| |
| |||||||
Log-Analyse und Auswertung: Trojan.W32.LookskyWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
02.09.2007, 18:15
| #1 |
| |  Trojan.W32.Looksky Hi Leute Habe ein dickes Problem... grade beim CS spielen sprang er ausm Game und es kamen Meldungen von wegen , dass dieser Trojaner "detected" wurde...da ich noch nie wirklich welche hatte , steh ich jetzt erstmal aufm schlauch und ein freund von mir hat mir empfohlen , hier mein HijackLog zu posten...hoffe auf Hilfe!! Logfile of HijackThis v1.99.1 Scan saved at 19:08:19, on 02.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\D-Link\AirPlus G\AirGCFG.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\Programme\Java\jre1.5.0_08\bin\jusched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Trust\GM-4200 Gamer Mouse Optical\Panel.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Realtek\Rtl8180\RtlWake.exe c:\windows\system32\rlvknlg.exe C:\Programme\iPod\bin\iPodService.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\Steam\Steam.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe C:\Programme\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\robert\LOKALE~1\Temp\Rar$EX00.593\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O1 - Hosts: 66.98.148.65 auto.search.msn.com O1 - Hosts: 66.98.148.65 auto.search.msn.es O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.1.5.19.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: MSVPS System - {F4CF814F-970F-405D-A42C-0CE06EB97373} - C:\WINDOWS\mxduo.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Firewall.exe] C:\WINDOWS\system32\Firewall.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Trust Gaming mouse] "C:\Programme\Trust\GM-4200 Gamer Mouse Optical\Panel.exe" O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Ultimate Defender] "C:\Programme\Ultimate Defender\UltimateDefender.exe" hide O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: .protected O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: .protected O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: RtlWake.lnk = ? O8 - Extra context menu item: Download all links using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Download all videos using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: Download link using &BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O21 - SSODL: wmphost - {C6C165C2-EC5F-4BCC-9319-AD1AEEEABCEE} - C:\WINDOWS\wmphost.dll O21 - SSODL: wmpdev - {A4E1883E-7546-4FD5-BC8C-A86FF1B093BA} - C:\WINDOWS\wmpdev.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe Ich hoffe , dass ist richtig. Falls ich trotzdem irgendwas falsch gemacht hab , bezüglich des Logs , sagt es mir...stehe grad ein bisschen unter Schock^^ |
|
02.09.2007, 18:57
| #2 | |
  | Trojan.W32.Looksky Hallo
__________________Zitat:
 Mach bitte alle versteckten Dateien und Ordner sichtbar. Lass diese Dateien C:\WINDOWS\system32\Firewall.exe c:\windows\system32\rlls.dll hier Virustotal hier VirSCAN.org - The Mutli-Engine Virus Scanner v1.00 Beta,Support 29 AntiVirus Engine, Last Update(070821) oder hier Jotti überprüfen (kann einige Minuten dauern), poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde. Betreibst du Onlinebanking? Wenn ja, verzichte bitte augenblicklich auf alles was mit einer Anmeldung bzw. Passworteingabe, abgesehen von hier, zu tun hat (Ebay, Onlinebanking usw.) MFG |
|
02.09.2007, 19:22
| #3 | |
| | Trojan.W32.LookskyZitat:
Das Ergebnis vom rlls.dll AhnLab-V3 2007.9.1.0 2007.09.01 Win-AppCare/Rk.344064 AntiVir 7.4.1.66 2007.09.01 ADSPY/MarketScore.k Authentium 4.93.8 2007.09.02 - Avast 4.7.1029.0 2007.09.02 - AVG 7.5.0.484 2007.09.02 Adware Generic2.GBJ BitDefender 7.2 2007.09.02 Application.Proxy.Oss.DLL CAT-QuickHeal 9.00 2007.09.01 - ClamAV 0.91.2 2007.09.02 - DrWeb 4.33 2007.09.02 - eSafe 7.0.15.0 2007.09.02 - eTrust-Vet 31.1.5100 2007.08.31 - Ewido 4.0 2007.09.02 - FileAdvisor 1 2007.09.02 - Fortinet 3.11.0.0 2007.09.02 Misc/Oss F-Prot 4.3.2.48 2007.09.02 - F-Secure 6.70.13030.0 2007.09.02 - Ikarus T3.1.1.12 2007.09.02 - Kaspersky 4.0.2.24 2007.09.02 not-a-virus:AdWare.Win32.RK.m McAfee 5110 2007.08.31 potentially unwanted program Proxy-OSS Microsoft 1.2803 2007.09.02 Program:Win32/Marketscore.gen NOD32v2 2497 2007.09.01 - Norman 5.80.02 2007.09.02 - Panda 