| |
| |||||||
Log-Analyse und Auswertung: Wurm- & Trojanerverseucht trotz Schutz - stimmt das???Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
05.11.2007, 13:02
| #1 |
 |  Wurm- & Trojanerverseucht trotz Schutz - stimmt das??? Hallo, schon länger kämpfe ich mit einem stark verlangsamten System (Win XP + SP2), manchmal tagelang verzögertem email-Empfang (Thunderbird), (scheinbar) unerklärlichen Abbrüchen von Programmen und Systemabstürzen. Ich bin selbst kein Profi, habe aber PC-Freunde, die mir aber nicht weiterhelfen konnten. Eigentlich fühle ich mich gut geschützt, habe Norton Internet Security (vor kurzem lief das Abo aus, will wechseln, weil das angeblich ja auch das System stark verlangsamt - stimmt das - und auf was dann?), das keine Schädlinge findet, die Fritzbox Firewall aktiviert, Spybot findet nichts, Regcleaner ebenfalls nicht. Jetzt war ich eben auf der Website hijackfree.de, auf der man online ein Logfile auswerten lassen kann, und bin entsetzt! Laut dieser Analyse ist mein System voll von Schädlingen, Trojaner, Würmer, Keylogger und Viren - kann das sein? Seltsam ist auch, dass ich die angeblichen Kommandozeilen der Schädlinge in den jeweiligen in der Analyse bezeichneten Ordnern nicht finden kann (z.B. windows/help/help). Können sich die auch woanders verstecken oder unsichtbar machen (hab natürlich die versteckten Dateien schon sichtbar gemacht)? Ich habe mich ja schon öfter gefragt, warum zum Beispiel ccApp so oft im taskManager angezeigt wird - stecken da wirklich Schädlinge dahinter? Ich würde mich freuen, wenn jemand mal einen Blick auf mein Logfile werfen kann, und mir sagt, ob das stimmt, was dieser onlinetest behauptet. Hier erstmal einige Schädlingsmeldungen, die die hijackfree-Seite mir anzeigt(es gibt noch viele mehr...!): $statusgood$ Y ccApp ccApp.exe Part of Norton AntiVirus. Auto-protect and E-mail check will not function without this $statusbad$ X ccApp [random filename] Added by the OBSORB TROJAN! Note the random filename compared to the valid Norton AntiVirus $statusbad$ X ccApp WMADZ.EXE Added by the RBOT-LJ WORM! $statusbad$ X ccApp .EXE Added by the RBOT-LJ WORM! $statusbad$ X ccApp gcasServ.exe Added by a variant of the RBOT WORM! Do not confuse with the Microsoft AntiSpyware executable of the same name $statusbad$ X Norton Auto-Protect ccApp.exe Added by the AKHER.D WORM! Note - for the valid Norton AV entry the filename is "navapexe". This is also not the valid Norton AV file with the same filename $statusbad$ X Symantec Service ccApp.exe Added by the AKHER.D WORM! Note - this is also not the valid Norton AV file with the same filename $statusbad$ X Symantec ccapp.exe Added by the REATLE WORM! Note - this is not a Symantec file $statusbad$ X Automatic Windows Updater Update.exe Added by the GAOBOT.AO WORM! $statusbad$ X AV UpDate Update.exe Added by the FUROOT-A TROJAN! $statusbad$ X Windows Update Update.exe Added by the DELF-FN TROJAN! $statusbad$ X MouseDrv update.exe Added by the ZOTOB.N WORM! $statusbad$ X ScanRegistry update.exe Added by the DWNLDR-FZY TROJAN! $statusbad$ X System Update2 update.exe Added by the AUTOTROJ-C TROJAN! $statusbad$ X updatewin update.exe Added by a variant of the SDBOT WORM! $statusbad$ X Update Update.exe QuickButton adware $statusgood$ Y Update Service Update.exe Loaded by Handybits programs such as EasyCrypto. Re-instates itself every time the program is run so best to leave it enabled. Prevent it dialling out via a firewall $statusbad$ X update service svxhost.exe Added by the RBOT-MG WORM! $statusbad$ X Update Service winu32.exe Added by the RBOT-MG WORM! $statusbad$ X update service winx.exe Added by a variant of the RBOT WORM! $statusbad$ X startkey update.exe Added by the BIFROSE-DG TROJAN! $statusbad$ X Microsoft Update update.exe Added by a variant of the SDBOT WORM! $statusbad$ X OrbitUpdate update.exe Xupiter OrbitExplorer toolbar related. Drive-by foistware. Use Spybot S&D, Adware or similar to detect and remove and to prevent it re-installing in the future see here $statusbad$ X msupdate update.exe Added by a variant of the SDBOT WORM! Und hier das Logfile: Logfile of HijackThis v1.99.1 Scan saved at 11:49:56, on 05.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\spoolsv.exe c:\programme\a-squared free\a2service.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\FRITZ!Box-Kindersicherung\avmident.exe C:\PROGRA~1\NORTON~2\GHOSTS~2.EXE C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Norton Ghost 2003\GhostStartTrayApp.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\FRITZ!DSL\fritzdsl.exe C:\Programme\FRITZ!DSL\fwebprot.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Hijackthis\HJT.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton Ghost 2003\GhostStartTrayApp.exe O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [_winadm] C:\WINDOWS\system32\winadm.