| |
| |||||||
Log-Analyse und Auswertung: Drooper DR/Softomate.AA.a mit AntiVir festgestelltWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
01.12.2007, 14:05
| #1 |
 |  Drooper DR/Softomate.AA.a mit AntiVir festgestellt Hallo liebe Profis! Ich hoffe ihr könnt mir helfen. Antivir spuckt ständig die Meldung aus o.g. Drooper gefunden zu haben im Pfad: c:\dokumente und Einstellungen\+++\Lokale Einstellungen\temp\mediabar.exe Was hat das zu bedeuten? Ich habe die Datei vorsichtshalber unter Quarantände gestellt. Ich benutze Wín XP mit SP2 Hier mein Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:42:22, on 01.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe F:\Programme\Office\Wiso\börse\bin\watchdog.exe C:\WINDOWS\SOUNDMAN.EXE F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\Programme\Microsoft Hardware\Keyboard\type32.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe F:\Programme\Multimedia\Winamp\Winampa.exe F:\Programme\Brennen\CloneCD\CloneCDTray.exe F:\Programme\Sicherheit\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe F:\Programme\Brennen\Daemon Tools\daemon.exe F:\Programme\Internet\emule\emule.exe F:\Programme\Multimedia\Nikon\pictureproject\NkbMonitor.exe C:\Programme\RALINK\Common\RaUI.exe F:\Programme\Internet\Mozilla Thunderbird\thunderbird.exe C:\WINDOWS\System32\svchost.exe F:\Programme\Sicherheit\Spybot - Search & Destroy\SpybotSD.exe F:\Programme\Office\OFFICE11\WINWORD.EXE F:\Programme\Internet\Mozilla Firefox\firefox.exe F:\Programme\Sicherheit\Hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.talti.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Programme\Sicherheit\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: (no name) - {FC1C4B37-87E1-49B9-93EF-D857FCA18C60} - C:\WINDOWS\system32\btpanuid.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [avgnt] "F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe" O4 - HKLM\..\Run: [WinampAgent] "F:\Programme\Multimedia\Winamp\Winampa.exe" O4 - HKLM\..\Run: [CloneCDTray] "F:\Programme\Brennen\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Programme\Sicherheit\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools] "F:\Programme\Brennen\Daemon Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [eMuleAutoStart] F:\Programme\Internet\emule\emule.exe -AutoStart O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: NkbMonitor.exe.lnk = F:\Programme\Multimedia\Nikon\pictureproject\NkbMonitor.exe O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\Office\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Programme\Spiele\Partypoker\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Programme\Spiele\Partypoker\PartyPoker\RunApp.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{A45F25B4-7184-4568-A211-0442F51A4990}: NameServer = 192.168.0.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programme\WinPcap\rpcapd.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: WisoBoerseWatchDog - market maker Software AG - F:\Programme\Office\Wiso\börse\bin\watchdog.exe -- End of file - 7157 bytes Gudman |
|
01.12.2007, 20:02
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Drooper DR/Softomate.AA.a mit AntiVir festgestellt Hallo.
__________________Du hast dir anscheinend Bearshare installiert. Du solltest es besser nicht nutzen und deinstallieren, da es mit Spy-/Adware daherkommt. Es gibt bessere Alternativen wie z.B. eMule. Sei aber allgemein sehr vorsichtig was das Thema Filesharing anbelangt, die Downloads sind meist illegal und in vielen Fällen auch mit Schädlingen verseucht. Du solltest folgende Einträge mit HijackThis im abgesicherten Modus fixen: Code:
ATTFilter R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
O2 - BHO: (no name) - {FC1C4B37-87E1-49B9-93EF-D857FCA18C60} - C:\WINDOWS\system32\btpanuid.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Programme\Spiele\Partypoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Programme\Spiele\Partypoker\PartyPoker\RunApp.exe (file missing)
Werte die Datei C:\WINDOWS\system32\btpanuid.dll bei Virustotal aus und poste die Ergebnisse inkl. Angaben zur Dateigröße und Prüfsummen. Führ mal für weitere Analysen folgende Tools bzw. Anleitungen aus und poste die Logfiles: - eScanFalls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren: Über ein filelisting mit diesem script:Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________ |
|
09.12.2007, 22:39
| #3 |
| | Drooper DR/Softomate.AA.a mit AntiVir festgestellt Hallo,
