe"" ["DT Soft Ltd."] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "Ai Nap" = ""C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe"" [null data] "SoundMAX" = ""C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray" ["Analog Devices, Inc."] "JMB36X IDE Setup" = "C:\WINDOWS\RaidTool\xInsIDE.exe" [null data] "36X Raid Configurer" = "C:\WINDOWS\System32\xRaidSetup.exe boot" ["JMicron Technology Corp."] "SoundMAXPnP" = "C:\Programme\Analog Devices\Core\smax4pnp.exe" ["Analog Devices, Inc."] "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "POEngine" = ""C:\Programme\PokerOffice\POEngine.exe" C:\Programme\PokerOffice" [null data] "avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] "WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data] "Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"] "ccApp" = ""c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"] "Symantec PIF AlertEng" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"" ["Symantec Corporation"] "CameraFixer" = "C:\WINDOWS\CameraFixer.exe" [empty string] "snpstd" = "C:\WINDOWS\vsnpstd.exe" [empty string] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "RoxWatchTray" = ""C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"" ["Sonic Solutions"] "DMXLauncher" = ""C:\Programme\Roxio\Media Experience\DMXLauncher.exe"" [null data] "RoxioDragToDisc" = ""C:\Programme\Roxio\Drag-to-Disc\DrgToDsc.exe"" ["Roxio"] "SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"" ["Sun Microsystems, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {02478D38-C3F9-4EFB-9B51-7695ECA05670}\(Default) = (no title provided) -> {HKLM...CLSID} = "Yahoo! Toolbar Helper" \InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {22BF413B-C6D2-4d91-82A9-A0F997BA588C}\(Default) = (no title provided) -> {HKLM...CLSID} = "Skype add-on (mastermind)" \InProcServer32\(Default) = "C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll" ["Skype Technologies S.A."] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."] {9ECB9560-04F9-4bbc-943D-298DDF1699E1}\(Default) = "Norton Internet Security 2006" -> {HKLM...CLSID} = "CNisExtBho Class" \InProcServer32\(Default) = "c:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll" ["Symantec Corporation"] {A8F38D8D-E480-4D52-B7A2-731BB6995FDD}\(Default) = "NAV Helper" -> {HKLM...CLSID} = "CNavExtBho Class" \InProcServer32\(Default) = "c:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Helper" \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"] {B3A05538-8F91-49C1-8EE3-6EB142B41E2A}\(Default) = (no title provided) -> {HKLM...CLSID} = "Microsoft Help" \InProcServer32\(Default) = "C:\Programme\Microsoft Help\Microsoft.System.Help.Object.dll" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{EFA24E62-B078-11d0-89E4-00C04FC9E26E}" = "History Band" -> {HKLM...CLSID} = "History Band" \InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung" \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{0FB82570-BB2D-23D3-8D3B-AC2F34F1FA3C}" = "RXDCExtShlExt extension" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Roxio\Virtual Drive 9\DC_ShellExt.dll" ["Sonic Solutions"] "{5E44E225-A408-11CF-B581-008029601108}" = "Roxio DragToDisc Shell Extension" -> {HKLM...CLSID} = "Roxio DragToDisc Shell Extension" \InProcServer32\(Default) = "C:\Programme\Roxio\Drag-to-Disc\Shellex.dll" ["Roxio"] HKLM\Software\Classes\PROTOCOLS\Filter\ <<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ DaemonShellExtImage\(Default) = "{40966797-8FFE-46C8-9EF8-7003F33CCF0F}" -> {HKLM...CLSID} = "DaemonShellExtImage Class" \InProcServer32\(Default) = "C:\Programme\DAEMON Tools Pro\imgshl32.dll" ["DT Soft Ltd."] RXDCExtSvr\(Default) = "{0FB82570-BB2D-23D3-8D3B-AC2F34F1FA3C}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Roxio\Virtual Drive 9\DC_ShellExt.dll" ["Sonic Solutions"] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}" -> {HKLM...CLSID} = "IEContextMenu Class" \InProcServer32\(Default) = "c:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ RXDCExtSvr\(Default) = "{0FB82570-BB2D-23D3-8D3B-AC2F34F1FA3C}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Roxio\Virtual Drive 9\DC_ShellExt.dll" ["Sonic Solutions"] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}" -> {HKLM...CLSID} = "IEContextMenu Class" \InProcServer32\(Default) = "c:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Fataliton\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\system32\UC3D.scr" [file not found] Startup items in "Fataliton" & "All Users" startup folders: ----------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "ASUS WiFi-AP Solo" -> shortcut to: "C:\Programme\ASUS WiFi-AP Solo\RtWLan.exe /H" ["ASUSTek Computer Inc."] "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS] Enabled Scheduled Tasks: ------------------------ "At1" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found] "At10" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found] "At11" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found] "At12" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found] "At13" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found] "At14" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found] "At15" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found] "At16" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found] "At17" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found] "At18" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found] "At19" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found] "At2" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found] "At20" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found] "At21" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found] "At22" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found] "At23" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found] "At24" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found] "At3" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found] "At4" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found] "At5" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found] "At6" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found] "At7" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found] "At8" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found] "At9" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found] "Norton AntiVirus - Run Full System Scan - Fataliton" -> launches: "c:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exe /TASK:"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Tasks\mycomp.sca"" ["Symantec Corporation"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"] "{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}" -> {HKLM...CLSID} = "Norton Internet Security 