Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Seltsamer eScan-Log! Paranoia?

Seltsamer eScan-Log! Paranoia?


Plagegeister aller Art und deren Bekämpfung: Seltsamer eScan-Log! Paranoia?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.10.2007, 14:16   #1
.::|||::.
 
Seltsamer eScan-Log! Paranoia? - Standard

Seltsamer eScan-Log! Paranoia?


Hi
Vorab: Ich hatte bisher noch nie Probleme (jetzt eig. auch nicht) mit Viren o.ä. und mein Kaspersky hat mich noch nie schützen müssen.

So, nun zu meinen "Problem":
Gestern habe ich mal einen eScan gemäss Anleitung durchgeführt und siehe da, es werden natürlich mehrere Viren gefunden. Aus Erfahrung kann ich einige ausschliessen, wegen den bekannten False-Positives von eScan.
Naja, ihr Pro's seht es euch an:
Zitat:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.4.4
Sprache: English
Virus Database Date: 10/3/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with cydoor Spyware/Adware (libeay32_1-1-0_ddr.dll)! Action taken: No Action Taken.
System found infected with cydoor Spyware/Adware (ssleay32_1-1-0_ddr.dll)! Action taken: No Action Taken.
System found infected with cydoor Spyware/Adware (stlport_4_0_0_ddr.dll)! Action taken: No Action Taken.
System found infected with cydoor Spyware/Adware (xerces-c_1_40_0_ddr.dll)! Action taken: No Action Taken.
System found infected with cydoor Spyware/Adware (cfd.exe)! Action taken: No Action Taken.
System found infected with cydoor Spyware/Adware (cfd.exe)! Action taken: No Action Taken.
Object "grokster Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "NULLBYTE Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "grokster Spyware/Adware" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
File C:\DELL\drivers\R122161\HDAQFE\win2k3\jpn\qfe.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken.
File C:\DELL\drivers\R122161\HDAQFE\win2k3\us\qfe.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\.q_13A40_q\HDAQFE\win2k3\jpn\qfe.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\.q_13A40_q\HDAQFE\win2k3\us\qfe.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\.q_13A40_q\HDAQFE\win2k_xp\us\qfe.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\libeay32_1-1-0_ddr.dll
Offending file found: C:\WINDOWS\system32\ssleay32_1-1-0_ddr.dll
Offending file found: C:\WINDOWS\system32\stlport_4_0_0_ddr.dll
Offending file found: C:\WINDOWS\system32\xerces-c_1_40_0_ddr.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKCR\magnet !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\MSOCache\All Users\{90120000-00A1-0407-0000-0000000FF1CE}-C\OnoteLR.cab not Scanned. Possibly password protected...
C:\Programme\Microsoft Office\Office12\1031\OneNoteMobile.CAB not Scanned. Possibly password protected...
C:\Programme\Nero\Nero 7\Nero Mobile\SetupNeroMobile.exe not Scanned. Possibly password protected...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :255.255.255.255 broadcasthost
C:\WINDOWS\System32\drivers\etc\hosts :::1 localhost
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts : # mistyped URLs to search engines. They
C:\WINDOWS\System32\drivers\etc\hosts : # log all such errors.
C:\WINDOWS\System32\drivers\etc\hosts : # URLs to their site.
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts : # and potentially other sites.
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts : # up CSS on livejournal
C:\WINDOWS\System32\drivers\etc\hosts : # problems with NPR.org
C:\WINDOWS\System32\drivers\etc\hosts : # ads and track users across
C:\WINDOWS\System32\drivers\etc\hosts : # the com.com family of sites
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts : # and some distribute adware and spyware
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts : # message board spam and are unlikely to be real sites
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Total Critical Objects: 17
Total Disinfected Objects: 0
Total Objects Renamed: 0
Total Deleted Objects: 0
Total Errors: 44
Time Elapsed: 01:52:51
Total Objects Scanned: 67740
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Memory Check: Enabled
Registry Check: Enabled
System Folder Check: Enabled
System Area Check: Disabled
Services Check: Enabled
Drive Check: Disabled
All Drive Check :Enabled
All Drive Check :Enabled

Batchstart: 21:40:20.26
Batchende: 21:40:56.53
Was mir auffällt sind die Hosts und die Offending Files, sowie die Datei qfe.exe, welche an mehreren Orten gefunden wurde.