__________________hier der neue HJ-Log: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:58:31, on 09.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe F:\Programme\Office\Wiso\börse\bin\watchdog.exe C:\WINDOWS\SOUNDMAN.EXE F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\Programme\Microsoft Hardware\Keyboard\type32.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe F:\Programme\Multimedia\Winamp\Winampa.exe F:\Programme\Brennen\CloneCD\CloneCDTray.exe F:\Programme\Sicherheit\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe F:\Programme\Brennen\Daemon Tools\daemon.exe F:\Programme\Internet\emule\emule.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe F:\Programme\Multimedia\Nikon\pictureproject\NkbMonitor.exe C:\Programme\RALINK\Common\RaUI.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\wuauclt.exe F:\Programme\Sicherheit\Hijackthis\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.talti.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Programme\Sicherheit\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [avgnt] "F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe" O4 - HKLM\..\Run: [WinampAgent] "F:\Programme\Multimedia\Winamp\Winampa.exe" O4 - HKLM\..\Run: [CloneCDTray] "F:\Programme\Brennen\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Programme\Sicherheit\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools] "F:\Programme\Brennen\Daemon Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [eMuleAutoStart] F:\Programme\Internet\emule\emule.exe -AutoStart O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: NkbMonitor.exe.lnk = F:\Programme\Multimedia\Nikon\pictureproject\NkbMonitor.exe O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\Office\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{A45F25B4-7184-4568-A211-0442F51A4990}: NameServer = 192.168.0.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programme\WinPcap\rpcapd.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: WisoBoerseWatchDog - market maker Software AG - F:\Programme\Office\Wiso\börse\bin\watchdog.exe -- End of file - 6188 bytes Code:
ATTFilter Datei btpanui.dll empfangen 2007.12.09 22:00:43 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 41 und 59 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.08 -
Avast 4.7.1098.0 2007.12.09 -
AVG 7.5.0.503 2007.12.09 -
BitDefender 7.2 2007.12.09 -
CAT-QuickHeal 9.00 2007.12.08 -
ClamAV 0.91.2 2007.12.09 -
DrWeb 4.44.0.09170 2007.12.09 -
eSafe 7.0.15.0 2007.12.09 -
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.09 -
FileAdvisor 1 2007.12.09 -
Fortinet 3.14.0.0 2007.12.09 -
F-Prot 4.4.2.54 2007.12.08 -
F-Secure 6.70.13030.0 2007.12.09 -
Ikarus T3.1.1.12 2007.12.09 -
Kaspersky 7.0.0.125 2007.12.09 -
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.09 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.09 -
Prevx1 V2 2007.12.09 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.09 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.09 -
TheHacker 6.2.9.154 2007.12.09 -
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.09 -
Webwasher-Gateway 6.6.2 2007.12.08 -
weitere Informationen
File size: 50688 bytes
MD5: 9e86ec4d367a619233f4bef2c0084ea2
SHA1: 6c3a639915df0728076df7abb13b9eef5cf002ce
PEiD: -
Bei escan funktioniert im abgesichterten modus mit netzwerkunterstützung die internetverbindung nicht. silentrunner krieg ich irgendwie nicht zum laufen. Und bei combofix zeigt mir an das es keine win32 anwendung ist. Viele Grüße guddy |
|
09.12.2007, 22:45
| #4 | |||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Drooper DR/Softomate.AA.a mit AntiVir festgestelltZitat:
Du lädst dann also die Updates im normalen Modus bei bestehender Internetverbindung und führst den scan im abgesicherten Modus durch, brauchste dann auch keine Netzwerkunterstützung mehr. Zitat:
Zitat:
 Nimm diesen => ComboFix - Download - INSTALKI.pl
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
09.12.2007, 23:12
| #5 |
| | Drooper DR/Softomate.AA.a mit AntiVir festgestellt Hey, Silentrunner läuft und bringt mir folgendes Ergebnis: Code:
ATTFilter "Silent Runners.vbs", revision 53, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"DAEMON Tools" = ""F:\Programme\Brennen\Daemon Tools\daemon.exe" -lang 1033" ["DT Soft Ltd."]
"eMuleAutoStart" = "F:\Programme\Internet\emule\emule.exe -AutoStart" ["http://www.emule-project.net"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"avgnt" = ""F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"BluetoothAuthenticationAgent" = "rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" [MS]
"POINTER" = "point32.exe" [MS]
"IntelliType" = ""C:\Programme\Microsoft Hardware\Keyboard\type32.exe"" [MS]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"TerraTec Remote Control" = ""C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe"" [file not found]
"WinampAgent" = ""F:\Programme\Multimedia\Winamp\Winampa.exe"" [null data]
"CloneCDTray" = ""F:\Programme\Brennen\CloneCD\CloneCDTray.exe" /s" ["SlySoft, Inc."]