2006" \InProcServer32\(Default) = "c:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll" ["Symantec Corporation"] "{C4069E3A-68F1-403E-B40E-20066696354B}" -> {HKLM...CLSID} = "Norton AntiVirus" \InProcServer32\(Default) = "c:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided) -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"] "{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}" = "Norton Internet Security 2006" -> {HKLM...CLSID} = "Norton Internet Security 2006" \InProcServer32\(Default) = "c:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll" ["Symantec Corporation"] "{C4069E3A-68F1-403E-B40E-20066696354B}" = "Norton AntiVirus" -> {HKLM...CLSID} = "Norton AntiVirus" \InProcServer32\(Default) = "c:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided) -> {HKLM...CLSID} = "Yahoo! Toolbar mit Pop-Up-Blocker" \InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBC}" -> {HKLM...CLSID} = "Java Plug-in 1.6.0_02" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll" ["Sun Microsystems, Inc."] {77BF5300-1474-4EC7-9980-D32B190E9B07}\ "ButtonText" = "Skype" "CLSIDExtension" = "{77BF5300-1474-4EC7-9980-D32B190E9B07}" -> {HKLM...CLSID} = "Skype add-on (button)" \InProcServer32\(Default) = "C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll" ["Skype Technologies S.A."] {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}\ "ButtonText" = "PartyPoker.com" "MenuText" = "PartyPoker.com" "Exec" = "C:\Programme\PartyGaming\PartyPoker\RunApp.exe" [empty string] {E2E2DD38-D088-4134-82B7-F2BA38496583}\ "MenuText" = "@xpsp3res.dll,-20001" "Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS] {E59EB121-F339-4851-A3BA-FE49C35617C2}\ "ButtonText" = "ICQ6" "MenuText" = "ICQ6" "Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Miscellaneous IE Hijack Points ------------------------------ HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\ <<H>> "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided) -> {HKLM...CLSID} = "Yahoo! Toolbar mit Pop-Up-Blocker" \InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"] AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"] Automatic LiveUpdate Scheduler, Automatic LiveUpdate Scheduler, ""C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe"" ["Symantec Corporation"] LiveUpdate Notice Service, LiveUpdate Notice Service, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll"" ["Symantec Corporation"] Norton AntiVirus Auto-Protect Service, navapsvc, ""c:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe"" ["Symantec Corporation"] Norton Protection Center Service, NSCService, ""c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE"" ["Symantec Corporation"] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] Roxio Hard Drive Watcher 9, RoxWatch9, ""C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe"" ["Sonic Solutions"] RoxMediaDB9, RoxMediaDB9, ""C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe"" ["Sonic Solutions"] Symantec Core LC, Symantec Core LC, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe"" ["Symantec Corporation"] Symantec Event Manager, ccEvtMgr, ""c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"" ["Symantec Corporation"] Symantec Network Drivers Service, SNDSrvc, ""c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe"" ["Symantec Corporation"] Symantec Network Proxy, ccProxy, ""c:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe"" ["Symantec Corporation"] Symantec Settings Manager, ccSetMgr, ""c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"" ["Symantec Corporation"] Symantec SPBBCSvc, SPBBCSvc, ""c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe"" ["Symantec Corporation"] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] ---------- (launch time: 2007-08-18 03:52:30) <<!>>: Suspicious data at a malware launch point. <<H>>: Suspicious data at a browser hijack point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 28 seconds, including 5 seconds for message boxes) -------------------------------------------------------------------------- Blacklight hat nix gefunden. Oh Mann! Gut, dass sich einige damit auskennen! Beste Grüße Georg PS: Wie gesagt, sollten weitere Infos nötig sein bitte sagen. Ich tu was ich kann, hab aber mit Viren und deren Analyse etc. keine Erfahrung. |
18.08.2007, 14:05 | #6 |
/// TB-Ausbilder | Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG Hi, hast du denn die find.bat entsprechend der Anleitung benutzt um das Log zusammenzustutzen? lg myrtillle |
18.08.2007, 18:04 | #7 |
| Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG Hey, hab Escan jetzt nochmal im abgesicherten Modus durchgeführt und auch sonst alles dazu gelesen was ich finden konnte. Leider weiß ich nicht, wie ich diese find.bat anwenden soll, da es ja nur eine Textdatei ist (zumindest dieser Link: http://files.trojaner-board.de/find.bat). Könntest du mir das bitte nochmal etwas erklären? Gruß Georg |
18.08.2007, 18:13 | #8 |
| Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG Hallo speichere dir die Datei mit rechtsklick "Ziel speichern unter" auf deinen Rechner und führe sie dann nach Anleitung aus. MFG |
18.08.2007, 19:24 | #9 |
| Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.3.7 Sprache: German C:\DOKUME~1\FATALI~1\LOKALE~1\Temp\MWAV.LOG ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen. |
18.08.2007, 19:26 | #10 |
| Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen. System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen. System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\Programme\save\saveuninst.exe)! Action taken: Keine Aktion vorgenommen. System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: Keine Aktion vorgenommen. System found infected with w32.rontokbro.d@mm Worm (C:\WINDOWS\tasks\at1.job)! Action taken: Keine Aktion vorgenommen. System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen. System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen. System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen. System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\Programme\save\saveuninst.exe)! Action taken: Keine Aktion vorgenommen. System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: Keine Aktion vorgenommen. System found infected with w32.rontokbro.d@mm Worm (C:\WINDOWS\tasks\at1.job)! Action taken: Keine Aktion vorgenommen. System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen. System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\Programme\save\save.exe)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\Programme\save\saveuninst.exe)! Action taken: Keine Aktion vorgenommen. System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: Keine Aktion