Ich hab alle genannten Files mal bei VT auswerten lassen: Kein Fund!
Code:
ATTFilter
Datei libeay32_1-1-0_ddr.dll empfangen 2007.10.05 14:41:48 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2007.10.5.2	2007.10.05	-
AntiVir	7.6.0.20	2007.10.05	-
Authentium	4.93.8	2007.10.05	-
Avast	4.7.1051.0	2007.10.05	-
AVG	7.5.0.488	2007.10.04	-
BitDefender	7.2	2007.10.05	-
CAT-QuickHeal	9.00	2007.10.05	-
ClamAV	0.91.2	2007.10.05	-
DrWeb	4.44.0.09170	2007.10.05	-
eSafe	7.0.15.0	2007.10.04	-
eTrust-Vet	31.2.5188	2007.10.05	-
Ewido	4.0	2007.10.05	-
FileAdvisor	1	2007.10.05	-
Fortinet	3.11.0.0	2007.10.05	-
F-Prot	4.3.2.48	2007.10.05	-
F-Secure	6.70.13030.0	2007.10.05	-
Ikarus	T3.1.1.12	2007.10.05	-
Kaspersky	7.0.0.125	2007.10.05	-
McAfee	5134	2007.10.04	-
Microsoft	1.2803	2007.10.04	-
NOD32v2	2573	2007.10.05	-
Norman	5.80.02	2007.10.05	-
Panda	9.0.0.4	2007.10.05	-
Prevx1	V2	2007.10.05	-
Rising	19.43.40.00	2007.10.05	-
Sophos	4.22.0	2007.10.05	-
Sunbelt	2.2.907.0	2007.10.04	-
Symantec	10	2007.10.05	-
TheHacker	6.2.6.076	2007.10.03	-
VBA32	3.12.2.4	2007.10.05	-
VirusBuster	4.3.26:9	2007.10.04	-
Webwasher-Gateway	6.0.1	2007.10.05	-
weitere Informationen
File size: 663552 bytes
MD5: 42e007b152452d3a5603f62e24cbe347
SHA1: 3b9960168be9739d24edbe135b647d40de5c9f5e
____________________________________________________________________________________________________
Datei ssleay32_1-1-0_ddr.dll_ empfangen 2007.10.05 14:42:31 (CET)
Ergebnis: 0/32 (0%)

Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2007.10.5.2	2007.10.05	-
AntiVir	7.6.0.20	2007.10.05	-
Authentium	4.93.8	2007.10.05	-
Avast	4.7.1051.0	2007.10.05	-
AVG	7.5.0.488	2007.10.04	-
BitDefender	7.2	2007.10.05	-
CAT-QuickHeal	9.00	2007.10.05	-
ClamAV	0.91.2	2007.10.05	-
DrWeb	4.44.0.09170	2007.10.05	-
eSafe	7.0.15.0	2007.10.04	-
eTrust-Vet	31.2.5188	2007.10.05	-
Ewido	4.0	2007.10.05	-
FileAdvisor	1	2007.10.05	-
Fortinet	3.11.0.0	2007.10.05	-
F-Prot	4.3.2.48	2007.10.05	-
F-Secure	6.70.13030.0	2007.10.05	-
Ikarus	T3.1.1.12	2007.10.05	-
Kaspersky	7.0.0.125	2007.10.05	-
McAfee	5134	2007.10.04	-
Microsoft	1.2803	2007.10.04	-
NOD32v2	2573	2007.10.05	-
Norman	5.80.02	2007.10.05	-
Panda	9.0.0.4	2007.10.05	-
Prevx1	V2	2007.10.05	-
Rising	19.43.40.00	2007.10.05	-
Sophos	4.22.0	2007.10.05	-
Sunbelt	2.2.907.0	2007.10.04	-
Symantec	10	2007.10.05	-
TheHacker	6.2.6.076	2007.10.03	-
VBA32	3.12.2.4	2007.10.05	-
VirusBuster	4.3.26:9	2007.10.04	-
Webwasher-Gateway	6.0.1	2007.10.05	-
weitere Informationen
File size: 159744 bytes
MD5: c1157b2908f4238bb0d9bfc639197e79
SHA1: 566713b295de4e88285c2128cb124fdc20b2818d
____________________________________________________________________________________________________
Datei stlport_4_0_0_ddr.dll_ empfangen 2007.10.05 14:43:04 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2007.10.5.2	2007.10.05	-
AntiVir	7.6.0.20	2007.10.05	-
Authentium	4.93.8	2007.10.05	-
Avast	4.7.1051.0	2007.10.05	-
AVG	7.5.0.488	2007.10.04	-
BitDefender	7.2	2007.10.05	-
CAT-QuickHeal	9.00	2007.10.05	-
ClamAV	0.91.2	2007.10.05	-
DrWeb	4.44.0.09170	2007.10.05	-
eSafe	7.0.15.0	2007.10.04	-
eTrust-Vet	31.2.5188	2007.10.05	-
Ewido	4.0	2007.10.05	-
FileAdvisor	1	2007.10.05	-
Fortinet	3.11.0.0	2007.10.05	-
F-Prot	4.3.2.48	2007.10.05	-
F-Secure	6.70.13030.0	2007.10.05	-
Ikarus	T3.1.1.12	2007.10.05	-
Kaspersky	7.0.0.125	2007.10.05	-
McAfee	5134	2007.10.04	-
Microsoft	1.2803	2007.10.04	-
NOD32v2	2573	2007.10.05	-
Norman	5.80.02	2007.10.05	-
Panda	9.0.0.4	2007.10.05	-
Prevx1	V2	2007.10.05	-
Rising	19.43.40.00	2007.10.05	-
Sophos	4.22.0	2007.10.05	-
Sunbelt	2.2.907.0	2007.10.04	-
Symantec	10	2007.10.05	-
TheHacker	6.2.6.076	2007.10.03	-
VBA32	3.12.2.4	2007.10.05	-
VirusBuster	4.3.26:9	2007.10.04	-
Webwasher-Gateway	6.0.1	2007.10.05	-
weitere Informationen
File size: 524377 bytes
MD5: 17d640daeb5144ed26ed3ee672c5f492
SHA1: 1c8ef0e682da52654309aa19b09a2493014dfda9
____________________________________________________________________________________________________
Datei xerces-c_1_40_0_ddr.dll_ empfangen 2007.10.05 14:47:56 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2007.10.5.2	2007.10.05	-
AntiVir	7.6.0.20	2007.10.05	-
Authentium	4.93.8	2007.10.05	-
Avast	4.7.1051.0	2007.10.05	-
AVG	7.5.0.488	2007.10.04	-
BitDefender	7.2	2007.10.05	-
CAT-QuickHeal	9.00	2007.10.05	-
ClamAV	0.91.2	2007.10.05	-
DrWeb	4.44.0.09170	2007.10.05	-
eSafe	7.0.15.0	2007.10.04	-
eTrust-Vet	31.2.5188	2007.10.05	-
Ewido	4.0	2007.10.05	-
FileAdvisor	1	2007.10.05	-
Fortinet	3.11.0.0	2007.10.05	-
F-Prot	4.3.2.48	2007.10.05	-
F-Secure	6.70.13030.0	2007.10.05	-
Ikarus	T3.1.1.12	2007.10.05	-
Kaspersky	7.0.0.125	2007.10.05	-
McAfee	5134	2007.10.04	-
Microsoft	1.2803	2007.10.04	-
NOD32v2	2573	2007.10.05	-
Norman	5.80.02	2007.10.05	-
Panda	9.0.0.4	2007.10.05	-
Prevx1	V2	2007.10.05	-
Rising	19.43.40.00	2007.10.05	-
Sophos	4.22.0	2007.10.05	-
Sunbelt	2.2.907.0	2007.10.04	-
Symantec	10	2007.10.05	-
TheHacker	6.2.6.076	2007.10.03	-
VBA32	3.12.2.4	2007.10.05	-
VirusBuster	4.3.26:9	2007.10.04	-
Webwasher-Gateway	6.0.1	2007.10.05	-
weitere Informationen
File size: 532594 bytes
MD5: ac81542bd9ad04189877a4e1a019e0c4
SHA1: ba6543b69194fdc8a7495cc24c5f842267e135f4
____________________________________________________________________________________________________
Datei qfe.exe_ empfangen 2007.10.05 14:54:00 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2007.10.5.2	2007.10.05	-
AntiVir	7.6.0.20	2007.10.05	-
Authentium	4.93.8	2007.10.05	-
Avast	4.7.1051.0	2007.10.05	-
AVG	7.5.0.488	2007.10.04	-
BitDefender	7.2	2007.10.05	-
CAT-QuickHeal	9.00	2007.10.05	-
ClamAV	0.91.2	2007.10.05	-
DrWeb	4.44.0.09170	2007.10.05	-
eSafe	7.0.15.0	2007.10.04	-
eTrust-Vet	31.2.5188	2007.10.05	-
Ewido	4.0	2007.10.05	-
FileAdvisor	1	2007.10.05	-
Fortinet	3.11.0.0	2007.10.05	-
F-Prot	4.3.2.48	2007.10.05	-
F-Secure	6.70.13030.0	2007.10.05	-
Ikarus	T3.1.1.12	2007.10.05	-
Kaspersky	7.0.0.125	2007.10.05	-
McAfee	5134	2007.10.04	-
Microsoft	1.2803	2007.10.04	-
NOD32v2	2573	2007.10.05	-
Norman	5.80.02	2007.10.05	-
Panda	9.0.0.4	2007.10.05	-
Prevx1	V2	2007.10.05	-
Rising	19.43.40.00	2007.10.05	-
Sophos	4.22.0	2007.10.05	-
Sunbelt	2.2.907.0	2007.10.04	-
Symantec	10	2007.10.05	-
TheHacker	6.2.6.076	2007.10.03	-
VBA32	3.12.2.4	2007.10.05	-
VirusBuster	4.3.26:9	2007.10.04	-
Webwasher-Gateway	6.0.1	2007.10.05	-
weitere Informationen
File size: 754928 bytes
MD5: 65106dbcda4cd322e6c81549c09c5dec
SHA1: c5691c80aa3fc0341a151244d065b6c2b475f656
Dann noch ein Hijackthis-Log:
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:11:21, on 05.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\oodtray.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\*****\Eigene Dateien\2.02.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxps://login.live.com/ppsecure/sha1auth.srf?lc=2055
O1 - Hosts: 255.255.255.255 broadcasthost
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://wxw.update.microsoft.com/wind...?1187872765703
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - hxxp://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 6571 bytes
Desweiteren findet Spybot noch die "Malware" Mailskinner.rtk in den Reg-Einträgen: (Nach einem Reboot ist sie wieder da)
Zitat:
MailSkinner.rtk: [SBI $68FD185E] Root class (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\OutlookAddin.Addin

MailSkinner.rtk: [SBI $68FD185E] Root class (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\OutlookAddin.Addin.1

MailSkinner.rtk: [SBI $68FD185E] Class ID (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C704648D-6030-47E9-ADBA-1E13B6A784AE}

MailSkinner.rtk: [SBI $6DA3251B] Einstellungen (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Outlook\Addins\OutlookAddin.Addin
Diese Funde werden als Falspositives bezeichnet und sollen zu Kaspersky gehören! (siehe hier)

Was soll Ich machen?
Vielen Dank
.::|||::.
__________________
.::Never touch a running system::.
.::Hijackthis::..::eScan::..::Virustotal::..::Killbox::..::Neuaufsetzen::.
Geändert von .::|||::. (05.10.2007 um 14:26 Uhr)

Alt 05.10.2007, 15:16   #2
undoreal
/// AVZ-Toolkit Guru
 
Seltsamer eScan-Log! Paranoia? - Standard

Seltsamer eScan-Log! Paranoia?