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Update Service] "C:\Programme\Gemeinsame Dateien\Teknum Systems\update.exe" /startup O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O17 - HKLM\System\CCS\Services\Tcpip\..\{4BC082CD-1082-4C43-9DFB-9A47621A736C}: NameServer = 192.168.122.252,192.168.122.253 O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\programme\a-squared free\a2service.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!Box-Kindersicherung (avmidentd) - AVM Berlin - C:\Programme\FRITZ!Box-Kindersicherung\avmident.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~2\GHOSTS~2.EXE O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing) O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe So, ich freu mich, wenn sich jemand die Mühe macht, um das durchzuschauen, und sag im Voraus schon mal danke! Mit freundlichen Grüßen Gerhard |
|
05.11.2007, 19:41
| #2 | ||||
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Wurm- & Trojanerverseucht trotz Schutz - stimmt das??? Tach.
__________________Zitat:
Als Tipp wäre ein Virenscanner plus Windows-Firewall, das reicht dicke, denn der Hauptaugenmerk liegt auf Verhaltensgrundregeln - konsequent umgesetzt benötigt es kein Virenscanner oder Firewall, nur diese Programme melden u.U. wenn doch was im Argen ist. Wie gesagt, Windows-Firewall reicht, lastet das System auch nicht unnötig aus, und der kostenlose Virenscanner AntiVir als Beispiel. Wenn es ein gute Bezahlvariante sein soll: Kaspersky Antivirus (nur den reinen Scanner, die Suite Kaspersky IS braucht's auch nicht!). Zitat:
 Meinst du nicht eher Hijackthis?! Zitat:
Zitat:
Wir sollten dein System daher genauer analysieren: Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles: - eScanUnd um noch weitere "krumme" Dateien im System aufzuspüren: Über ein filelisting mit diesem script:Diese listing.txt z.B. bei rapidshare hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________ |
|
06.11.2007, 09:01
| #3 | ||
| | Wurm- & Trojanerverseucht trotz Schutz - stimmt das??? Hallo,
__________________danke erst mal für diese erste Antwort! Zitat:
Hab gestern abend noch Norton rausgeschmissen, und nach langem Überlegen und Testvergleichen tatsächlich AntiVir installiert. Schön, dass du das nochmal im Nachhinein bestätigst hast!  Zitat:
 An den Rest der Analyse mach ich mich jetzt ran, und poste dann die Ergebnisse. Vielen Dank erstmal Gerhard |
|
06.11.2007, 19:25
| #4 |
| | Wurm- & Trojanerverseucht trotz Schutz - stimmt das??? So, hier ist das Log von COMBO: ComboFix 07-11-01.1** - Chef 2007-11-06 18:07:06.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.xxxxxxxxx [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\xxxx\Eigene Dateien\Downloads\Combofix\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\regedit.com C:\WINDOWS\system32\taskmgr.com . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_NPF ((((((((((((((((((((((( Dateien erstellt von 2007-10-06 bis 2007-11-06 )))))))))))))))))))))))))))))) . 2007-11-06 18:05 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-11-06 17:15 <DIR> d-------- C:\bases_x 2007-11-06 16:40 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\COWON 2007-11-06 14:43 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird 2007-11-06 14:43 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Talkback 2007-11-06 10:22 <DIR> d-a------ C:\WINDOWS\zts2.exe 2007-11-06 10:22 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll 2007-11-06 10:22 <DIR> d-a------ C:\WINDOWS\system32\systems.txt 2007-11-06 10:22 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll 2007-11-06 10:22 <DIR> d-a------ C:\WINDOWS\rundll16.exe 2007-11-06 10:22 <DIR> d-a------ C:\WINDOWS\rundl132.dll 2007-11-06 10:22 <DIR> d-a------ C:\WINDOWS\logo1_.exe 2007-11-06 10:20 153,600 --a------ C:\WINDOWS\R.COM 2007-11-06 10:20 140,800 --a------ C:\WINDOWS\system32\T.COM 2007-11-05 23:31 <DIR> d-------- C:\Programme\Avira 2007-11-05 23:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2007-11-05 22:56 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2007-11-05 22:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2007-11-05 22:55 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü 2007-11-05 22:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2007-11-05 22:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2007-11-05 22:55 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2007-11-05 22:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2007-11-05 22:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InterTrust 2007-11-05 22:55 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2007-11-05 22:29 <DIR> d-------- C:\Programme\CCleaner 2007-11-05 19:18 <DIR> d-------- C:\Programme\Spyware Doctor 2007-11-05 19:18 <DIR> d-------- C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\PC Tools 2007-11-05 19:18 