vorgenommen. System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen. System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen. System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen. System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\Programme\save\saveuninst.exe)! Action taken: Keine Aktion vorgenommen. System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: Keine Aktion vorgenommen. System found infected with w32.rontokbro.d@mm Worm (C:\WINDOWS\tasks\at1.job)! Action taken: Keine Aktion vorgenommen. System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen. System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen. System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen. System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\Programme\save\saveuninst.exe)! Action taken: Keine Aktion vorgenommen. System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: Keine Aktion vorgenommen. System found infected with w32.rontokbro.d@mm Worm (C:\WINDOWS\tasks\at1.job)! Action taken: Keine Aktion vorgenommen. System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen. System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\Programme\save\save.exe)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\Programme\save\saveuninst.exe)! Action taken: Keine Aktion vorgenommen. System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: Keine Aktion vorgenommen. System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen. System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen. System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen. System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\Programme\save\saveuninst.exe)! Action taken: Keine Aktion vorgenommen. System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: Keine Aktion vorgenommen. System found infected with w32.rontokbro.d@mm Worm (C:\WINDOWS\tasks\at1.job)! Action taken: Keine Aktion vorgenommen. System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen. System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen. System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen. System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\Programme\save\saveuninst.exe)! Action taken: Keine Aktion vorgenommen. System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: Keine Aktion vorgenommen. System found infected with w32.rontokbro.d@mm Worm (C:\WINDOWS\tasks\at1.job)! Action taken: Keine Aktion vorgenommen. System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen. System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\Programme\save\save.exe)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\Programme\save\saveuninst.exe)! Action taken: Keine Aktion vorgenommen. System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: Keine Aktion vorgenommen. System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen. System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen. System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen. System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\Programme\save\saveuninst.exe)! Action taken: Keine Aktion vorgenommen. System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: Keine Aktion vorgenommen. System found infected with w32.rontokbro.d@mm Worm (C:\WINDOWS\tasks\at1.job)! Action taken: Keine Aktion vorgenommen. System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen. System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen. System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen. System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\Programme\save\saveuninst.exe)! Action taken: Keine Aktion vorgenommen. System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: Keine Aktion vorgenommen. System found infected with w32.rontokbro.d@mm Worm (C:\WINDOWS\tasks\at1.job)! Action taken: Keine Aktion vorgenommen. System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen. System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\Programme\save\save.exe)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\Programme\save\saveuninst.exe)! Action taken: Keine Aktion vorgenommen. System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: Keine Aktion vorgenommen. |
18.08.2007, 19:27 | #11 |
| Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\Programme\Save\Save.exe markiert als "not-a-virus:AdTool.Win32.WhenU.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Programme\Save\Save.exe markiert als "not-a-virus:AdTool.Win32.WhenU.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\32AA27C7.dll//CryptFF//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.BHO.cz". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\Fataliton\.housecall6.6\Quarantine\ACM.dll.bac_a05036//CryptFF.b markiert als "not-a-virus:AdTool.Win32.WhenU.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Programme\Save\Save.exe markiert als "not-a-virus:AdTool.Win32.WhenU.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Programme\Save\Save.exe markiert als "not-a-virus:AdTool.Win32.WhenU.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\32AA27C7.dll//CryptFF//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.BHO.cz". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\Fataliton\.housecall6.6\Quarantine\ACM.dll.bac_a05036//CryptFF.b markiert als "not-a-virus:AdTool.Win32.WhenU.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Programme\Save\Save.exe markiert als "not-a-virus:AdTool.Win32.WhenU.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Programme\Save\Save.exe markiert als "not-a-virus:AdTool.Win32.WhenU.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\32AA27C7.dll//CryptFF//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.BHO.cz". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\Fataliton\.housecall6.6\Quarantine\ACM.dll.bac_a05036//CryptFF.b markiert als "not-a-virus:AdTool.Win32.WhenU.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Programme\Save\Save.exe markiert als "not-a-virus:AdTool.Win32.WhenU.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Programme\Save\Save.exe markiert als "not-a-virus:AdTool.Win32.WhenU.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\32AA27C7.dll//CryptFF//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.BHO.cz". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\Fataliton\.housecall6.6\Quarantine\ACM.dll.bac_a05036//CryptFF.b markiert als "not-a-virus:AdTool.Win32.WhenU.