"ZoneAlarm Client" = ""F:\Programme\Sicherheit\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "F:\Programme\Sicherheit\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "F:\Programme\system\Winrar\rarext.dll" [null data]
"{1CAA843A-6DBD-40EF-AB71-8F7B209997C0}" = "IntelliType Pro Key Settings Control Panel Property Page"
-> {HKLM...CLSID} = "ITPropertyPage Class"
\InProcServer32\(Default) = "C:\Programme\Microsoft Hardware\Keyboard\itcpl.dll" [MS]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
-> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" [file not found]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
-> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" [file not found]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "F:\Programme\Office\OFFICE11\msohev.dll" [MS]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "F:\PROGRA~1\Office\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "F:\PROGRA~1\Office\OFFICE11\OLKFSTUB.DLL" [MS]
"{506F4668-F13E-4AA1-BB04-B43203AB3CC0}" = "{506F4668-F13E-4AA1-BB04-B43203AB3CC0}"
-> {HKLM...CLSID} = "ImageExtractorShellExt Class"
\InProcServer32\(Default) = "F:\Programme\Office\Visio11\VISSHE.DLL" [null data]
"{D66DC78C-4F61-447F-942B-3FB6980118CF}" = "{D66DC78C-4F61-447F-942B-3FB6980118CF}"
-> {HKLM...CLSID} = "CInfoTipShellExt Class"
\InProcServer32\(Default) = "F:\Programme\Office\Visio11\VISSHE.DLL" [null data]
"{D9872D13-7651-4471-9EEE-F0A00218BEBB}" = "Multiscan"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "F:\Programme\Sicherheit\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]
HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]
HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
-> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" [file not found]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "F:\Programme\system\Winrar\rarext.dll" [null data]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "F:\Programme\Sicherheit\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "F:\Programme\system\Winrar\rarext.dll" [null data]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "F:\Programme\system\Winrar\rarext.dll" [null data]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "F:\Programme\Sicherheit\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]
Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------
Note: detected settings may not have any effect.
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}
"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}
Active Desktop and Wallpaper:
-----------------------------
Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Torsten-admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
Startup items in "Torsten-admin" & "All Users" startup folders:
---------------------------------------------------------------
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"NkbMonitor.exe" -> shortcut to: "F:\Programme\Multimedia\Nikon\pictureproject\NkbMonitor.exe" ["Nikon Corporation"]
"Ralink Wireless Utility" -> shortcut to: "C:\Programme\RALINK\Common\RaUI.exe -s" ["Ralink Technology, Corp."]
Enabled Scheduled Tasks:
------------------------
"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Computer, Inc."]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\system32\wshbth.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 24
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
Toolbars, Explorer Bars, Extensions:
------------------------------------
Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "F:\PROGRA~1\Office\OFFICE11\REFIEBAR.DLL" [MS]
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]
{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"
{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
AntiVir PersonalEdition Classic Guard, AntiVirService, "F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Bluetooth Support Service, BthServ, "C:\WINDOWS\system32\svchost.exe -k bthsvcs" {"C:\WINDOWS\System32\bthserv.dll" [MS]}
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]
WisoBoerseWatchDog, WisoBoerseWatchDog, "F:\Programme\Office\Wiso\börse\bin\watchdog.exe" ["market maker Software AG"]
Print Monitors:
---------------
HKLM\System\CurrentControlSet\Control\Print\Monitors\
Canon BJ Language Monitor S400\Driver = "CNMLM2P.DLL" ["CANON INC."]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]
---------- (launch time: 2007-12-09 23:07:47)
<<!>>: Suspicious data at a malware launch point.
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 75 seconds, including 28 seconds for message bo
Code:
ATTFilter ComboFix 07-12-09.1 - Torsten-admin 2007-12-09 22:55:58.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.910 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Torsten-admin\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\wanpacket.dll
C:\WINDOWS\system32\wpcap.dll
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\LEGACY_NPF
-------\NPF
((((((((((((((((((((((( Dateien erstellt von 2007-11-09 bis 2007-12-09 ))))))))))))))))))))))))))))))
.