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2007-11-05 19:18 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll 2007-11-05 19:18 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2007-11-05 19:18 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2007-11-05 19:18 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2007-11-05 19:18 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2007-10-25 21:15 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE 2007-10-25 21:15 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple 2007-10-25 21:15 <DIR> d-------- C:\Programme\Apple Software Update 2007-10-25 21:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple 2007-10-17 21:34 <DIR> d-------- C:\Programme\Exact Audio Copy 2007-10-17 21:34 <DIR> d-------- C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\AccurateRip 2007-10-17 17:23 <DIR> d-------- C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\Steinberg 2007-10-16 08:55 <DIR> d-------- C:\Programme\VOB 2007-10-16 08:55 611,840 --a------ C:\WINDOWS\system32\vobhw.dll 2007-10-16 08:55 377,856 --a------ C:\WINDOWS\system32\PSDrvCheck.exe 2007-10-16 08:55 153,088 --a------ C:\WINDOWS\system32\IWUninstall.exe 2007-10-16 08:55 19,456 --a------ C:\WINDOWS\system32\asapi.dll 2007-10-16 08:55 11,264 --a------ C:\WINDOWS\system32\drivers\asapiW2k.sys 2007-10-16 08:53 <DIR> d-------- C:\Programme\Steinberg 2007-10-16 08:53 1,441,792 --a------ C:\WINDOWS\system32\nspw7.dll 2007-10-16 08:53 1,429,504 --a------ C:\WINDOWS\system32\nspa6.dll 2007-10-16 08:53 1,404,928 --a------ C:\WINDOWS\system32\nspm6.dll 2007-10-16 08:53 1,335,296 --a------ C:\WINDOWS\system32\nspm5.dll 2007-10-16 08:53 1,318,912 --a------ C:\WINDOWS\system32\nspp6.dll 2007-10-16 08:53 1,306,624 --a------ C:\WINDOWS\system32\nsppx.dll 2007-10-16 08:53 114,688 --a------ C:\WINDOWS\system32\nsp.dll 2007-10-16 08:53 19,968 --a------ C:\WINDOWS\system32\Cpuinf32.dll 2007-10-15 11:36 <DIR> d-------- C:\Programme\Audacity 1.3 Beta 2007-10-15 11:22 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys 2007-10-15 11:22 59,264 --a------ C:\WINDOWS\system32\dllcache\usbaudio.sys 2007-10-15 11:22 21,504 --a------ C:\WINDOWS\system32\hidserv.dll 2007-10-15 11:22 21,504 --a------ C:\WINDOWS\system32\dllcache\hidserv.dll 2007-10-15 11:22 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys 2007-10-15 11:22 9,600 --a------ C:\WINDOWS\system32\dllcache\hidusb.sys 2007-10-11 15:24 584,192 --------- C:\WINDOWS\system32\dllcache\rpcrt4.dll 2007-10-09 15:15 <DIR> d-------- C:\Programme\7-Zip 2007-10-07 17:29 <DIR> d-------- C:\Programme\gs . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-06 07:52 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec 2007-11-05 20:27 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared 2007-11-05 20:19 --------- d-----w C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\Symantec 2007-11-02 19:50 --------- d-----w C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\FRITZ! 2007-11-01 08:55 --------- d-----w C:\Programme\Imagistik Pictures 2007-10-28 22:17 --------- d-----w C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\Apple Computer 2007-10-27 09:43 --------- d-----w C:\Programme\PC Inspector File Recovery 2007-10-27 09:43 --------- d-----w C:\Programme\HD Tune 2007-10-27 09:43 --------- d-----w C:\Programme\Harry Potter und der Feuerkelch 2007-10-27 09:43 --------- d-----w C:\Programme\Google Earth 2007-10-27 09:43 --------- d-----w C:\Programme\FRITZ!DSL 2007-10-27 09:43 --------- d-----w C:\Programme\Die Schlacht um Mittelerde(tm) 2007-10-25 20:21 --------- d-----w C:\Programme\iTunes 2007-10-25 20:20 --------- d-----w C:\Programme\iPod 2007-10-25 20:18 --------- d-----w C:\Programme\QuickTime 2007-10-25 20:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer 2007-10-22 20:17 --------- d-----w C:\Programme\Mozilla Thunderbird 2007-10-22 17:08 27,262,976 ----a-w C:\VIRTPART.DAT 2007-10-18 14:51 --------- d-----w C:\Programme\AstroWorld40ger 2007-10-18 14:07 --------- d-----w C:\Programme\Gemeinsame Dateien\AstroWorld Shared 2007-10-09 15:34 --------- d-----w C:\Programme\FreeMind 2007-10-07 16:30 --------- d-----w C:\Programme\FreePDF_XP 2007-10-06 16:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2007-10-02 22:15 --------- d-----w C:\Programme\Windows Media Connect 2 2007-10-02 22:02 --------- d-----w C:\Programme\FRITZ!Box-Kindersicherung 2007-10-02 22:01 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2007-10-02 22:00 --------- d-----w C:\Programme\FRANZIS Schriften-Bibliothek 20_24 2007-10-02 14:21 --------- d-----w C:\Programme\ParentsFriend 2007-09-27 11:48 --------- d-----w C:\Programme\JetAudio 2007-09-25 15:17 --------- d-----w C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\Image Zone Express 2007-09-18 14:46 20 ---h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLec.DAT 2007-09-17 08:49 --------- d-----w C:\Programme\Zattoo 2007-09-12 13:43 --------- d--h--w C:\Programme\InstallShield Installation Information 2007-09-11 13:35 --------- d-----w C:\Programme\XPcleanv5 2007-09-10 20:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan 2007-09-10 19:38 --------- d-----w C:\Programme\Cartoonist 2007-03-14 16:39 51,344 ----a-w C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2006-05-13 13:36 40 ----a-w C:\Programme\gfhggggg.ud2 2006-05-13 13:36 36 ----a-w C:\Programme\hgggg.ud2 2006-04-13 14:10 37 ----a-w C:\Programme\Gerhard.ud2 2006-04-13 14:10 35 ----a-w C:\Programme\Lukas.ud2 2001-02-08 12:52:06 24,576 --sha-w C:\WINDOWS\system32\comsysh.exe 2006-11-15 21:18:07 952 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys 2004-08-03 22:57:24 1,028,096 --sh--w C:\WINDOWS\system32\mfc42.dll 2004-08-03 22:57:30 54,784 --sh--w C:\WINDOWS\system32\msvcirt.dll 2004-08-03 22:57:30 413,696 --sh--w C:\WINDOWS\system32\msvcp60.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22] "EM_EXEC"="C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE" [2002-01-28 08:43] "HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe" [2002-03-28 09:41] "_winadm"="C:\WINDOWS\system32\winadm.exe" [2007-06-21 17:47] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51] "FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 19:27] "PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-02-23 15:55] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-05 23:42] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 00:04] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 23:23:26] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] @= [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GhostStartTrayApp] C:\Programme\Norton Ghost 2003\GhostStartTrayApp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mustek MDC 3000] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Update Service] "C:\Programme\Gemeinsame Dateien\Teknum Systems\update.exe" /startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "xmlprov"=3 (0x3) "WZCSVC"=2 (0x2) "WmdmPmSN"=3 (0x3) "TapiSrv"=3 (0x3) "mnmsrvc"=3 (0x3) "iPod Service"=3 (0x3) "gusvc"=3 (0x3) "GhostStartService"=2 (0x2) "Apple Mobile Device"=2 (0x2) "LiveUpdate Notice Service"=2 (0x2) "LiveUpdate"=3 (0x3) "navapsvc"=2 (0x2) [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" "NECStartPage"=C:\apps\HomePage\HomePgui.exe "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime R1 GhPciScan;GhostPciScanner;\??\C:\Programme\Norton Ghost 2003\ghpciscan.sys R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys R2 avmidentd;AVM FRITZ!Box-Kindersicherung;C:\Programme\FRITZ!Box-Kindersicherung\avmident.exe R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS S0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys S2 CoachWdm;Mustek MDC 3000;C:\WINDOWS\system32\Drivers\CoachWdm.sys . ************************************************************************** catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-06 18:17:07 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... ************************************************************************** . Zeit der Fertigstellung: 2007-11-06 18:20:46 - machine was rebooted . --- E O F --- |
|
06.11.2007, 19:27
| #5 |
| | Wurm- & Trojanerverseucht trotz Schutz - stimmt das??? Und hier das Log von escan, das mich erst mal schockiert hat - ist da wirklich so viel verseucht? ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: MINIMAL eScan Version: 9.5.1 Sprache: German Virus-Datenbank Datum: 10/30/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with multipassrecover Spyware (start.exe)! Action taken: Keine Aktion vorgenommen. System found infected with multipassrecover Spyware (readme.txt)! Action taken: Keine Aktion vorgenommen. System found infected with multipassrecover Spyware (readme.txt)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\WINDOWS\system32\unzip32.dll)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei {} infiziert von "Backdoor.Win32.Agent.akf" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\RECYCLER\S-1-5-21-484763869-1592454029-1801674531-1004\Dc3\Quarantine\04AD1D5A.wmf//CryptFF infiziert von "Trojan-Downloader.Win32.Agent.acd" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\RECYCLER\S-1-5-21-484763869-1592454029-1801674531-1004\Dc3\Quarantine\06AE2CDB.tmp//CryptFF infiziert von "Trojan.Java.Binny.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\RECYCLER\S-1-5-21-484763869-1592454029-1801674531-1004\Dc3\Quarantine\140D0AB3.zip//CryptFF/BaaaaBaa.class infiziert von "Exploit.Java.Gimsh.