Halli hallo.

Deinen Host solltest du dir mit Hoster vorknöpfen.

Zitat:
Aus Erfahrung kann ich einige ausschliessen, wegen den bekannten False-Positives von eScan.
was schließt du aus? Ich kann so auf Anhieb nichts ausschließen.
Für mich sind alle im log auftauchenden Einträge legitim und höchst wahrscheinlich keine FP! Die Virustotal Ergebnisse kann ich da nicht ernst nehmen. Die Einträge sind zu auffällig.


-Hast du dein Log editiert oder sitze ich auf meinen Augen?

Zitat:
System found infected with cydoor Spyware/Adware (cfd.exe)! Action taken: No Action Taken.
System found infected with cydoor Spyware/Adware (cfd.exe)! Action taken: No Action Taken.
wo taucht die cfd.exe wieder auf?


Mein Standart Prozedere kennst du ja:

Wechsel in den abgesicherten Modus und bennen ALLE im Log genannten Dateien um. Fahre den Rechner runter und mache danach einen erneuten scan mit MWAVE.

Mehrere Einträge sind nicht ganz unbedenklich d.h. würde Ich noch weitere Scans machen:


-Deaktiviere die Systemwiederherstellung auf allen Laufwerken.

-Deinstalliere Java über die Systemsteuerung.

-Lasse Blacklight sowie Silentrunners laufen und poste die logFiles..


-Folge dieser Anleitung.

-Run Combofix. Poste den erscheinenden Text.

-Durchsuche mit Lavasoft und Spybot-S&D sowie deinem AV-Prog (alle drei mit aktuellen Signaturen!) dein System jeweils 2x. Erst im normalen und dann im abgesicherten Modus (F8 beim Hochfahren).

-Räume mit cCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen).

-Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).

-Danach machst du einen eScan nach Anleitung in meiner Signatur und postest das log.




Gruß

Undoreal
__________________

__________________
Alt 05.10.2007, 15:33   #3
.::|||::.
 
Seltsamer eScan-Log! Paranoia? - Standard

Seltsamer eScan-Log! Paranoia?


Zitat:
wo taucht die cfd.exe wieder auf?
Das ist aus dem eScan-Log nach der find.bat leider nicht ersichtlich...
Im MWAV.log taucht sie hier auf:
C:\Programme\BroadJump\Client Foundation\CFD.exe
Sonst nirgendwo?!?
Zitat:
-Deinstalliere Java über die Systemsteuerung.
Wieso das denn???

Ich fang mal an...
Mfg

EDIT::
Wenn ich Smitfraudfix downloaden und extrahieren will, kommt folgende Fehler:
The archive is corrupt!
Der Neue Ordner ist das nur 300kb gross???

EDIT2:
Die Trial von Blacklight soll "expired" sein, soll nur bis zum 1,Oktober gehen`!?!
__________________
__________________
Geändert von .::|||::. (05.10.2007 um 16:12 Uhr)

Alt 05.10.2007, 17:00   #4
undoreal
/// AVZ-Toolkit Guru
 
Seltsamer eScan-Log! Paranoia? - Standard

Seltsamer eScan-Log! Paranoia?


Zitat:
Das ist aus dem eScan-Log nach der find.bat leider nicht ersichtlich...
Im MWAV.log taucht sie hier auf:
C:\Programme\BroadJump\Client Foundation\CFD.exe
Sonst nirgendwo?!?
Dann benenne folgende Datei ebenfalls um: " C:\Programme\BroadJump\Client Foundation\CFD.exe "

Zitat:
Zitat:
-Deinstalliere Java über die Systemsteuerung.
Wieso das denn???
pers. Erfahrung

Zitat:
Wenn ich Smitfraudfix downloaden und extrahieren will, kommt folgende Fehler:
The archive is corrupt!
Der Neue Ordner ist das nur 300kb gross???
da ist def. etwas falsch. Der Ordner sollte eine Größe von 2,61MB aufweisen.

Versuche das Programm auf einem anderen Desktop zu downloaden und auf einen USB Stick zu entpacken. Von dort aus sollte es eigentlich auch laufen.

Zitat:
Die Trial von Blacklight soll "expired" sein, soll nur bis zum 1,Oktober gehen`!?!
sry, mein Fehler. Vergiss Blacklight. Im Combofix haben wir GMER eh mit drinn..

Gruß

Undo
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Alt 05.10.2007, 17:23   #5
ordell1234
 
Seltsamer eScan-Log! Paranoia? - Standard

Seltsamer eScan-Log! Paranoia?


Zitat:
Zitat von .::|||::. Beitrag anzeigen
Das ist aus dem eScan-Log nach der find.bat leider nicht ersichtlich...
Im MWAV.log taucht sie hier auf:
C:\Programme\BroadJump\Client Foundation\CFD.exe
Sonst nirgendwo?!?
Kannst du mal bitte das komplette mwav.log irgendwo hosten? Danke und Gruß


Alt 05.10.2007, 17:45   #6
.::|||::.
 
Seltsamer eScan-Log! Paranoia? - Standard

Seltsamer eScan-Log! Paranoia?