9.0.0.4 2007.09.02 Generic Malware Prevx1 V2 2007.09.02 Trojan.Nail Rising 19.38.62.00 2007.09.02 - Sophos 4.21.0 2007.09.02 - Sunbelt 2.2.907.0 2007.08.31 Marketscore.RelevantKnowledge Symantec 10 2007.09.02 Spyware.Marketscore TheHacker 6.1.9.175 2007.09.02 - VBA32 3.12.2.3 2007.09.01 AdWare.Win32.RK.m VirusBuster 4.3.26:9 2007.09.02 - Webwasher-Gateway 6.0.1 2007.09.01 Ad-Spyware.MarketScore.k weitere Informationen File size: 344064 bytes MD5: 0cd946f4d6ad079d2967f4736bcad2db SHA1: 14b4152f41201941a8d52c7f5925aae081bd1cdd Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=B02FDD3B0092CD9F40AB05ECBFFED900F3BED501 Firewall.exe : existiert im Verzeichnis C:\WINDOWS\system32 irgendwie nicht...nur firewall.cpl Nein , Onlinebanking betreibe ich nicht... mfg |
|
02.09.2007, 20:08
| #4 | |
| | Trojan.W32.Looksky Hallo Zitat:
lade dir Blacklight und poste anschließend das Log (findest du im selben Ordner wie Blacklight) das sollte etwa so aussehen --> fsbl-xxxzahlenxxx.log lass bitte auch Silentrunners übers System schauen und anschließend poste bitte ebenfalls das Log. Führe bitte auch einen eScan nach dieser Anleitung durch http://www.trojaner-board.de/42731-escan-anleitung.html und nutze zum posten des Ergebnisses bitte die find.bat. MFG |
|
02.09.2007, 20:48
| #5 |
| | Trojan.W32.Looksky Hi , Silentrunners : "Silent Runners.vbs", revision 52, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "Steam" = "(empty string)" [file not found] HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++} "ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."] "Alcmtr" = "ALCMTR.EXE" ["Realtek Semiconductor Corp."] "D-Link AirPlus G" = "C:\Programme\D-Link\AirPlus G\AirGCFG.exe" ["D-Link"] "ANIWZCS2Service" = "C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" ["Alpha Networks Inc."] "SunJavaUpdateSched" = ""C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"" ["Sun Microsystems, Inc."] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "Firewall.exe" = "C:\WINDOWS\system32\Firewall.exe" [file not found] "QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."] "iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Computer, Inc."] "DAEMON Tools" = ""C:\Programme\DAEMON Tools\daemon.exe" -lang 1033" ["DT Soft Ltd."] "Trust Gaming mouse" = ""C:\Programme\Trust\GM-4200 Gamer Mouse Optical\Panel.exe"" [null data] "ICQ Lite" = ""C:\Programme\ICQLite\ICQLite.exe" -minimize" ["ICQ Ltd."] "avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] "Ultimate Defender" = ""C:\Programme\Ultimate Defender\UltimateDefender.exe" hide" ["Nous-Tech Solutions Ltd."] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {055FD26D-3A88-4e15-963D-DC8493744B1D}\(Default) = "XTTBPos00" -> {HKLM...CLSID} = "XTTBPos00 Class" \InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}\(Default) = "BitComet ClickCapture" -> {HKLM...CLSID} = "BitComet Helper" \InProcServer32\(Default) = "C:\Programme\BitComet\tools\BitCometBHO_1.1.5.19.dll" ["BitComet"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_08\bin\ssv.dll" ["Sun Microsystems, Inc."] {F4CF814F-970F-405D-A42C-0CE06EB97373}\(Default) = (no title provided) -> {HKLM...CLSID} = "MSVPS System" \InProcServer32\(Default) = "C:\WINDOWS\mxduo.dll" [empty string] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders" -> {HKLM...CLSID} = "Meine freigegebenen Ordner" \InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS] "{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"] "{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"] "{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"] "{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes" -> {HKLM...CLSID} = "iTunes" \InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {HKLM...CLSID} = "Portable Media Devices Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] "{2F5AC606-70CF-461C-BFE1-6063670C3484}" = "Mouse CPL Extension" -> {HKLM...CLSID} = "MouseCplExt Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\MousePage.dll" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ "WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}" -> {HKLM...CLSID} = "WPDShServiceObj Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS] "wmphost" = "{C6C165C2-EC5F-4BCC-9319-AD1AEEEABCEE}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\wmphost.dll" [null