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\RECYCLER\S-1-5-21-484763869-1592454029-1801674531-1004\Dc3\Quarantine\202625A0.tmp//CryptFF infiziert von "Trojan-Downloader.Java.OpenStream.w" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\RECYCLER\S-1-5-21-484763869-1592454029-1801674531-1004\Dc3\Quarantine\32DF4E45.wmf//CryptFF infiziert von "Trojan-Downloader.Win32.Agent.acd" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\RECYCLER\S-1-5-21-484763869-1592454029-1801674531-1004\Dc3\Quarantine\42905FD1.tmp//CryptFF infiziert von "Trojan.Java.Binny.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\RECYCLER\S-1-5-21-484763869-1592454029-1801674531-1004\Dc3\Quarantine\429309CD.tmp//CryptFF infiziert von "Trojan.Java.Binny.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\RECYCLER\S-1-5-21-484763869-1592454029-1801674531-1004\Dc3\Quarantine\4E9D0E5B.wmf//CryptFF infiziert von "Trojan-Downloader.Win32.Agent.acd" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP360\A0418288.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\TDSLCheck.txt infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Datei C:\WINDOWS\RESTORE.INS/C:/OEMCUST/TOOLS/WIN32/PSKILL.EXE markiert als not-a-virus:NetTool.Win32.PsKill.a. Keine Aktion vorgenommen. File C:\WINDOWS\system32\Comclg32.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\winadmd.exe markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\Chef\Eigene Dateien\Downloads\Kindersicheung parentsfriends\pfsetup.exe//data0032 markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP356\A0407339.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP357\A0408336.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP357\A0408352.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP357\A0409352.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP357\A0409387.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP357\A0409406.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP357\A0410406.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP357\A0410512.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP357\A0410525.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP357\A0410581.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP357\A0410606.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP357\A0411606.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP357\A0412606.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP357\A0412614.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0412675.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0412686.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0412701.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0413701.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0414701.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0414711.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0414721.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0414747.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0414756.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0414771.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0414825.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0414871.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0414896.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0414910.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0414943.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0414951.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0415951.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0415959.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0415981.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0415996.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0416018.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0416096.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0416108.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0416117.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0416156.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0416190.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0416200.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0416210.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0416226.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0416234.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP359\A0416502.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP359\A0416519.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP359\A0416559.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP359\A0416641.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP359\A0416697.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP359\A0416718.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP359\A0416769.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP359\A0416827.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP359\A0416882.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP359\A0416912.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP360\A0417070.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP360\A0417084.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP360\A0417098.