| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Backdoor (ircbot)???, Fehlalarm?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
05.12.2007, 12:28
| #1 |
 |  Backdoor (ircbot)???, Fehlalarm? Hallo bin neu hier und habe folgendes prob. mwav findet bei mir backdoor (ircbot) trojans, alle anderen antispyware proggies nichts, und mein gdata auch nichts  . hatte vor kurzem im windows/system !! ordner die smss.exe und auch gelöscht bekommen. nun meine fage da mein escan.log und hijack.log scheinbar sauber sind, ist das ne fehlmeldung. Ich hänge mal beide Logs dran. Vielen Dank im Vorraus fürAntworten :aplaus: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.5.8 Sprache: English Virus Database Date: 12/1/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ System found infected with backdoor (ircbot) trojans Spyware/Adware ({06849e9f-c8d7-4d59-b87d-784b7d6be0b3})! Action taken: No Action Taken. System found infected with backdoor (ircbot) trojans Spyware/Adware ({645ff040-5081-101b-9f08-00aa002f954e})! Action taken: No Action Taken. System found infected with backdoor (ircbot) trojans Spyware/Adware ({6bf52a52-394a-11d3-b153-00c04f79faa6})! Action taken: No Action Taken. System found infected with backdoor (ircbot) trojans Spyware/Adware ({06849e9f-c8d7-4d59-b87d-784b7d6be0b3})! Action taken: No Action Taken. System found infected with backdoor (ircbot) trojans Spyware/Adware ({6bf52a52-394a-11d3-b153-00c04f79faa6})! Action taken: No Action Taken. System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden/type)! Action taken: No Action Taken. System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_users\.default\software\microsoft\windows nt\currentversion\windows/load)! Action taken: No Action Taken. System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows nt\currentversion\windows/load)! Action taken: No Action Taken. Object "saminside Spyware/Adware" found in File System! Action Taken: No Action Taken. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\Dokumente und Einstellungen\Patrias\Desktop\tools ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 7.5.0.20\QuickTime.msi not Scanned. Possibly password protected... C:\Downloads\Celestia\8kMars.zip not Scanned. Possibly password protected... C:\Downloads\CryptLoad_1.0.3.rar not Scanned. Possibly password protected... C:\Programme\QuickTime\QTSystem\QuickTimeAudioSupport.Resources\ko.lproj\QuickTimeAudioSupportLocalized.dll not Scanned. Possibly password protected... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Total Critical Objects: 9 Total Disinfected Objects: 0 Total Objects Renamed: 0 Total Deleted Objects: 0 Total Errors: 22 Time Elapsed: 01:28:52 Total Objects Scanned: 129161 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Memory Check: Enabled Registry Check: Enabled System Folder Check: Enabled System Area Check: Disabled Services Check: Enabled Drive Check: Enabled All Drive Check  isabled All Drive Check isabled Batchstart: 2:26:14,48 Batchende: 2:26:18,81 ______________________________________________________________ Hijack-Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:57:37, on 04.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Safe mode Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data internetsecurity\avkkid\avkcks.exe O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [RemoteControl] C:\Programme\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe" O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NVIDIA nTune] "C:\NVIDIA\nTune\nTune\nTuneCmd.exe" clear O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe" O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe O4 - Global Startup: G DATA Firewall Tray.lnk = ? O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Ad-Aware 2007\aawservice.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\NVIDIA\nTune\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe -- End of file - 6157 bytes |
|
05.12.2007, 12:51
| #2 |
| /// AVZ-Toolkit Guru   | Backdoor (ircbot)???, Fehlalarm? Halli hallo Matze.
__________________Das sieht allerdings echt nicht lustig aus.. Silentrunners Logfile -Lade dir das Tool -> Silentrunners -Entpacke das Script in einen Ordner deiner Wahl -Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen -System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt (Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“ erstellen, ignoriere dieses und arbeite weiter!) -Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein. (Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen) Run Combofix. Poste den erscheinenden Text. Danach wissen mir mehr... Stell dich aber durchaus schonmal drauf ein die Kiste platt zu machen..