data] "wmpdev" = "{A4E1883E-7546-4FD5-BC8C-A86FF1B093BA}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\wmpdev.dll" [null data] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be enabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\robert\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Active Desktop web content (hidden if disabled): HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\ "FriendlyName" = "Privacy Protection" "Source" = "file:///C:\WINDOWS\privacy_danger\index.htm" "SubscribedURL" = "" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Startup items in "robert" & "All Users" startup folders: -------------------------------------------------------- C:\Dokumente und Einstellungen\robert\Startmenü\Programme\Autostart <<!>> ".protected" [null data] "Adobe Gamma" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart <<!>> ".protected" [null data] "Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"] "RtlWake" -> shortcut to: "C:\Programme\Realtek\Rtl8180\RtlWake.exe" [empty string] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: C:\WINDOWS\system32\rlls.dll ["RelevantKnowledge"], 01 - 05, 38 %SystemRoot%\system32\mswsock.dll [MS], 06 - 09, 12 - 37 %SystemRoot%\system32\rsvpsp.dll [MS], 10 - 11 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{855F3B16-6D32-4FE6-8A56-BBB695989046}" -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided) -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."] {E59EB121-F339-4851-A3BA-FE49C35617C2}\ "ButtonText" = "ICQ6" "MenuText" = "ICQ6" "Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Miscellaneous IE Hijack Points ------------------------------ HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\ <<H>> "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided) -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"] HOSTS file ---------- C:\WINDOWS\System32\drivers\etc\HOSTS maps: 3 domain names to IP addresses, 2 of the IP addresses are *not* localhost! Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"] AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"] iPod Service, iPod Service, ""C:\Programme\iPod\bin\iPodService.exe"" ["Apple Computer, Inc."] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] ---------- (launch time: 2007-09-02 21:19:39) <<!>>: Suspicious data at a malware launch point. <<H>>: Suspicious data at a browser hijack point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 27 seconds, including 4 seconds for message boxes) Blacklight : 09/02/07 21:11:14 [Info]: BlackLight Engine 1.0.64 initialized 09/02/07 21:11:14 [Info]: OS: 5.1 build 2600 (Service Pack 2) 09/02/07 21:11:14 [Note]: 7019 4 09/02/07 21:11:14 [Note]: 7005 0 09/02/07 21:11:16 [Note]: 7006 0 09/02/07 21:11:16 [Note]: 7011 780 09/02/07 21:11:16 [Note]: 7026 0 09/02/07 21:11:16 [Note]: 7026 0 09/02/07 21:11:18 [Note]: FSRAW library version 1.7.1022 09/02/07 21:14:18 [Note]: 2000 1012 09/02/07 21:14:43 [Note]: 7007 0 |
|
02.09.2007, 20:49
| #6 |
| | Trojan.W32.Looksky eScan: Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.4.1 Sprache: German C:\DOKUME~1\robert\LOKALE~1\Temp\MWAV.LOG ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "ultimatedefender Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "ultimatedefender Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "ultimatedefender Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "alureon Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "net-msv/vps Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "ultimatedefender Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "newmediacodec Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "ultimatedefender Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "ultimatedefender Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "instantaccess Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "instantaccess Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "instantaccess Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "ultimatedefender Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "ultimatedefender Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen. System found infected with videocach/gen Trojan ({a8954909-1f0f-41a5-a7fa-3b376d69e226})! Action taken: Keine