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP360\A0417141.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP360\A0417155.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP360\A0417218.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP360\A0417238.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP360\A0417247.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP360\A0418247.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP360\A0418260.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP360\A0418871.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP362\A0418937.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP363\A0418946.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP364\A0418986.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP365\A0418996.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP366\A0419041.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP366\A0419397.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP366\A0419405.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP366\A0419410.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP366\A0419418.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP367\A0419461.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP368\A0419470.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP368\A0419493.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP368\A0419520.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP368\A0419528.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Datei C:\WINDOWS\RESTORE.INS/C:/OEMCUST/TOOLS/WIN32/PSKILL.EXE markiert als not-a-virus:NetTool.Win32.PsKill.a. Keine Aktion vorgenommen. Datei C:\WINDOWS\system\RESTORE.INS/C:/OEMCUST/TOOLS/WIN32/PSKILL.EXE markiert als not-a-virus:NetTool.Win32.PsKill.a. Keine Aktion vorgenommen. File C:\WINDOWS\system32\Comclg32.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\winadmd.exe markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\start.exe Offending file found: C:\Dokumente und Einstellungen\Chef\Eigene Dateien\downloads\regseeker\regseeker\readme.txt Offending file found: C:\Dokumente und Einstellungen\Chef\Eigene Dateien\downloads\spiele\elite\pc elite plus\readme.txt Offending file found: C:\WINDOWS\system32\unzip32.dll ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\images\hd ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\Spiele\Die Siedler IV\ReadMe\bluebyte_minigame.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 154615 Gefundene Viren: 103 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 71 Dauer des Scans bisher: 04:08:52 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 17:16:53,71 Batchende: 17:17:05,03 Und der Link von Silentrunners funktioniert nicht, der führt ins Leere, bzw. von der Seite aus führt alles ins Leere, kann da nichts runterladen. Gibts da noch einen anderen? Soweit erstmal. Rest folgt. Vielen Dank schon mal für weitere Tipps Gerhard |
|
06.11.2007, 19:32
| #6 | |
| Administrator > Competence Manager  | Wurm- & Trojanerverseucht trotz Schutz - stimmt das???*kurz einmisch* Schädlinge im Ordner der Systemwiederherstellung: * Deaktiviere die Systemwiederherstellung -> So wird es gemacht. * Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart alles überprüfen. (Systemwiederherstellung kann nun wieder aktiviert werden.) Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)
__________________ --> Wurm- & Trojanerverseucht trotz Schutz - stimmt das??? |
|
06.11.2007, 19:34
| #7 |
| | Silentrunner-Log ...und jetzt hat´s doch geklappt - hier das Silentrunner - Log: "Silent Runners.vbs", revision 52, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "EM_EXEC" = "C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE" ["Logitech Inc. "] "HPDJ Taskbar Utility" = "C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe" ["HP"] "_winadm" = "C:\WINDOWS\system32\winadm.exe" [null data] "Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"] "FreePDF Assistant" = "C:\Programme\FreePDF_XP\fpassist.exe" [null data] "PinnacleDriverCheck" = "C:\WINDOWS\system32\PSDrvCheck.exe" [null data] "avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_08\bin\ssv.dll" ["Sun Microsystems, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{A0752120-6D75-D111-B5B1-0800095A2318}" = "HandyBits EasyCrypto Shell Extensions" -> {HKLM...CLSID} = "EasyCrypto Shell Extension" \InProcServer32\(Default) = "C:\WINDOWS\System32\tsseCryp.dll" [null data] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS] "{57C51AF9-DEF7-11D3-A801-00C04F163490}" = "Ghost Shell Extension" -> {HKLM...CLSID} = "PropPage Class" \InProcServer32\(Default) = "C:\Programme\Norton Ghost 2003\GhoShExt.dll" ["Symantec Corporation"] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes" -> {HKLM...CLSID} = "iTunes" \InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."] "{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte" -> {HKLM...CLSID} = "Universelle