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\miktex 2.6\miktex on the web\support.url Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\miktex 2.6\miktex on the web\support.url Offending file found: C:\WINDOWS\system32\gdiplus.dll Offending file found: C:\WINDOWS\system32\unrar.dll Offending file found: C:\Programme\save\saveuninst.exe Offending file found: C:\WINDOWS\tasks\at1.job Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\miktex 2.6\miktex on the web\support.url Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\miktex 2.6\miktex on the web\support.url Offending file found: C:\WINDOWS\system32\gdiplus.dll Offending file found: C:\WINDOWS\system32\unrar.dll Offending file found: C:\Programme\save\saveuninst.exe Offending file found: C:\WINDOWS\tasks\at1.job Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\miktex 2.6\miktex on the web\support.url Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\miktex 2.6\miktex on the web\support.url Offending file found: C:\WINDOWS\system32\gdiplus.dll Offending file found: C:\WINDOWS\system32\unrar.dll Offending file found: C:\Programme\save\save.exe Offending file found: C:\Programme\save\saveuninst.exe Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\miktex 2.6\miktex on the web\support.url Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\miktex 2.6\miktex on the web\support.url Offending file found: C:\WINDOWS\system32\gdiplus.dll Offending file found: C:\WINDOWS\system32\unrar.dll Offending file found: C:\Programme\save\saveuninst.exe Offending file found: C:\WINDOWS\tasks\at1.job Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\miktex 2.6\miktex on the web\support.url Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\miktex 2.6\miktex on the web\support.url Offending file found: C:\WINDOWS\system32\gdiplus.dll Offending file found: C:\WINDOWS\system32\unrar.dll Offending file found: C:\Programme\save\saveuninst.exe Offending file found: C:\WINDOWS\tasks\at1.job Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\miktex 2.6\miktex on the web\support.url Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\miktex 2.6\miktex on the web\support.url Offending file found: C:\WINDOWS\system32\gdiplus.dll Offending file found: C:\WINDOWS\system32\unrar.dll Offending file found: C:\Programme\save\save.exe Offending file found: C:\Programme\save\saveuninst.exe Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\miktex 2.6\miktex on the web\support.url Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\miktex 2.6\miktex on the web\support.url Offending file found: C:\WINDOWS\system32\gdiplus.dll Offending file found: C:\WINDOWS\system32\unrar.dll Offending file found: C:\Programme\save\saveuninst.exe Offending file found: C:\WINDOWS\tasks\at1.job Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\miktex 2.6\miktex on the web\support.url Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\miktex 2.6\miktex on the web\support.url Offending file found: C:\WINDOWS\system32\gdiplus.dll Offending file found: C:\WINDOWS\system32\unrar.dll Offending file found: C:\Programme\save\saveuninst.exe Offending file found: C:\WINDOWS\tasks\at1.job Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\miktex 2.6\miktex on the web\support.url Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\miktex 2.6\miktex on the web\support.url Offending file found: C:\WINDOWS\system32\gdiplus.dll Offending file found: C:\WINDOWS\system32\unrar.dll Offending file found: C:\Programme\save\save.exe Offending file found: C:\Programme\save\saveuninst.exe Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\miktex 2.6\miktex on the web\support.url Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\miktex 2.6\miktex on the web\support.url Offending file found: C:\WINDOWS\system32\gdiplus.dll Offending file found: C:\WINDOWS\system32\unrar.dll Offending file found: C:\Programme\save\saveuninst.exe Offending file found: C:\WINDOWS\tasks\at1.job Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\miktex 2.6\miktex on the web\support.url Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\miktex 2.6\miktex on the web\support.url Offending file found: C:\WINDOWS\system32\gdiplus.dll Offending file found: C:\WINDOWS\system32\unrar.dll Offending file found: C:\Programme\save\saveuninst.exe Offending file found: C:\WINDOWS\tasks\at1.job Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\miktex 2.6\miktex on the web\support.url Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\miktex 2.6\miktex on the web\support.url Offending file found: C:\WINDOWS\system32\gdiplus.dll Offending file found: C:\WINDOWS\system32\unrar.dll Offending file found: C:\Programme\save\save.exe Offending file found: C:\Programme\save\saveuninst.exe ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Anwendungsdaten\icq\bart\1024 Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\programme\whenu Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\Programme\whenu Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Anwendungsdaten\icq\bart\1024 Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\programme\whenu Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\Programme\whenu Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Anwendungsdaten\icq\bart\1024 Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\programme\whenu Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\Programme\whenu Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Anwendungsdaten\icq\bart\1024 Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\programme\whenu Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\Programme\whenu Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Anwendungsdaten\icq\bart\1024 Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\programme\whenu Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\Programme\whenu Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Anwendungsdaten\icq\bart\1024 Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\programme\whenu Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\Programme\whenu Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Anwendungsdaten\icq\bart\1024 Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\programme\whenu Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\Programme\whenu Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Anwendungsdaten\icq\bart\1024 Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\programme\whenu Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\Programme\whenu Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Anwendungsdaten\icq\bart\1024 Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\programme\whenu Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\Programme\whenu Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Anwendungsdaten\icq\bart\1024 Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\programme\whenu Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\Programme\whenu Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Anwendungsdaten\icq\bart\1024 Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\programme\whenu Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\Programme\whenu Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Anwendungsdaten\icq\bart\1024 Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\programme\whenu Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\Programme\whenu ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!! Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{742c5eb6-420e-11dc-8838-0015af0f108a} !!! Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!! Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{742c5eb6-420e-11dc-8838-0015af0f108a} !!! Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\whenusavemsg !!! Offending Key found: HKLM\Software\whenusave !!! Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!! Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\whenu !!! Offending Key found: HKCU\\wusn.1 !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{742c5eb6-420e-11dc-8838-0015af0f108a} !!! Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!! Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{742c5eb6-420e-11dc-8838-0015af0f108a} !!! Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!! Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{742c5eb6-420e-11dc-8838-0015af0f108a} !!! Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\whenusavemsg !!! Offending Key found: HKLM\Software\whenusave !!! Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!! Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\whenu !!! Offending Key found: HKCU\\wusn.1 !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{742c5eb6-420e-11dc-8838-0015af0f108a} !!! Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!! Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{742c5eb6-420e-11dc-8838-0015af0f108a} !!! Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!! Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{742c5eb6-420e-11dc-8838-0015af0f108a} !!! Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\whenusavemsg !!! Offending Key found: HKLM\Software\whenusave !!! Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!! Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\whenu !!! Offending Key found: HKCU\\wusn.1 !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{742c5eb6-420e-11dc-8838-0015af0f108a} !!! Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!! Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{742c5eb6-420e-11dc-8838-0015af0f108a} !!! Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!! Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{742c5eb6-420e-11dc-8838-0015af0f108a} !!! Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\whenusavemsg !!! Offending Key found: HKLM\Software\whenusave !!! Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!! Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\whenu !!! Offending Key found: HKCU\\wusn.1 !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{742c5eb6-420e-11dc-8838-0015af0f108a} !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\DOKUME~1\FATALI~1\LOKALE~1\Temp\BF2DVD\BF2 DVD_MINI.MDF nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\Fataliton\Lokale Einstellungen\Temp\BF2DVD\BF2 DVD_MINI.MDF nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\FATALI~1\LOKALE~1\Temp\BF2DVD\BF2 DVD_MINI.MDF nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\Fataliton\Lokale Einstellungen\Temp\BF2DVD\BF2 DVD_MINI.MDF nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\FATALI~1\LOKALE~1\Temp\BF2DVD\BF2 DVD_MINI.MDF nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\Fataliton\Lokale Einstellungen\Temp\BF2DVD\BF2 DVD_MINI.MDF nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\FATALI~1\LOKALE~1\Temp\BF2DVD\BF2 DVD_MINI.MDF nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\Fataliton\Lokale Einstellungen\Temp\BF2DVD\BF2 DVD_MINI.MDF nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 31151 Gescannte Dateien: 31157 Gescannte Dateien: 41758 Gescannte Dateien: 31151 Gescannte Dateien: 31157 Gescannte Dateien: 41758 Gescannte Dateien: 31151 Gescannte Dateien: 31157 Gescannte Dateien: 41758 Gescannte Dateien: 31151 Gescannte Dateien: 31157 Gescannte Dateien: 41758 Gefundene Viren: 17 Gefundene Viren: 17 Gefundene Viren: 24 Gefundene Viren: 17 Gefundene Viren: 17 Gefundene Viren: 24 Gefundene Viren: 17 Gefundene Viren: 17 Gefundene Viren: 24 Gefundene Viren: 17 Gefundene Viren: 17 Gefundene Viren: 24 Anzahl der desinfizierten Dateien: 0 Anzahl der desinfizierten Dateien: 0 Anzahl der desinfizierten Dateien: 0 Anzahl der desinfizierten Dateien: 0 Anzahl der desinfizierten Dateien: 0 Anzahl der desinfizierten Dateien: 0 Anzahl der desinfizierten Dateien: 0 Anzahl der desinfizierten Dateien: 0 Anzahl der desinfizierten Dateien: 0 Anzahl der desinfizierten Dateien: 0 Anzahl der desinfizierten Dateien: 0 Anzahl der desinfizierten Dateien: 0 Batchstart: 20:19:21,00 Batchende: 20:19:23,07 |
18.08.2007, 19:29 | #12 |
| Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG So hats mit der .bat Datei geklappt, aber die .txt Datei war immer noch zu groß zum posten, also hab ich sie in drei Teile gegliedert und gepostet, hoffe das war richtig so. Gruß Georg |
18.08.2007, 22:21 | #13 | |
/// TB-Ausbilder | Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG Hi, in deinem Log sind einige seltsame Dateien: Zitat:
Woher stammt dieser Ordner: C:\Dokumente und Einstellungen\Fataliton\.housecall6.6, kennst du housecall6.6? Wozu gehört der folgende Ordner: C:\Dokumente und Einstellungen\Fataliton\Startmenü\programme\whenu? Zum Programm Save? WhenUSave zufällig? Du hast eine Menge seltsamer Dateien an Board und mich wundert ehrlich gesagt, dass Blacklight nichts gefunden hat. Hänge daher bitte noch ein Log von combofix. Meine Gefühl würde sagen, dass der Trojaner tatsächlich auf deinem System ist. Dann würde ich dir empfehlen, den Rechner neuaufzusetzen und alle Passwörter zu ersetzen. Da es sehr unwahrscheinlich ist alle dazugehörigen Dateien zu finden. Sollten sich die Dateien als "harmlos", sprich zu anderer Malware gehörig, herausstellen und Combofix auch keine weiteren Anhaltspunkte geben, stehen die Chancen jedoch ganz gut, dass es sich doch um Fehlalarme deiner AVP handelt. (Ist die Meldung eigentlich nochmal aufgetaucht? Sollte erneut eine Datei bemängelt werden, dann lade diese bitte ebenfalls bei virustotal hoch und poste das Ergebnis hier) lg myrtille |
18.08.2007, 23:23 | #14 |
| Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG Die andern zwei Dateien find ich nicht, zumindest nicht am angegebenen Pfad. Noch eine Frage, wie schützt ihr denn eure Rechner vor unerwünschten eindringlingen? save.exe Datei Save.exe empfangen 2007.08.19 00:07:40 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 18/32 (56.25%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 4. Geschätzte Startzeit is zwischen 58 und 83 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.8.18.0 2007.08.18 - AntiVir 7.4.1.62 2007.08.18 - Authentium 4.93.8 2007.08.17 - Avast 4.7.1029.0 2007.08.17 Win32:Adware-gen. AVG 7.5.0.484 2007.08.18 - BitDefender 7.2 2007.08.18 Adware.Whenu.I CAT-QuickHeal 9.00 2007.08.18 AdTool.WhenU.i (Not a Virus) ClamAV 0.91 2007.08.18 Adware.WhenU-5 DrWeb 4.33 2007.08.18 - eSafe 7.0.15.0 2007.08.16 - eTrust-Vet 31.1.5069 2007.08.18 - Ewido 4.0 2007.08.18 - FileAdvisor 1 2007.08.19 Low threat detected Fortinet 2.91.0.0 2007.08.18 Adware/SaveNow F-Prot 4.3.2.48 2007.08.17 - F-Secure 6.70.13030.0 2007.08.17 - Ikarus T3.1.1.12 2007.08.18 not-a-virus:AdTool.Win32.WhenU.i Kaspersky 4.0.2.24 2007.08.18 - McAfee 5100 2007.08.17 potentially unwanted program Adware-SaveNow Microsoft 1.2803 2007.08.19 Adware:Win32/WhenU.SaveNow NOD32v2 2469 2007.08.18 probably a variant of Win32/Adware.WhenU.SaveNow Norman 5.80.02 2007.08.17 W32/SaveNow.WW Panda 9.0.0.4 2007.08.18 Adware/SaveNow Prevx1 V2 2007.08.19 Generic.Malware Rising 19.36.52.00 2007.08.18 - Sophos 4.20.0 2007.08.12 WhenU Sunbelt 2.2.907.0 2007.08.18 WhenU.Save Symantec 10 2007.08.18 Adware.Savenow TheHacker 6.1.8.170 2007.08.17 - VBA32 3.12.2.2 2007.08.17 Adware.Win32.WhenU.i VirusBuster 4.3.26:9 2007.08.18 - Webwasher-Gateway 6.0.1 2007.08.18 Riskware.AdTool.WhenU.I weitere Informationen File size: 803184 bytes MD5: 47754bf98fd5a4bc05c3b08221d6426a SHA1: c533f42fca267458c489077b8ddc12f1a64526fd Bit9 info: Bit9 FileAdvisor - Search Results Prevx info: SAVE.EXE Spyware Remove Sunbelt info: WhenU.SaveNow is an adware application that displays pop-up advertising on the desktop in response to users' web browsing. SaveUninst.exe Datei SaveUninst.exe empfangen 2007.08.19 00:16:05 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 14/32 (43.75%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 3. Geschätzte Startzeit is zwischen 52 und 75 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.8.18.0 2007.08.18 - AntiVir 7.4.1.62 2007.08.18 ADSPY/SaveNow.CI Authentium 4.93.8 2007.08.17 - Avast 4.7.1029.0 2007.08.17 - AVG 7.5.0.484 2007.08.18 Adware Generic.VHW BitDefender 7.2 2007.08.18 Adware.Savenow.CF CAT-QuickHeal 9.00 2007.08.18 - ClamAV 0.91 2007.08.19 Adware.WhenU-3 DrWeb 4.33 2007.08.18 - eSafe 7.0.15.0 2007.08.16 - eTrust-Vet 31.1.5069 2007.08.18 - Ewido 4.0 2007.08.18 - FileAdvisor 1 2007.08.19 Low threat detected Fortinet 2.91.0.0 2007.08.18 Adware/SaveNow F-Prot 4.3.2.48 2007.08.17 - F-Secure 6.70.13030.0 2007.08.17 - Ikarus T3.1.1.12 2007.08.18 - Kaspersky 4.0.2.24 2007.08.18 - McAfee 5100 2007.08.17 potentially unwanted program Adware-SaveNow Microsoft 1.2803 2007.08.19 Adware:Win32/WhenU.SaveNow NOD32v2 2469 2007.08.18 - Norman 5.80.02 2007.08.17 - Panda 9.0.0.4 2007.08.18 Adware/SaveNow Prevx1 V2 2007.08.19 Generic.Malware Rising 19.36.52.00 2007.08.18 - Sophos 4.20.0 2007.08.12 WhenU Sunbelt 2.2.907.0 2007.08.18 WhenU.Save Symantec 10 2007.08.18 Adware.Savenow TheHacker 6.1.8.170 2007.08.17 - VBA32 3.12.2.2 2007.08.17 - VirusBuster 4.3.26:9 2007.08.18 - Webwasher-Gateway 6.0.1 2007.08.18 Ad-Spyware.SaveNow.CI |
18.08.2007, 23:36 | #15 |
| Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG Und hier noch ComboFix, wobei ich vielleicht erwähnen sollte, dass eine Windows-Fehlermeldung gekommen ist, die ungefähr so lautete: "Save.exe hat den abbruch des laufenden Programms Combofix verursacht...." (sinngemäß) ComboFix 07-08-14.4 - "Fataliton" 2007-08-19 0:29:16.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1668 [GMT 2:00] * Created a new restore point ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\regedit.com C:\WINDOWS\system32\cookie.dat C:\WINDOWS\system32\taskmgr.com ((((((((((((((((((((((((( Files Created from 2007-07-18 to 2007-08-18 ))))))))))))))))))))))))))))))) 2007-08-19 00:27 51,200 --a------ C:\WINDOWS\nircmd.exe 2007-08-18 20:16 22,066 --a------ C:\find.bat 2007-08-18 20:16 <DIR> d-------- C:\bases_x 2007-08-18 16:18 18,471,472 --a------ C:\mwav.exe 2007-08-18 15:26 <DIR> d-------- C:\Programme\Power Tab Software 2007-08-18 14:12 <DIR> d-------- C:\Programme\Save 2007-08-18 13:43 <DIR> d-------- C:\WINDOWS\CSC 2007-08-18 12:37 <DIR> d-------- C:\Programme\Windows Live Safety Center 2007-08-18 12:35 <DIR> d-------- C:\Programme\Panda Security 2007-08-18 12:34 <DIR> d-------- C:\WINDOWS\system32\Panda Software 2007-08-18 12:31 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Yahoo! Companion 2007-08-18 03:56 <DIR> d-a------ C:\WINDOWS\zts2.exe 2007-08-18 03:56 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll 2007-08-18 03:56 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll 2007-08-18 03:56 <DIR> d-a------ C:\WINDOWS\rundll16.exe 2007-08-18 03:56 <DIR> d-a------ C:\WINDOWS\rundl132.dll 2007-08-18 03:56 <DIR> d-a------ C:\WINDOWS\logo1_.exe 2007-08-18 03:54 153,600 --a------ C:\WINDOWS\R.COM 2007-08-18 03:54 140,800 --a------ C:\WINDOWS\system32\T.COM 2007-08-18 00:54 <DIR> d-------- C:\DOKUME~1\FATALI~1\.housecall6.6 2007-08-17 21:41 <DIR> d-------- C:\!KillBox 2007-08-17 20:56 <DIR> d-------- C:\Programme\EA GAMES 2007-08-17 20:45 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\DAEMON Tools Pro 2007-08-17 20:44 <DIR> d-------- C:\Programme\DAEMON Tools Pro 2007-08-17 20:44 <DIR> d-------- C:\DOKUME~1\FATALI~1\ANWEND~1\DAEMON Tools Pro 2007-08-17 20:42 685,816 --a------ C:\WINDOWS\system32\drivers\sptd.sys 2007-08-16 22:07 <DIR> d-------- C:\Programme\Intel Corporation 2007-08-16 13:04 <DIR> d-------- C:\Programme\Yahoo! 2007-08-16 13:04 <DIR> d-------- C:\Programme\CCleaner 2007-08-14 22:09 <DIR> d-------- C:\WINDOWS\system32\appmgmt 2007-08-14 22:06 <DIR> d-------- C:\DOKUME~1\LOCALS~1\ANWEND~1\Roxio 2007-08-14 22:06 <DIR> d-------- C:\DOKUME~1\FATALI~1\ANWEND~1\Roxio 2007-08-14 22:03 92,920 --a------ C:\WINDOWS\DLA.EXE 2007-08-14 22:03 56,056 --a------ C:\WINDOWS\system32\DLAAPI_W.DLL 2007-08-14 22:03 51,768 --a------ C:\WINDOWS\system32\drivers\DRVNDDM.SYS 2007-08-14 22:03 28,120 --a------ C:\WINDOWS\system32\drivers\DLARTL_M.SYS 2007-08-14 22:03 12,856 --a------ C:\WINDOWS\system32\drivers\DLACDBHM.SYS 2007-08-14 22:03 <DIR> d-------- C:\WINDOWS\system32\DLA 2007-08-14 22:03 <DIR> d-------- C:\Programme\Sonic 2007-08-14 22:02 <DIR> d-------- C:\Programme\InterActual 2007-08-14 22:02 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\InstallShield 2007-08-14 22:01 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SureThing Shared 2007-08-14 22:01 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Sonic 2007-08-14 21:59 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Roxio 2007-08-14 21:58 <DIR> d-------- C:\Programme\Roxio 2007-08-14 21:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Sonic Shared 2007-08-14 21:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Roxio Shared 2007-08-14 21:57 <DIR> d-------- C:\Programme\DivX 2007-08-14 21:56 <DIR> d-------- C:\WINDOWS\system32\URTTemp 2007-08-14 21:43 <DIR> d-------- C:\DOKUME~1\FATALI~1\ANWEND~1\Ahead 2007-08-14 21:43 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ahead 2007-08-14 21:42 <DIR> d-------- C:\WINDOWS\RegisteredPackages 2007-08-14 16:58 <DIR> d-------- C:\WINDOWS\NV28001428.TMP 2007-08-14 16:57 <DIR> d-------- C:\NVIDIA 2007-08-12 12:34 68,888 --a------ C:\WINDOWS\system32\xinput1_3.dll 2007-08-12 12:34 251,672 --a------ C:\WINDOWS\system32\xactengine2_5.dll 2007-08-12 12:34 237,848 --a------ C:\WINDOWS\system32\xactengine2_4.dll 2007-08-12 12:34 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll 2007-08-12 12:34 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll 2007-08-12 12:26 <DIR> d-------- C:\Programme\THQ 2007-08-10 22:19 <DIR> d-------- C:\DOKUME~1\FATALI~1\ANWEND~1\WinRAR 2007-08-10 13:21 271,360 --a------ C:\WINDOWS\system32\drivers\atksgt.sys 2007-08-10 13:21 18,048 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys 2007-08-10 13:17 <DIR> d-------- C:\Programme\Gothic III 2007-08-10 13:16 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll 2007-08-10 13:16 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll 2007-08-09 14:30 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll 2007-08-09 14:30 <DIR> d-------- C:\Programme\TeXnicCenter 2007-08-08 21:51 85,376 --a--c--- C:\WINDOWS\system32\dllcache\nabtsfec.sys 2007-08-08 21:51 85,376 --a------ C:\WINDOWS\system32\drivers\NABTSFEC.sys 2007-08-08 21:51 54,272 --a--c--- C:\WINDOWS\system32\dllcache\vfwwdm32.dll 2007-08-08 21:51 54,272 --a------ C:\WINDOWS\system32\vfwwdm32.dll 2007-08-08 21:51 5,504 --a--c--- C:\WINDOWS\system32\dllcache\mstee.sys 2007-08-08 21:51 5,504 --a------ C:\WINDOWS\system32\drivers\MSTEE.sys 2007-08-08 21:51 19,328 --a--c--- C:\WINDOWS\system32\dllcache\wstcodec.sys 2007-08-08 21:51 19,328 --a------ C:\WINDOWS\system32\drivers\WSTCODEC.SYS 2007-08-08 21:51 17,024 --a--c--- C:\WINDOWS\system32\dllcache\ccdecode.sys 2007-08-08 21:51 17,024 --a------ C:\WINDOWS\system32\drivers\CCDECODE.sys 2007-08-08 21:51 15,360 --a--c--- C:\WINDOWS\system32\dllcache\streamip.sys 2007-08-08 21:51 15,360 --a------ C:\WINDOWS\system32\drivers\StreamIP.sys 2007-08-08 21:51 11,136 --a--c--- C:\WINDOWS\system32\dllcache\slip.sys 2007-08-08 21:51 11,136 --a------ C:\WINDOWS\system32\drivers\SLIP.sys 2007-08-08 21:51 10,880 --a--c--- C:\WINDOWS\system32\dllcache\ndisip.sys 2007-08-08 21:51 10,880 --a------ C:\WINDOWS\system32\drivers\NdisIP.sys 2007-08-08 21:49 61,440 --a------ C:\WINDOWS\system32\rsnpstd.dll 2007-08-08 21:49 61,440 --a------ C:\WINDOWS\system32\csnpstd.dll 2007-08-08 21:49 53,248 --a------ C:\WINDOWS\amcap.exe 2007-08-08 21:49 390,656 --a------ C:\WINDOWS\system32\drivers\snpstd.sys 2007-08-08 21:49 36,864 --a------ C:\WINDOWS\system32\vsnpstd.dll 2007-08-08 21:49 339,968 --a------ C:\WINDOWS\vsnpstd.exe 2007-08-08 21:49 20,480 --a------ C:\WINDOWS\usnpstd.exe 2007-08-08 21:49 20,480 --a------ C:\WINDOWS\CameraFixer.exe 2007-08-08 21:49 <DIR> d-------- C:\Programme\Gemeinsame Dateien\snpstd 2007-08-08 07:30 <DIR> d-------- C:\WINDOWS\system32\LogFiles 2007-08-08 00:19 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll 2007-08-07 17:19 <DIR> d-------- C:\Programme\SpywareBlaster 2007-08-07 17:05 786,432 --ah----- C:\DOKUME~1\ADMINI~1\NTUSER.DAT 2007-08-07 17:05 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten 2007-08-07 17:05 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen 2007-08-07 17:05 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-08-07 09:23 8972 --a------ C:\WINDOWS\pchealth\HelpCtr\Config\Cntstore.bin 2007-08-07 09:23 2724 --a------ C:\WINDOWS\pchealth\HelpCtr\PackageStore\SkuStore.bin 2007-07-19 08:56 3583488 --a--c--- C:\WINDOWS\system32\dllcache\mshtml.dll 2007-06-29 00:43 8466432 --a------ C:\WINDOWS\system32\nvcpl.dll 2007-06-29 00:43 81920 --a------ C:\WINDOWS\system32\nvwddi.dll 2007-06-29 00:43 81920 --a------ C:\WINDOWS\system32\nvmctray.dll 2007-06-29 00:43 753664 --a------ C:\WINDOWS\system32\nvcplui.exe 2007-06-29 00:43 6807328 --a--c--- C:\WINDOWS\system32\dllcache\nv4_mini.sys 2007-06-29 00:43 6807328 --a------ C:\WINDOWS\system32\drivers\nv4_mini.sys 2007-06-29 00:43 6729728 --a------ C:\WINDOWS\system32\nvoglnt.dll 2007-06-29 00:43 6234112 --a------ C:\WINDOWS\system32\nvdisps.dll 2007-06-29 00:43 5690624 --a------ C:\WINDOWS\system32\nv4_disp.dll 2007-06-29 00:43 5455872 --a------ C:\WINDOWS\system32\nvdispsr.dll 2007-06-29 00:43 466944 --a------ C:\WINDOWS\system32\nvshell.dll 2007-06-29 00:43 458752 --a------ C:\WINDOWS\system32\nvmccssr.dll 2007-06-29 00:43 45056 --a------ C:\WINDOWS\system32\nvmccsrs.dll 2007-06-29 00:43 442368 --a------ C:\WINDOWS\system32\nvappbar.exe 2007-06-29 00:43 425984 --a------ C:\WINDOWS\system32\keystone.exe 2007-06-29 00:43 37376 --a------ C:\WINDOWS\system32\nvcodins.dll 2007-06-29 00:43 37376 --a------ C:\WINDOWS\system32\nvcod.dll 2007-06-29 00:43 360448 --a------ C:\WINDOWS\system32\nvapi.dll 2007-06-29 00:43 3600384 --a------ C:\WINDOWS\system32\nvvitvsr.dll 2007-06-29 00:43 3518464 --a------ C:\WINDOWS\system32\nvvitvs.dll 2007-06-29 00:43 335872 --a------ C:\WINDOWS\system32\nvwrses.dll 2007-06-29 00:43 335872 --a------ C:\WINDOWS\system32\nvwrsel.dll 2007-06-29 00:43 3321856 --a------ C:\WINDOWS\system32\nvgames.dll 2007-06-29 00:43 327680 --a------ C:\WINDOWS\system32\nvwrsfr.dll 2007-06-29 00:43 327680 --a------ C:\WINDOWS\system32\nvwrsesm.dll 2007-06-29 00:43 327680 --a------ C:\WINDOWS\system32\nvrshe.dll 2007-06-29 00:43 327680 --a------ C:\WINDOWS\system32\nvrsar.dll 2007-06-29 00:43 323584 --a------ C:\WINDOWS\system32\nvwrspt.dll 2007-06-29 00:43 323584 --a------ C:\WINDOWS\system32\nvwrsit.dll 2007-06-29 00:43 319488 --a------ C:\WINDOWS\system32\nvwrsptb.dll 2007-06-29 00:43 319488 --a------ C:\WINDOWS\system32\nvwrsnl.dll 2007-06-29 00:43 315392 --a------ C:\WINDOWS\system32\nvwrsru.dll 2007-06-29 00:43 315392 --a------ C:\WINDOWS\system32\nvwrshu.dll 2007-06-29 00:43 311296 --a------ C:\WINDOWS\system32\nvwrsde.dll 2007-06-29 00:43 3072000 --a------ C:\WINDOWS\system32\nvgamesr.dll 2007-06-29 00:43 307200 --a------ C:\WINDOWS\system32\nvexpbar.dll 2007-06-29 00:43 303104 --a------ C:\WINDOWS\system32\nvwrstr.dll 2007-06-29 00:43 303104 --a------ C:\WINDOWS\system32\nvwrssl.dll 2007-06-29 00:43 303104 --a------ C:\WINDOWS\system32\nvwrsfi.dll 2007-06-29 00:43 299008 --a------ C:\WINDOWS\system32\nvwrssk.dll 2007-06-29 00:43 299008 --a------ C:\WINDOWS\system32\nvwrsno.dll 2007-06-29 00:43 294912 --a------ C:\WINDOWS\system32\nvwrssv.dll 2007-06-29 00:43 294912 --a------ C:\WINDOWS\system32\nvwrspl.dll 2007-06-29 00:43 294912 --a------ C:\WINDOWS\system32\nvwrsda.dll 2007-06-29 00:43 286720 --a------ C:\WINDOWS\system32\nvwrseng.dll 2007-06-29 00:43 