Zitat:
Kannst du mal bitte das komplette mwav.log irgendwo hosten? Danke und Gruß
Bitte, hier:
RapidShare: 1-Click Webhosting
Also dann mal die Logs:
Combofix:
Zitat:
ComboFix 07-10-05.3 - Admin 2007-10-05 17:12:08.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.120 [GMT 2:00]
ausgeführt von:: F:\AV\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\MSN Messenger\msimg32.dll
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2007-09-05 bis 2007-10-05 ))))))))))))))))))))))))))))))
.

2007-10-05 17:10 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-04 21:40 <DIR> d-------- C:\bases_x
2007-10-04 19:43 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-10-04 19:43 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-10-04 19:43 <DIR> d-a------ C:\WINDOWS\system32\systems.txt
2007-10-04 19:43 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-10-04 19:43 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-10-04 19:43 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-10-04 19:43 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-10-04 19:37 153,600 --a------ C:\WINDOWS\R.COM
2007-10-04 19:37 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-09-27 16:20 <DIR> d-------- C:\Dokumente und Einstellungen\Michal\Anwendungsdaten\Simply Super Software
2007-09-26 17:46 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll
2007-09-26 17:46 75,264 --a------ C:\WINDOWS\system32\unacev2.dll
2007-09-26 17:46 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll
2007-09-26 17:46 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll
2007-09-26 17:46 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll
2007-09-26 17:46 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-09-26 17:46 <DIR> d-------- C:\Programme\Trojan Remover
2007-09-26 17:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Simply Super Software
2007-09-26 17:46 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Simply Super Software
2007-09-25 17:17 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Acronis
2007-09-25 17:08 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Acronis
2007-09-25 16:57 368,736 --a------ C:\WINDOWS\system32\drivers\tdrpman.sys
2007-09-19 15:11 <DIR> d-------- C:\Programme\SpywareBlaster
2007-09-19 14:59 23 --ahs---- C:\WINDOWS\system32\cebf2_r.dll
2007-09-19 14:58 <DIR> d-------- C:\Programme\jv16 PowerTools 2007
2007-09-14 22:14 545 --a------ C:\WINDOWS\UC.PIF
2007-09-14 22:14 545 --a------ C:\WINDOWS\RAR.PIF
2007-09-14 22:14 545 --a------ C:\WINDOWS\PKZIP.PIF
2007-09-14 22:14 545 --a------ C:\WINDOWS\PKUNZIP.PIF
2007-09-14 22:14 545 --a------ C:\WINDOWS\NOCLOSE.PIF
2007-09-14 22:14 545 --a------ C:\WINDOWS\LHA.PIF
2007-09-14 22:14 545 --a------ C:\WINDOWS\ARJ.PIF
2007-09-14 22:14 <DIR> d-------- C:\Programme\TotalCommander
2007-09-14 22:12 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2007-09-09 13:19 <DIR> d-------- C:\Dokumente und Einstellungen\Michal\Anwendungsdaten\Babylon
2007-09-06 18:33 <DIR> d-------- C:\Search

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-05 17:28 7162656 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-10-05 17:26 --------- d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2007-10-05 17:23 96596 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2007-10-05 17:23 323104 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-10-05 17:23 31364 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2007-10-05 17:22 --------- d-------- C:\Programme\MSN Messenger
2007-10-03 15:27 --------- d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2007-09-26 16:54 --------- d-------- C:\Dokumente und Einstellungen\Michal\Anwendungsdaten\Ahead
2007-09-25 17:11 --------- d-------- C:\Programme\Acronis
2007-09-25 17:05 --------- d-------- C:\Programme\Gemeinsame Dateien\Acronis
2007-09-25 17:04 --------- d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acronis
2007-09-25 17:03 44416 --a------ C:\WINDOWS\system32\drivers\tifsfilt.sys
2007-09-25 17:03 441760 --a------ C:\WINDOWS\system32\drivers\timntr.sys
2007-09-25 17:03 129248 --a------ C:\WINDOWS\system32\drivers\snapman.sys
2007-09-11 20:08 --------- d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-09-10 13:25 --------- d-------- C:\Programme\TuneUp Utilities 2007
2007-09-06 18:27 --------- d-------- C:\Programme\Security Task Manager
2007-09-04 16:01 82061 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-09-04 16:01 81549 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-09-01 12:56 --------- d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage
2007-08-31 16:59 222488 --a------ C:\WINDOWS\system32\snapapi.dll
2007-08-29 18:35 --------- d-------- C:\Programme\GTA-SanAndreas
2007-08-29 18:04 --------- d-------- C:\Programme\Microsoft Private Folder 1.0
2007-08-25 15:17 --------- d-------- C:\Dokumente und Einstellungen\Michal\Anwendungsdaten\Steganos
2007-08-24 20:08 --------- d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Steganos
2007-08-23 17:27 --------- d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Ahead
2007-08-23 17:02 --------- d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Intel
2007-08-23 14:56 --------- d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Help
2007-08-21 18:59 --------- d-------- C:\Dokumente und Einstellungen\Michal\Anwendungsdaten\Apple Computer
2007-08-21 18:44 --------- d-------- C:\Programme\iTunes
2007-08-21 18:44 --------- d-------- C:\Programme\iPod
2007-08-21 18:42 --------- d-------- C:\Programme\Apple Software Update
2007-08-21 18:41 --------- d-------- C:\Programme\Gemeinsame Dateien\Apple
2007-08-21 18:36 --------- d-------- C:\Programme\QuickTime
2007-08-21 18:33 --------- d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2007-08-21 18:32 --------- d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2007-08-21 18:14 --------- d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Apple Computer
2007-08-21 18:13 --------- d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QuickTime
2007-08-21 18:11 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-08-21 17:26 --------- d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\LimeWire
2007-08-14 20:47 --------- d-------- C:\Programme\Neoretix
2007-08-14 14:55 --------- d-------- C:\Dokumente und Einstellungen\Michal\Anwendungsdaten\TuneUp Software
2007-08-11 15:27 --------- d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\FlashFXP
2007-08-11 12:11 --------- d-------- C:\Programme\Kaspersky Lab
2007-08-11 12:08 --------- d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Lavasoft
2007-08-11 12:07 --------- d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-07-22 22:47]
"OODefragTray"="C:\WINDOWS\system32\oodtray.exe" [2007-05-11 02:08]
"Apoint"="C:\Programme\Apoint\Apoint.exe" [2001-08-21 14:26]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-05-19 22:36]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 15:39 294400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
C:\Programme\Intel\Wireless\Bin\LgNotify.dll 2005-07-22 22:46 110592 C:\Programme\Intel\Wireless\Bin\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 relog_ap