Plug & Play-Geräte" \InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS] "{23170F69-40C1-278A-1000-000100020000}" = "7-Zip Shell Extension" -> {HKLM...CLSID} = "7-Zip Shell Extension" \InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ "WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}" -> {HKLM...CLSID} = "WPDShServiceObj Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ 7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}" -> {HKLM...CLSID} = "7-Zip Shell Extension" \InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"] EasyCryptoMenu\(Default) = "{A0752120-6D75-D111-B5B1-0800095A2318}" -> {HKLM...CLSID} = "EasyCrypto Shell Extension" \InProcServer32\(Default) = "C:\WINDOWS\System32\tsseCryp.dll" [null data] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ 7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}" -> {HKLM...CLSID} = "7-Zip Shell Extension" \InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"] EasyCryptoMenu\(Default) = "{A0752120-6D75-D111-B5B1-0800095A2318}" -> {HKLM...CLSID} = "EasyCrypto Shell Extension" \InProcServer32\(Default) = "C:\WINDOWS\System32\tsseCryp.dll" [null data] jetAudio\(Default) = "{8D1636FD-CA49-4B4E-90E4-0A20E03A15E8}" -> {HKLM...CLSID} = "JetFlExt" \InProcServer32\(Default) = "C:\Programme\JetAudio\JetFlExt.dll" ["JetAudio, Inc."] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ jetAudio\(Default) = "{8D1636FD-CA49-4B4E-90E4-0A20E03A15E8}" -> {HKLM...CLSID} = "JetFlExt" \InProcServer32\(Default) = "C:\Programme\JetAudio\JetFlExt.dll" ["JetAudio, Inc."] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] Default executables: -------------------- HKLM\Software\Classes\.hta\(Default) = (value not set) <<!>> HKLM\Software\Classes\htafile\shell\open\command\(Default) = "mshta.exe "%1" %*" [MS] Group Policies {policy setting}: -------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "NoLowDiskSpaceChecks" = (REG_DWORD) hex:0x00000000 {unrecognized setting} "NoDrives" = (REG_BINARY) hex:00 00 00 00 {unrecognized setting} HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\ "NoTheaterMode" = (REG_DWORD) hex:0x00000001 {unrecognized setting} HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Chef\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Startup items in "Chef" & "All Users" startup folders: ------------------------------------------------------ C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "HP Digital Imaging Monitor" -> shortcut to: "C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe" ["Hewlett-Packard Co."] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000004\LibraryPath = "C:\Programme\FRITZ!DSL\sarah.dll" ["AVM Berlin"] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: C:\Programme\FRITZ!DSL\sarah.dll ["AVM Berlin"], 01 - 03, 09 %SystemRoot%\system32\mswsock.dll [MS], 04 - 06, 10 - 23 %SystemRoot%\system32\rsvpsp.dll [MS], 07 - 08 Toolbars, Explorer Bars, Extensions: ------------------------------------ Explorer Bars HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\ {FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\(Default) = (no title provided) -> {HKLM...CLSID} = "Real.com" \InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0015-0000-0008-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in 1.5.0_08" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_08\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.5.0_08" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_08\bin\npjpi150_08.dll" ["Sun Microsystems, Inc."] {1D49B7D4-524D-4AC9-BC34-B4822CAE4BB1}\ "ButtonText" = "Packard Bell" "Script" = "C:\Apps\IECustom\script.htm" [null data] {CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\ "ButtonText" = "Real.com" Miscellaneous IE Hijack Points ------------------------------ C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings") Added lines (compared with English-language version): [Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome Missing lines (compared with English-language version): [Strings]: 1 line Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ a-squared Free Service, a2free, "c:\programme\a-squared free\a2service.exe" ["Emsi Software GmbH"] AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"] AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"] AVM FRITZ!Box-Kindersicherung, avmidentd, "C:\Programme\FRITZ!Box-Kindersicherung\avmident.exe" ["AVM Berlin"] AVM IGD CTRL Service, AVM IGD CTRL Service, "C:\Programme\FRITZ!DSL\IGDCTRL.EXE" ["AVM Berlin"] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] Pml Driver HPZ12, Pml Driver HPZ12, "C:\WINDOWS\system32\HPZipm12.exe" ["HP"] Keyboard Driver Filters: ------------------------ HKLM\System\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\ "UpperFilters" = <<!>> "Lkbdflt2" ["Logitech"] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ HP Standard TCP/IP Port\Driver = "HpTcpMon.dll" ["Hewlett Packard"] hpzlnt05\Driver = "hpzlnt05.dll" ["HP"] hpzsnt12\Driver = "hpzsnt12.dll" ["HP"] Redirected Port\Driver = "redmonnt.dll" [null data] ---------- (launch time: 2007-11-06 19:32:34) <<!>>: Suspicious data at a malware launch point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 80 seconds, including 11 seconds for message boxes) |