Aktion vorgenommen. System found infected with videocach/gen Trojan ({967a494a-6aec-4555-9caf-fa6eb00acf91})! Action taken: Keine Aktion vorgenommen. System found infected with videocach/gen Trojan ({9692be2f-eb8f-49d9-a11c-c24c1ef734d5})! Action taken: Keine Aktion vorgenommen. System found infected with whenu.savenow Spyware/Adware ({c285d18d-43a2-4aef-83fb-bf280e660a97})! Action taken: Keine Aktion vorgenommen. System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (error cleaner.url)! Action taken: Keine Aktion vorgenommen. System found infected with winad Adware (installer.exe)! Action taken: Keine Aktion vorgenommen. System found infected with privacyprotector Corrupted Adware/Spyware (privacy protector.url)! Action taken: Keine Aktion vorgenommen. System found infected with privacyprotector Corrupted Adware/Spyware (spyware&malware protection.url)! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (error cleaner.url)! Action taken: Keine Aktion vorgenommen. System found infected with privacyprotector Corrupted Adware/Spyware (privacy protector.url)! Action taken: Keine Aktion vorgenommen. System found infected with privacyprotector Corrupted Adware/Spyware (spyware&malware protection.url)! Action taken: Keine Aktion vorgenommen. System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: Keine Aktion vorgenommen. System found infected with ultimate defender Corrupted Adware/Spyware (C:\PROGRA~1\ULTIMA~1\PROGRA~1.INF)! Action taken: Keine Aktion vorgenommen. System found infected with marketscore Spyware/Adware (C:\WINDOWS\system32\silc_dll.dll)! Action taken: Keine Aktion vorgenommen. System found infected with marketscore Spyware/Adware (C:\WINDOWS\system32\ldpackage.dll)! Action taken: Keine Aktion vorgenommen. System found infected with ultimatedefender Corrupted Adware/Spyware (C:\PROGRA~1\ULTIMA~1\UDEFEN~1.PKG)! Action taken: Keine Aktion vorgenommen. System found infected with ultimate defender Corrupted Adware/Spyware (C:\PROGRA~1\ULTIMA~1\UNINST~1.EXE)! Action taken: Keine Aktion vorgenommen. System found infected with ultimatedefender Corrupted Adware/Spyware (C:\PROGRA~1\ULTIMA~1\ULTIMA~1.EXE)! Action taken: Keine Aktion vorgenommen. System found infected with shangxing BackDoor (C:\WINDOWS\system32\svkp.sys)! Action taken: Keine Aktion vorgenommen. System found infected with ultimatedefender Corrupted Adware/Spyware (C:\PROGRA~1\ULTIMA~1\ULTIMA~1.DB)! Action taken: Keine Aktion vorgenommen. System found infected with shangxing BackDoor (hkey_local_machine\system\controlset001\services\svkp)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\WINDOWS\system32\rlls.dll markiert als "not-a-virus:AdWare.Win32.RK.m". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File c:\windows\system32\rlvknlg.exe markiert als "not-a-virus:AdWare.Win32.RK.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\robert\Desktop\udefender_setup.exe//PE_Patch.UPX//UPX markiert als "not-a-virus:FraudTool.Win32.UltimateDefender.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\NDNuninstall6_38.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\NDNuninstall7_22.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet.e". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\rlls.dll markiert als "not-a-virus:AdWare.Win32.RK.m". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\rlvknlg.exe markiert als "not-a-virus:AdWare.Win32.RK.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\WinSecure.004 markiert als "not-a-virus:Monitor.Win32.Ardamax.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\WinSecure.006 markiert als "not-a-virus:Monitor.Win32.Ardamax.24". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\WinSecure.007 markiert als "not-a-virus:Monitor.Win32.Ardamax.24". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\DOKUME~1\robert\LOKALE~1\TEMPOR~1\Content.IE5\G5H4VQ5V\udefender_setup[1].exe//PE_Patch.UPX//UPX markiert als "not-a-virus:FraudTool.Win32.UltimateDefender.