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
"BJCFD"=C:\Programme\BroadJump\Client Foundation\CFD.exe
"Dell QuickSet"=C:\Programme\Dell\QuickSet\quickset.exe
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
"SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe"
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"AcronisTimounterMonitor"=C:\Programme\Acronis\TrueImageHome 11\TimounterMonitor.exe
"TrueImageMonitor.exe"=C:\Programme\Acronis\TrueImageHome 11\TrueImageMonitor.exe
"TrojanScanner"=C:\Programme\Trojan Remover\Trjscan.exe

R0 snapman;Acronis Snapshots Manager;C:\WINDOWS\system32\DRIVERS\snapman.sys
R0 tdrpman;Acronis Try&Decide and Restore Points filter;C:\WINDOWS\system32\DRIVERS\tdrpman.sys
R0 timounter;Acronis True Image Backup Archive Explorer;C:\WINDOWS\system32\DRIVERS\timntr.sys
R2 Prvflder;Prvflder;C:\WINDOWS\system32\DRIVERS\prvflder.sys
R2 tifsfilter;Acronis True Image FS Filter;C:\WINDOWS\system32\DRIVERS\tifsfilt.sys
R2 TryAndDecideService;Acronis Try And Decide Service;"C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe"
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys
R3 WmBEnum;Logitech Virtual Bus Enumerator Driver;C:\WINDOWS\system32\drivers\WmBEnum.sys
R3 WmXlCore;Logitech WingMan Translation Layer Driver;C:\WINDOWS\system32\drivers\WmXlCore.sys
S3 WmFilter;Logitech WingMan HID Filter Driver;C:\WINDOWS\system32\drivers\WmFilter.sys
S3 WmVirHid;Logitech Virtual Hid Device Driver;C:\WINDOWS\system32\drivers\WmVirHid.sys

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2007-10-05 15:21:28 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
"2007-10-02 14:43:07 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-05 17:26:15
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-05 17:33:40 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-10-05 17:30
.
--- E O F ---
Smitfraudfix mit Nummer 1:

Zitat:
SmitFraudFix v2.237

Scan done at 17:45:33.67, 05.10.2007
Run from C:\Programme\Mozilla Firefox\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\systems.txt FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Admin


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Admin\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Admin\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\PROGRA~1\\KASPER~1\\KASPER~1.0\\adialhk.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CS2\Services\Tcpip\..\{D1B822E3-FA33-4E3B-912D-0BD1A9CEF993}: DhcpNameServer=62.2.17.60 62.2.24.162 62.2.17.61 62.2.24.158
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=62.2.17.60 62.2.24.162 62.2.17.61 62.2.24.158


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
Smitfraudfix mit Nummer 2:
Zitat:
SmitFraudFix v2.237

Scan done at 17:57:28.51, 05.10.2007
Run from F:\AV\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CS2\Services\Tcpip\..\{D1B822E3-FA33-4E3B-912D-0BD1A9CEF993}: DhcpNameServer=62.2.17.60 62.2.24.162 62.2.17.61 62.2.24.158
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=62.2.17.60 62.2.24.162 62.2.17.61 62.2.24.158


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Reboot

C:\WINDOWS\system32\systems.txt Please, Reboot and Run SmitfraudFix option 2 once again.


»»»»»»»»»»»»»»»»»»»»»»»» End
__________________
--> Seltsamer eScan-Log! Paranoia?

Alt 05.10.2007, 17:49   #7
.::|||::.
 
Seltsamer eScan-Log! Paranoia? - Standard

Seltsamer eScan-Log! Paranoia?


Silentrunnerlog und iClean log sind zu gross...
Habs auch mal raufeladen:
Silentrunners
iClean
Den eScan mache ich noch!
Mfg
__________________
.::Never touch a running system::.
.::Hijackthis::..::eScan::..::Virustotal::..::Killbox::..::Neuaufsetzen::.

Alt 05.10.2007, 18:28   #8
ordell1234
 
Seltsamer eScan-Log! Paranoia? - Standard

Seltsamer eScan-Log! Paranoia?