286720 --a------ C:\WINDOWS\system32\nvwrscs.dll 2007-06-29 00:43 286720 --a------ C:\WINDOWS\system32\nvnt4cpl.dll 2007-06-29 00:43 2854912 --a------ C:\WINDOWS\system32\nvmoblsr.dll 2007-06-29 00:43 282624 --a------ C:\WINDOWS\system32\nvwrsar.dll 2007-06-29 00:43 282624 --a------ C:\WINDOWS\system32\nvrsfr.dll 2007-06-29 00:43 282624 --a------ C:\WINDOWS\system32\nvrses.dll 2007-06-29 00:43 282624 --a------ C:\WINDOWS\system32\nvrsel.dll 2007-06-29 00:43 278528 --a------ C:\WINDOWS\system32\nvwrshe.dll 2007-06-29 00:43 278528 --a------ C:\WINDOWS\system32\nvrsit.dll 2007-06-29 00:43 278528 --a------ C:\WINDOWS\system32\nvrsde.dll 2007-06-29 00:43 274432 --a------ C:\WINDOWS\system32\nvrspt.dll 2007-06-29 00:43 274432 --a------ C:\WINDOWS\system32\nvrsnl.dll 2007-06-29 00:43 274432 --a------ C:\WINDOWS\system32\nvrsesm.dll 2007-06-29 00:43 270336 --a------ C:\WINDOWS\system32\nvrsru.dll 2007-06-29 00:43 266240 --a------ C:\WINDOWS\system32\nvrsptb.dll 2007-06-29 00:43 266240 --a------ C:\WINDOWS\system32\nvrsja.dll 2007-06-29 00:43 262144 --a------ C:\WINDOWS\system32\nvrsko.dll 2007-06-29 00:43 258048 --a------ C:\WINDOWS\system32\nvrstr.dll 2007-06-29 00:43 258048 --a------ C:\WINDOWS\system32\nvrssl.dll 2007-06-29 00:43 258048 --a------ C:\WINDOWS\system32\nvrssk.dll 2007-06-29 00:43 258048 --a------ C:\WINDOWS\system32\nvrshu.dll 2007-06-29 00:43 253952 --a------ C:\WINDOWS\system32\nvrssv.dll 2007-06-29 00:43 253952 --a------ C:\WINDOWS\system32\nvrspl.dll 2007-06-29 00:43 253952 --a------ C:\WINDOWS\system32\nvrsno.dll 2007-06-29 00:43 253952 --a------ C:\WINDOWS\system32\nvrsda.dll 2007-06-29 00:43 249856 --a------ C:\WINDOWS\system32\nvrsfi.dll 2007-06-29 00:43 249856 --a------ C:\WINDOWS\system32\nvrscs.dll 2007-06-29 00:43 245760 --a------ C:\WINDOWS\system32\nvrseng.dll 2007-06-29 00:43 2416640 --a------ C:\WINDOWS\system32\nvwssr.dll 2007-06-29 00:43 2330624 --a------ C:\WINDOWS\system32\nvwss.dll 2007-06-29 00:43 229376 --a------ C:\WINDOWS\system32\nvmccs.dll 2007-06-29 00:43 225280 --a------ C:\WINDOWS\system32\nvrszhc.dll 2007-06-29 00:43 212992 --a------ C:\WINDOWS\system32\nvwrsja.dll 2007-06-29 00:43 196608 --a------ C:\WINDOWS\system32\nvwrsko.dll 2007-06-29 00:43 188416 --a------ C:\WINDOWS\system32\nvmccss.dll 2007-06-29 00:43 1703936 --a------ C:\WINDOWS\system32\nvwdmcpl.dll 2007-06-29 00:43 167936 --a------ C:\WINDOWS\system32\nvwrszht.dll 2007-06-29 00:43 163840 --a------ C:\WINDOWS\system32\nvwrszhc.dll 2007-06-29 00:43 1626112 --a------ C:\WINDOWS\system32\nwiz.exe 2007-06-29 00:43 155716 --a------ C:\WINDOWS\system32\nvsvc32.exe 2007-06-29 00:43 1474560 --a------ C:\WINDOWS\system32\nview.dll 2007-06-29 00:43 147456 --a------ C:\WINDOWS\system32\nvcolor.exe 2007-06-29 00:43 1339392 --a------ C:\WINDOWS\system32\nvdspsch.exe 2007-06-29 00:43 126976 --a------ C:\WINDOWS\system32\nvrszht.dll 2007-06-29 00:43 1142784 --a------ C:\WINDOWS\system32\nvmobls.dll 2007-06-29 00:43 1073152 --a------ C:\WINDOWS\system32\nvcpluir.dll 2007-06-29 00:43 1019904 --a------ C:\WINDOWS\system32\nvwimg.dll 2007-06-29 00:43 1018772 --a------ C:\WINDOWS\system32\nvucode.bin 2007-06-27 16:05 823808 --a--c--- C:\WINDOWS\system32\dllcache\wininet.dll 2007-06-27 16:05 671232 --a--c--- C:\WINDOWS\system32\dllcache\mstime.dll 2007-06-27 16:05 52224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll 2007-06-27 16:05 477696 --a--c--- C:\WINDOWS\system32\dllcache\mshtmled.dll ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B3A05538-8F91-49C1-8EE3-6EB142B41E2A}] 2007-08-05 20:31 126976 --a------ C:\Programme\Microsoft Help\Microsoft.System.Help.Object.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Ai Nap"="C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe" [2007-04-09 14:49] "SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2006-07-13 07:12] "JMB36X IDE Setup"="C:\WINDOWS\RaidTool\xInsIDE.exe" [2007-03-20 08:36] "36X Raid Configurer"="C:\WINDOWS\System32\xRaidSetup.exe" [2007-03-21 10:23] "SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2006-12-18 15:34] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-29 00:43] "nwiz"="nwiz.exe" [2007-06-29 00:43 C:\WINDOWS\system32\nwiz.exe] "POEngine"="C:\Programme\PokerOffice\POEngine.exe" [2007-02-22 17:17] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35] "WinampAgent"="C:\Programme\Winamp\winampa.exe" [2007-05-15 00:22] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06] "Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 18:30] "CameraFixer"="C:\WINDOWS\CameraFixer.exe" [2005-12-06 13:08] "snpstd"="C:\WINDOWS\vsnpstd.exe" [2005-10-11 13:54] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-29 00:43] "RoxWatchTray"="C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2007-01-16 12:50] "DMXLauncher"="C:\Programme\Roxio\Media Experience\DMXLauncher.exe" [2007-02-12 03:24] "RoxioDragToDisc"="C:\Programme\Roxio\Drag-to-Disc\DrgToDsc.exe" [2007-02-12 09:05] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-07-02 17:10] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24] "ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-07-19 14:24] "DAEMON Tools Pro Agent"="C:\Programme\DAEMON Tools Pro\DTProAgent.exe" [2007-06-22 14:45] "WhenUSave"="C:\Programme\Save\Save.exe" [2006-08-25 14:45] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ ASUS WiFi-AP Solo.lnk - C:\Programme\ASUS WiFi-AP Solo\RtWLan.exe [2007-08-04 00:23:14] Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 02:01:04] R0 JGOGO;JMicron Hot-Plug Driver;C:\WINDOWS\system32\DRIVERS\JGOGO.sys R0 JRAID;JRAID;C:\WINDOWS\system32\DRIVERS\jraid.sys R1 avgio;avgio;\??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys R1 avipbb;avipbb;C:\WINDOWS\system32\DRIVERS\avipbb.sys R1 DLARTL_M;DLARTL_M;C:\WINDOWS\system32\Drivers\DLARTL_M.SYS R1 ssmdrv;ssmdrv;C:\WINDOWS\system32\DRIVERS\ssmdrv.sys R3 avgntflt;avgntflt;\??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys R3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys R3 SenFiltService;SenFilt Service;C:\WINDOWS\system32\drivers\Senfilt.sys R3 SjyPkt;SjyPkt;\??\C:\WINDOWS\System32\Drivers\SjyPkt.sys [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{742c5eb6-420e-11dc-8838-0015af0f108a}] AutoRun\command- setupSNK.exe *Newly Created Service* - SJYPKT ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-08-19 00:31:11 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-08-19 0:31:42 C:\ComboFix-quarantined-files.txt ... 2007-08-19 00:31 --- E O F --- |
Themen zu Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG |
angezeigt, antivir, datei, dateiname, ebenfalls, eingefangen, erfahrung, forum, gelöscht, gen, gepostet, horse, immer wieder, infos, killbox, nicht mehr, norton, problem, programme, temp, trojan, trojan horse, wichtige, windows, windows\temp, wirklich |