|
06.11.2007, 20:41
| #8 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Wurm- & Trojanerverseucht trotz Schutz - stimmt das???Code:
ATTFilter C:\WINDOWS\system32\comsysh.exe
Übrigens sind manche Einträge sehr besorgniserregend, der hier z.B.: Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
06.11.2007, 21:26
| #9 | ||||||
| | Wurm- & Trojanerverseucht trotz Schutz - stimmt das??? Guten Abend, Zitat:
Zitat:
Zitat:
File size: 281088 bytes MD5: 1f2df0ea7b70b98ae2682d542e4a49ea SHA1: 9b651d7b0a84461d74c7333cfcf0e782ba521181 Überwachungssoftware meiner Eltern?  ...höchtens Überwachungssoftware für meinen Sohn...! (Parents friend?)Dito: Zitat:
Datei winadmkill.exe empfangen 2007.11.06 20:58:36 (CET) Ergebnis: 2/31 (6.46%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.11.7.0 2007.11.06 - AntiVir 7.6.0.30 2007.11.06 - Authentium 4.93.8 2007.11.05 Possibly a new variant of W32/VB-EMU:VB-Backdoor-HRS-based!Maximus Avast 4.7.1074.0 2007.11.05 - AVG 7.5.0.503 2007.11.06 - BitDefender 7.2 2007.11.06 - CAT-QuickHeal 9.00 2007.11.06 - ClamAV 0.91.2 2007.11.06 - DrWeb 4.44.0.09170 2007.11.06 - eSafe 7.0.15.0 2007.10.28 - eTrust-Vet 31.2.5270 2007.11.05 - Ewido 4.0 2007.11.06 - FileAdvisor 1 2007.11.06 - Fortinet 3.11.0.0 2007.10.19 - F-Prot 4.4.2.54 2007.11.06 W32/VB-EMU:VB-Backdoor-HRS-based!Maximus F-Secure 6.70.13030.0 2007.11.06 - Ikarus T3.1.1.12 2007.11.06 - Kaspersky 7.0.0.125 2007.11.06 - McAfee 5157 2007.11.06 - Microsoft 1.3007 2007.11.06 - NOD32v2 2641 2007.11.06 - Norman 5.80.02 2007.11.06 - Panda 9.0.0.4 2007.11.06 - Rising 20.17.12.00 2007.11.06 - Sophos 4.23.0 2007.11.06 - Sunbelt 2.2.907.0 2007.11.02 - Symantec 10 2007.11.06 - TheHacker 6.2.9.117 2007.11.06 - VBA32 3.12.2.4 2007.11.06 - VirusBuster 4.3.26:9 2007.11.06 - Webwasher-Gateway 6.0.1 2007.11.06 - weitere Informationen File size: 61440 bytes MD5: edec8177a85972b5bc269edc4aa9dc4a SHA1: 3cf1ea5a5f0a798976b34ca730fcc812718db4eb Ich glaube aber trotzdem, dass die Datei sauber ist. Zitat:
weitere Informationen File size: 24576 bytes MD5: d44f0697e10c4145e8eba37258af29f6 SHA1: 625070643c6a268b84a2283735ea6c494ecb59c2 Zitat:
Kann ich dir das Skript, das zu lange zum posten ist, auch an deine email schicken? Ich versuchs mal... Komme mit Rapidshare nicht klar - bin ich zu blöd, oder ist die Seite überlastet? In jeder Anleitung dazu gibts Buttons, die ich nicht sehe, wenn ich auf die Page gehe! Ratlosen Gruß Gerhard |
|
07.11.2007, 20:33
| #10 | |||||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Wurm- & Trojanerverseucht trotz Schutz - stimmt das???Zitat:
Zitat:
Zitat:
Categoría: Process Monitor / Processes ID / Tamaño/ Fecha: #93706 / 274.5 KB / 2006-04-18 Versión / Fabricante: 6.00.2900.2180(xpsp_sp2_rtm.040803-2158) / Microsoft Corporation => legitim! Zitat:
Zitat:
Wie's funktioniert weißte ja oder? Abspeichern auf Desktop, doppelklicken und die erzeugte listing.txt mailen.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
07.11.2007, 20:46
| #11 |
| | Wurm- & Trojanerverseucht trotz Schutz - stimmt das??? Hallo Arne, die listing.txt hab ich dir schon geschickt - über seinen TJ-Account. Haste hoffentlich erhalten? Hab heute Spyware Doctor drüberlaufen lassen, hat 2 Trojaner gefunden: Trojan.PWS.Tanspy Specific911 browser hijack Beide aber lt. Protokoll auf IE ausgelegt, den ich nie benutze (hab Firefox). Besten Gruß Gerhard |
|
07.11.2007, 20:55
| #12 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Wurm- & Trojanerverseucht trotz Schutz - stimmt das???Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
07.11.2007, 21:11
| #13 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Wurm- & Trojanerverseucht trotz Schutz - stimmt das??? C:\WINDOWS\system32\Mswinmask32.dll Überprüf mal diese Datei bei Virustotal - Ergebnisse posten. Code:
ATTFilter C:\WINDOWS\system32\hdined32.nls.{00021401-0000-0000-C000-000000000046}
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Wurm- & Trojanerverseucht trotz Schutz - stimmt das??? |
| abbrüche, adobe, antispyware, askbar, auswerten, bho, drivers, dsl, e-mail, excel, explorer, firefox, google, hijackthis, internet, internet explorer, internet security, logfile, mozilla, mozilla firefox, mozilla thunderbird, packard bell, picasa, protection center, registry, rundll, schutz, security, software, system, taskmanager, trojaner, unknown file in winsock lsp, viren, warum, windows xp |
Linear-Darstellung