Mal auf die Schnelle, ich muss gleich weg:

cfd.exe - find.bat: Der Unterschied folgt imho aus der spyware-engine/datenbank von escan (Eigenentwicklung) und den kav-Signaturen. Die cfd.exe stand wohl mal im Verdacht, spyware zu sein, aber ne flüchtige Google-Schau gibt Entwarnung. Im Virenscan von escan geht die Datei ohne Probleme durch, deshalb spuckt find.bat im unteren Teil des logs nichts aus. Ergo: FP von escan, was ein weiteres Mal unterschreicht, die Spyware-Suche von escan ist kompletter Müll. Den Rest managed undoreal, euch ein schönes WE ordell

Alt 06.10.2007, 11:28   #9
.::|||::.
 
Seltsamer eScan-Log! Paranoia? - Standard

Seltsamer eScan-Log! Paranoia?


So hab jetzt alles gemacht!
Spybot und Adaware finden nix auuser Gebrauchsspuren!
eScan, sieht schon besser aus:
Zitat:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.4.4
Sprache: English
Virus Database Date: 10/3/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: No Action Taken.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: No Action Taken.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: No Action Taken.
System found infected with cydoor Spyware/Adware (cfd.exe)! Action taken: No Action Taken.
System found infected with cydoor Spyware/Adware (cfd.exe)! Action taken: No Action Taken.
Object "grokster Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "NULLBYTE Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "grokster Spyware/Adware" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
File C:\DELL\drivers\R122161\HDAQFE\win2k3\jpn\qfe94.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken.
File C:\DELL\drivers\R122161\HDAQFE\win2k3\us\qfe99.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\.q_13A40_q\HDAQFE\win2k3\jpn\qfe97.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\.q_13A40_q\HDAQFE\win2k3\us\qfe98.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\.q_13A40_q\HDAQFE\win2k_xp\us\qfe96.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Programme\Mozilla Firefox\SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKCR\magnet !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\Michal\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\zlhfo62u.default\Cache\0C5F542Cd01 not Scanned. Possibly password protected...
C:\Programme\Microsoft Office\Office12\1031\OneNoteMobile.CAB not Scanned. Possibly password protected...
C:\Programme\Nero\Nero 7\Nero Mobile\SetupNeroMobile.exe not Scanned. Possibly password protected...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Total Critical Objects: 17
Total Disinfected Objects: 0
Total Objects Renamed: 0
Total Deleted Objects: 0
Total Errors: 42
Time Elapsed: 01:10:18
Total Objects Scanned: 67767
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Memory Check: Enabled
Registry Check: Enabled
System Folder Check: Enabled
System Area Check: Disabled
Services Check: Enabled
Drive Check: Disabled
All Drive Check :Enabled
All Drive Check :Enabled

Batchstart: 12:04:59.56
Batchende: 12:05:05.67
Ich hab die Hosts-Datei resettet und nur die von Spybot hinzugefügt, sieht ja schon besser aus

Neues Hijackthislog:
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:39:50, on 06.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\oodtray.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Dokumente und Einstellungen\XXXXX\Eigene Dateien\2.02.com

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://wxw.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187872765703
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - hxxp://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 6760 bytes
Die CFD.exe ist i.o!
Eigentlich sollte der Driver für mein DELL-Notebook auch ok sein, der wurde direkt von Dell geliefert
Mfg
__________________
.::Never touch a running system::.
.::Hijackthis::..::eScan::..::Virustotal::..::Killbox::..::Neuaufsetzen::.

Alt 07.10.2007, 09:37   #10
.::|||::.
 
Seltsamer eScan-Log! Paranoia? - Standard

Seltsamer eScan-Log! Paranoia?


Die Ruhe nach dem Sturm:aplaus:
Ich hab unter C noch ein Log gefunden:
Combofix Quarantäne
Code:
ATTFilter
2004-08-04 14:00      140800    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\TASKMGR.COM.vir
2004-08-04 14:00      153600    --a------    C:\Qoobox\Quarantine\C\WINDOWS\REGEDIT.COM.vir
2007-06-05 22:39      71256    --a------    C:\Qoobox\Quarantine\C\Programme\MSN Messenger\msimg32.dll.vir


Auflistung der Ordnerpfade
Volumenummer: 6060-84B6
C:\QOOBOX\QUARANTINE
+---C
|   +---Programme
|   |   \---MSN Messenger
|   |           msimg32.dll.vir
|   |           
|   \---WINDOWS
|       |   REGEDIT.COM.vir
|       |   
|       \---system32
|               TASKMGR.COM.vir
|               
\---Registry_backups
__________________
.::Never touch a running system::.
.::Hijackthis::..::eScan::..::Virustotal::..::Killbox::..::Neuaufsetzen::.

Alt 07.10.2007, 22:16   #11
undoreal
/// AVZ-Toolkit Guru
 
Seltsamer eScan-Log! Paranoia? - Standard

Seltsamer eScan-Log! Paranoia?


O.k. der Zippie ist hartnäckig.

PrevX sollte ihn eigentlich finden. Folge der Anleitung und poste mal ein log des scans.

Gruß

Undoreal
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Alt 08.10.2007, 09:57   #12
.::|||::.
 
Seltsamer eScan-Log! Paranoia? - Standard

Seltsamer eScan-Log! Paranoia?