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\DOKUME~1\robert\LOKALE~1\Temp\war3_install.exe Offending file found: C:\Dokumente und Einstellungen\robert\Desktop\error cleaner.url Offending file found: C:\Dokumente und Einstellungen\robert\Desktop\interface\wow-language-pack-engb\installer.exe Offending file found: C:\Dokumente und Einstellungen\robert\Desktop\privacy protector.url Offending file found: C:\Dokumente und Einstellungen\robert\Desktop\spyware&malware protection.url Offending file found: C:\Dokumente und Einstellungen\robert\Favoriten\error cleaner.url Offending file found: C:\Dokumente und Einstellungen\robert\Favoriten\privacy protector.url Offending file found: C:\Dokumente und Einstellungen\robert\Favoriten\spyware&malware protection.url Offending file found: C:\Dokumente und Einstellungen\robert\Lokale Einstellungen\temp\war3_install.exe Offending file found: C:\PROGRA~1\ULTIMA~1\PROGRA~1.INF Offending file found: C:\WINDOWS\system32\silc_dll.dll Offending file found: C:\WINDOWS\system32\ldpackage.dll Offending file found: C:\PROGRA~1\ULTIMA~1\UDEFEN~1.PKG Offending file found: C:\PROGRA~1\ULTIMA~1\UNINST~1.EXE Offending file found: C:\PROGRA~1\ULTIMA~1\ULTIMA~1.EXE Offending file found: C:\WINDOWS\system32\svkp.sys Offending file found: C:\PROGRA~1\ULTIMA~1\ULTIMA~1.DB ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\WINDOWS\privacy_danger Offending Folder found: C:\Programme\ultimate defender Offending Folder found: C:\Dokumente und Einstellungen\robert\Anwendungsdaten\icq\bart\1024 Offending Folder found: C:\Dokumente und Einstellungen\robert\Anwendungsdaten\ultimate defender Offending Folder found: C:\Dokumente und Einstellungen\robert\Desktop\verk\backup interface\bigwigs\mc Offending Folder found: C:\Dokumente und Einstellungen\robert\Desktop\verk\interface\addons\bigwigs\mc Offending Folder found: C:\Dokumente und Einstellungen\robert\Desktop\verk\v3\interface\addons\bigwigs\mc Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ultimate defender Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\ultimate defender ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\ultimate defender !!! Offending Key found: HKLM\Software\magnet !!! Offending Key found: HKLM\Software\ultimate defender !!! Offending Key found: HKCU\Software\ultimate defender !!! Offending Key found: HKLM\Software\microsoft\videoplugin !!! Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\whenu !!! Offending Key found: HKCU\\magnet !!! Offending Key found: HKCU\\msvps.msvpsapp !!! Offending Key found: HKCU\\wusn.1 !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\DOKUME~1\robert\LOKALE~1\Temp\GLB11F.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\robert\LOKALE~1\Temp\GLB149.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\robert\LOKALE~1\Temp\GLB23D.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\robert\LOKALE~1\Temp\GLB26.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\robert\LOKALE~1\Temp\GLB2A.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\robert\LOKALE~1\Temp\GLB2C.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\robert\LOKALE~1\Temp\GLB33.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\robert\LOKALE~1\Temp\GLB5.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\robert\LOKALE~1\Temp\GLB5B.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\robert\LOKALE~1\Temp\GLB6C.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\robert\LOKALE~1\Temp\GLB7.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\robert\LOKALE~1\Temp\GLB9C.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\robert\LOKALE~1\Temp\GLBBB.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\robert\LOKALE~1\Temp\GLBC4.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\robert\LOKALE~1\Temp\GLBD5.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\robert\LOKALE~1\Temp\sdq8.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\robert\LOKALE~1\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : C:\WINDOWS\System32\drivers\etc\hosts : C:\WINDOWS\System32\drivers\etc\hosts :66.98.148.65 auto.search.msn.com C:\WINDOWS\System32\drivers\etc\hosts :66.98.148.65 auto.search.msn.es ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 21:47:00,87 Batchende: 21:47:03,25 |
|
| Themen zu Trojan.W32.Looksky |
| adobe, antivir, avira, bho, computer, defender, download, explorer, hijackthis, internet, internet explorer, microsoft, nvidia, pdf, programme, realtek, rundll, software, spielen, system, temp, trojaner, unknown file in winsock lsp, urlsearchhook, windows, windows xp, wmid |
Hybrid-Darstellung