2007-12-03 10:25 . 2007-12-03 10:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\World Money
2007-12-03 10:24 . 2007-12-03 10:24 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DataDesign
2007-12-03 10:24 . 2007-04-12 15:38 135,168 --------- C:\WINDOWS\system32\LexEBankCommon10VC8.dll
2007-12-03 10:24 . 2006-05-15 15:58 117,760 --------- C:\WINDOWS\system32\LexEBankCommon.dll
2007-12-03 10:23 . 2007-12-03 10:23 <DIR> d-------- C:\Programme\Lexware
2007-12-03 10:23 . 2007-12-03 10:23 <DIR> d-------- C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\Lexware
2007-12-03 10:23 . 2007-12-03 10:23 <DIR> d-------- C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\InstallShield
2007-12-03 10:18 . 2007-12-03 10:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lexware
2007-12-03 10:15 . 2007-12-03 17:54 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Lexware
2007-11-26 17:40 . 2007-11-26 17:40 <DIR> d-------- C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\eMule
2007-11-20 15:22 . 2007-11-20 15:22 <DIR> d-------- C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\Microsoft Web Folders
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-09 22:00 9,478,176 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2007-12-09 21:58 119,408 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-12-09 15:32 --------- d-----w C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\Skype
2007-12-04 19:57 --------- d-----w C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\foobar2000
2007-12-03 16:57 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-03 09:17 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-12-01 18:29 --------- d-----w C:\Programme\Java
2007-11-25 18:25 --------- d-----w C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\ChessBase
2007-11-24 07:22 17,847,315 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_11_24_08_21_10_full.dmp.zip
2007-11-14 12:31 6,042,474 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2007-11-06 17:08 --------- d-----w C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\The Bat!
2007-10-30 15:26 --------- d-----w C:\Dokumente und Einstellungen\Guddy\Anwendungsdaten\Talkback
2007-10-29 08:04 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Downloaded Installations
2007-10-24 07:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2007-10-13 15:22 --------- d-----w C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\DataDesign
2007-10-13 10:59 --------- d-----w C:\Programme\Gemeinsame Dateien\Buhl Data Service
2007-10-13 10:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Börse 2007
2007-10-12 18:32 --------- d-----w C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\Buhl Data Service GmbH
2007-10-12 18:32 --------- d-----w C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\Buhl Data Service
2007-10-12 18:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
2007-10-12 18:27 --------- d-----w C:\Programme\DataDesign
2007-05-13 14:28 20,770,584 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_05_13_16_20_41_full.dmp.zip
2007-03-22 19:08 20 ---h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLec.DAT
2006-12-12 14:58 16,368 ----a-w C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00]
"DAEMON Tools"="F:\Programme\Brennen\Daemon Tools\daemon.exe" [2007-04-03 23:29]
"eMuleAutoStart"="F:\Programme\Internet\emule\emule.exe" [2007-05-13 15:57]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2003-01-10 04:39 C:\WINDOWS\SOUNDMAN.EXE]
"avgnt"="F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-13 10:25]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 13:00 C:\WINDOWS\system32\bthprops.cpl]
"POINTER"="point32.exe" []
"IntelliType"="C:\Programme\Microsoft Hardware\Keyboard\type32.exe" [2002-03-22 05:41]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"TerraTec Remote Control"="C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe" []
"WinampAgent"="F:\Programme\Multimedia\Winamp\Winampa.exe" [2003-04-17 07:54]
"CloneCDTray"="F:\Programme\Brennen\CloneCD\CloneCDTray.exe" [2006-09-28 20:21]
"ZoneAlarm Client"="F:\Programme\Sicherheit\ZoneAlarm\zlclient.exe" [2007-09-06 15:14]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\emMON]
emMON.exe
R2 WisoBoerseWatchDog;WisoBoerseWatchDog;F:\Programme\Office\Wiso\börse\bin\watchdog.exe
S3 kvpndev;Kerio VPN adapter;C:\WINDOWS\system32\DRIVERS\kvpndrv.sys
S3 PTV337;Mini DigitalTV USB;C:\WINDOWS\system32\DRIVERS\PTV337.SYS
S3 USB28xxBGA;Cinergy Hybrid T USB XS;C:\WINDOWS\system32\DRIVERS\emBDA.sys
S3 USB28xxOEM;Cinergy T USB XS Custom Filter;C:\WINDOWS\system32\DRIVERS\emOEM.sys
.
Inhalt des "geplante Tasks" Ordners
"2007-10-12 05:11:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1331 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-09 23:00:46
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2007-12-09 23:01:53 - machine was rebooted
.
--- E O F ---
Der neue escanlink funktioniert nicht. Grüße guddy |
|
09.12.2007, 23:15
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Drooper DR/Softomate.AA.a mit AntiVir festgestellt => escan-Anleitung Scroll da runter zur Anleitung für User OHNE Router. Acker das ab, ich schau mir derweil die Logfiles an...