Zitat:
Zitat von undoreal Beitrag anzeigen
O.k. der Zippie ist hartnäckig.
Woraus schliesst du, dass es sich um den handelt.
Ein Vergleich mit den Symptomen und Prozessen von Zippie stimmt nicht überein...
Zitat:
PrevX sollte ihn eigentlich finden. Folge der Anleitung und poste mal ein log des scans.l
Also die Prevx1 gibts auf der Seite nicht mehr...
Soll ich die Prevx2 nehmen?
Ich hab mal den Prevx CSI runtergeladen und gescannt, nix gefunden!
Das Log von Prevx CSI war zu gross (320KB), ich habs auch mal hochgeladen!
RapidShare: 1-Click Webhosting
Mfg

EDIT:
Hab mir jetzt mal die Prevx2 geholt!
Update->File- und Prozessscan->Nichts!!!
?Langsam beginne ich an einem Befall zu zweifeln!
__________________
.::Never touch a running system::.
.::Hijackthis::..::eScan::..::Virustotal::..::Killbox::..::Neuaufsetzen::.
Geändert von .::|||::. (08.10.2007 um 10:45 Uhr)

Alt 08.10.2007, 12:13   #13
undoreal
/// AVZ-Toolkit Guru
 
Seltsamer eScan-Log! Paranoia? - Standard

Seltsamer eScan-Log! Paranoia?


Hast du die Dateien denn vielleicht mal rausgesucht? Die Eigenschaften wären interessant..

Benenne sie halt sonst einfach mal um und gucke was passiert.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Alt 08.10.2007, 14:08   #14
.::|||::.
 
Seltsamer eScan-Log! Paranoia? - Standard

Seltsamer eScan-Log! Paranoia?


Zitat:
Zitat von undoreal Beitrag anzeigen
Hast du die Dateien denn vielleicht mal rausgesucht? Die Eigenschaften wären interessant..

Benenne sie halt sonst einfach mal um und gucke was passiert.
Welche Dateien jetzt?
Die, welche Combofix gefunden hat (msimg32.dll, REGEDIT.COM, TASKMGR.COM) oder die DELL-Treiber oder gar die CFD.exe?
Die DELL-Treiber habe ich schon umbenannt, aber sie werden immer noch von eScan angezeigt!
Mfg
__________________
.::Never touch a running system::.
.::Hijackthis::..::eScan::..::Virustotal::..::Killbox::..::Neuaufsetzen::.

Antwort

Themen zu Seltsamer eScan-Log! Paranoia?
appinit_dlls, auswerten, bho, browser, desktop, drivers, einstellungen, exe.corrupted, fehler, firefox, gen 2, gservice, hijack, hosts-datei, internet, internet explorer, internet security, kaspersky, kein fund, logfile, malware, mehrere, mozilla, mozilla firefox, nicht gefunden, object, prozesse, registry, registry key, security, senden, software, spam, system, trend micro, träge, viren, windows, windows xp, windows\system32\drivers


« Backspace Virus, hoffentlich nur Hardware defekt | hpodvd09.log was ist das??? »


Ähnliche Themen: Seltsamer eScan-Log! Paranoia?


  1. Win7: Regin ? viele Funde mit LOKI, akute Paranoia angebracht?
    Log-Analyse und Auswertung - 06.03.2015 (11)
  2. Schaut mal drüber ^^ (Paranoia)
    Log-Analyse und Auswertung - 20.02.2012 (5)
  3. Internetadressen - Paranoia
    Alles rund um Windows - 05.02.2012 (5)
  4. Irgendwo ist da was im System...? (oder Paranoia)
    Log-Analyse und Auswertung - 03.02.2011 (40)
  5. malware,trojaner,oder doch nur paranoia ;)?
    Log-Analyse und Auswertung - 20.12.2010 (11)
  6. Internet langsam + Paranoia
    Log-Analyse und Auswertung - 01.12.2010 (7)
  7. Kompromittierung! ...oder Paranoia?
    Log-Analyse und Auswertung - 23.10.2010 (1)
  8. IBM Thinkpad - Infiziert oder Paranoia??!?
    Log-Analyse und Auswertung - 23.04.2008 (5)
  9. Escan melden Befall z.B. gain.gator, winfixer, fujacks worm, HJT Log und Escan Log
    Log-Analyse und Auswertung - 04.03.2008 (8)
  10. trojaner oder doch bloß paranoia ?!
    Log-Analyse und Auswertung - 14.01.2008 (18)
  11. Ey,alder- hab ich paranoia?
    Mülltonne - 17.09.2007 (1)
  12. seltsamer PC-Absturz
    Netzwerk und Hardware - 09.04.2007 (2)
  13. hab ich was oder habich paranoia
    Log-Analyse und Auswertung - 28.02.2007 (4)
  14. escan gibt 64 viren an, escan-checkb9 findet keine zu löschenden dateien
    Antiviren-, Firewall- und andere Schutzprogramme - 27.07.2005 (0)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Seltsamer eScan-Log! Paranoia? - Hi Vorab: Ich hatte bisher noch nie Probleme (jetzt eig. auch nicht ) mit Viren o.ä. und mein Kaspersky hat mich noch nie schützen müssen. So, nun zu meinen "Problem": - Seltsamer eScan-Log! Paranoia?...
Archiv
Du betrachtest: Seltsamer eScan-Log! Paranoia? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55