__________________ --> Drooper DR/Softomate.AA.a mit AntiVir festgestellt |
|
10.12.2007, 18:39
| #7 |
| | Drooper DR/Softomate.AA.a mit AntiVir festgestellt Servus, hab es wie in der Anleitung gemacht. Leider startet das Programm nicht im abgesicherten Modus. Irgendwie findet er die com Datei nicht. Grüße guddy |
|
11.12.2007, 16:20
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Drooper DR/Softomate.AA.a mit AntiVir festgestellt Wenn du WinRAR hast, solltest du mal die MWAV.EXE (die du runtergeladen hast) über Rechtsklicks entpacken (ja man kann auch *.exe entpacken) - im normalen Modus dann im entpackten MWAV-Ordner die MWAVSCAN.COM starten und bei bestehender Internetverbindung Update starten - isses durch, Rechenr im abgesicherten Modus starten und die MWAVSCAN.COM im MWAV-Ordner öffnen. Den Rest nach Anleitung. 
__________________ Logfiles bitte immer in CODE-Tags posten |
|
16.12.2007, 21:13
| #9 |
| | Drooper DR/Softomate.AA.a mit AntiVir festgestellt Hey, hier der escanlog: Code:
ATTFilter b]Header[/b]
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01
Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL
eScan Version: 9.5.9
Sprache: German
C:\DOKUME~1\TORSTE~1\LOKALE~1\Temp\MWAV.LOG
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({2a652f47-a8ce-414c-bbb4-203a59031056})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({3c43bba2-9e93-4758-8669-adce56687e0c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({4898d118-1d1e-4a2d-a8a3-4a75bf333cd5})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({517f778c-078d-4d33-953b-afbf1720c947})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({76d230aa-fc0c-4dd4-bf9e-4032d60369f1})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({87b24642-366e-4393-851a-b6cec5d7e641})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({8c22668a-d7d8-42f5-99e8-4f30ed0d18b0})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({963dfd8c-2e6a-4db4-bcb3-9d5c78142e41})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a06d036f-984f-4482-ad5c-ebd11a638b4c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a434ac6f-7286-42c3-982b-20f00263501b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({c5a786b9-3bd6-4a4e-b4d7-9b752138dc4b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({d044d89c-01e4-4722-8812-8df543680606})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({d3e78b93-4b65-405d-9095-e82b78555173})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({e6857874-b535-46d7-a3eb-4103614e91fc})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({fbd42940-b837-40eb-bdb4-86ae00e1d0d1})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\system32\unrar.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\codecs\k-lite codec pack\tools
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\codecs\k-lite codec pack\tools
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert
Batchstart: 20:52:30,81
Batchende: 20:52:39,92
Guddy |
|
18.12.2007, 01:44
| #10 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Drooper DR/Softomate.AA.a mit AntiVir festgestellt Okay, ich fass mal zusammen: - im Silentrunners nichts auffälliges - im combofix nichts auffälliges - escan (mal wieder  ) Fehlalarme erzeugtDein Rechner macht absolut keinen kompromittierten Eindruck. Zitat:
 Verhält sich das System denn noch merkwürdig?
__________________ Logfiles bitte immer in CODE-Tags posten |
|
18.12.2007, 09:39
| #11 |
| | Drooper DR/Softomate.AA.a mit AntiVir festgestellt Hallo, scheint alles in Ordnung zu sein. Noch eine Frage: Was kannst du mir als kostenlose oder kostengünstige Programme empfehlen die ich zum Schutz vor Viren und anderen Schädlingen installieren sollte. Vielen Dank für deine Mühe! Schnell und Kompetent! Viele Grüße guddy |
|
18.12.2007, 17:34
| #12 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Drooper DR/Softomate.AA.a mit AntiVir festgestelltZitat:
=> Kompromittierung unvermeidbar?Unterstützen kann dich dabei jew. einer der folgenden Kostenlose Virenscanner: - AntiVir - AVG Free - Avast Mit Spybot S&D kannst du rel. zuverlässig übriggebliebene Spywarereste noch entfernen, achte aber darauf, dass du den Teatimer nicht mitinstallierst, denn der muckt bei fast jeder Aktion auf... Und vergiss nicht, regelmäßig Backups zu erstellen! 
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Drooper DR/Softomate.AA.a mit AntiVir festgestellt |
| adobe, antivir, avira, bho, dll, einstellungen, excel, explorer, firefox, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla, mozilla firefox, mozilla thunderbird, pdf, quara, remote control, rundll, s-1-5-18, sicherheit, software, system, temp, trend micro, windows, windows xp, wiso |
Linear-Darstellung