__________________ |
|
05.12.2007, 23:13
| #3 |
| | Backdoor (ircbot)???, Fehlalarm? danke für die schnelle antwort habe schon mal die log vom script. Also das is für mich nur kauderwelsch, hoffe du kannst da was erkennen. Combofix mach ich gleich drann, muss erst mal schaun was das ist (dosprog lange nicht gesehen
__________________ "Silent Runners.vbs", revision 53, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "NVIDIA nTune" = ""C:\NVIDIA\nTune\nTune\nTuneCmd.exe" clear" ["NVIDIA"] "RocketDock" = ""C:\Programme\RocketDock\RocketDock.exe"" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "IgfxTray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"] "HotKeysCmds" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"] "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "RemoteControl" = "C:\Programme\PowerDVD\PDVDServ.exe" ["Cyberlink Corp."] "KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "GDFirewallTray" = "C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe" ["G DATA Software AG"] "AVKTray" = ""C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"" ["G DATA Software AG"] "!AVG Anti-Spyware" = ""C:\Programme\AVG Anti-Spyware 7.5\avgas.exe" /minimized" ["GRISOFT s.r.o."] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {0124123D-61B4-456f-AF86-78C53A0790C5}\(Default) = "G DATA WebFilter Class" -> {HKLM...CLSID} = "G DATA WebFilter" \InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll" ["G DATA Software AG"] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = "Spybot-S&D IE Protection" \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{3028902F-6374-48b2-8DC6-9725E775B926}" = "IE Microsoft AutoComplete" -> {HKLM...CLSID} = "IE Microsoft AutoComplete" \InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS] "{EFA24E62-B078-11d0-89E4-00C04FC9E26E}" = "History Band" -> {HKLM...CLSID} = "History Band" \InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS] "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"] "{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension" -> {HKLM...CLSID} = "TuneUp Theme Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\uxtuneup.dll" ["TuneUp Software GmbH"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{2F25CF20-C569-11D1-B94C-00608CB45480}" = "TextPad" -> {HKLM...CLSID} = "TextPad" \InProcServer32\(Default) = "C:\Programme\TextPad 4\System\shellext.dll" ["Helios Software Solutions"] "{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler" -> {HKLM...CLSID} = "Microsoft Office Outlook" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{23170F69-40C1-278A-1000-000100020000}" = "7-Zip Shell Extension" -> {HKLM...CLSID} = "7-Zip Shell Extension" \InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"] "{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes" -> {HKLM...CLSID} = "iTunes" \InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."] "{03DAACC5-10BA-4E3E-9D54-2A569F6B4B87}" = "Sony Ericsson Datei-Manager" -> {HKLM...CLSID} = "Sony Ericsson Datei-Manager" \InProcServer32\(Default) = "C:\Programme\Sony Ericsson\Mobile2\File Manager\FM.dll" ["Popwire AB"] "{738D66C6-0149-4D40-84E4-A7BB2D0CE949}" = "Sony Ericsson Datei-Manager" -> {HKLM...CLSID} = "Sony Ericsson Datei-Manager" \InProcServer32\(Default) = "C:\Programme\Sony Ericsson\Mobile2\File Manager\FM.dll" ["Popwire AB"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ <<!>> "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "AVG Anti-Spyware 7.5" -> {HKLM...CLSID} = "CShellExecuteHookImpl Object" \InProcServer32\(Default) = "C:\Programme\AVG Anti-Spyware 7.5\shellexecutehook.dll" ["GRISOFT s.r.o."] HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ "WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}" -> {HKLM...CLSID} = "WPDShServiceObj Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ <<!>> "Userinit" = "C:\WINDOWS\system32\userinit.exe,c:\programme\g data internetsecurity\avkkid\avkcks.exe" [MS], [file not found], [file not found], [file not found] HKLM\System\CurrentControlSet\Control\Session Manager\ <<!>> "BootExecute" = "autocheck autochk *"|"OODBS" ["O&O Software GmbH"] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> igfxcui\DLLName = "igfxdev.dll" ["Intel Corporation"] HKLM\Software\Classes\PROTOCOLS\Filter\ <<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ 7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}" -> {HKLM...CLSID} = "7-Zip Shell Extension" \InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"] AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}" -> {HKLM...CLSID} = "CContextScan Object" \InProcServer32\(Default) = "C:\Programme\AVG Anti-Spyware 7.5\context.dll" ["GRISOFT s.r.o."] AVK9CM\(Default) = "{CAF4C320-32F5-11D3-A222-004095200FF2}" -> {HKLM...CLSID} = "AVK9ContextMenue" \InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity\AVK\ShellExt.dll" ["G DATA Software AG"] TextPad\(Default) = "{2F25CF20-C569-11D1-B94C-00608CB45480}" -> {HKLM...CLSID} = "TextPad" \InProcServer32\(Default) = "C:\Programme\TextPad 4\System\shellext.dll" ["Helios Software Solutions"] TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ 7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}" -> {HKLM...CLSID} = "7-Zip Shell Extension" \InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"] AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}" -> {HKLM...CLSID} = "CContextScan Object" \InProcServer32\(Default) = "C:\Programme\AVG Anti-Spyware 7.5\context.dll" ["GRISOFT s.r.o."] TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ AVK9CM\(Default) = "{CAF4C320-32F5-11D3-A222-004095200FF2}" -> {HKLM...CLSID} = "AVK9ContextMenue" \InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity\AVK\ShellExt.dll" ["G DATA Software AG"] Reisswolf\(Default) = "{1F0F1EE7-36B9-11D2-8985-0080ADA96E9B}" -> {HKLM...CLSID} = "ReisswolfContextMenu" \InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity\Shredder\Reisswlf.dll" ["G DATA Software AG"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\ Reisswolf\(Default) = "{1F0F1EE7-36B9-11D2-8985-0080ADA96E9B}" -> {HKLM...CLSID} = "ReisswolfContextMenu" \InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity\Shredder\Reisswlf.dll" ["G DATA Software AG"] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "DisableRegistryTools" = (REG_DWORD) dword:0x00000000 {User Configuration|Administrative Templates|System| Prevent access to registry editing tools} HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\Web\Wallpaper\vista.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\WINDOWS\Web\Wallpaper\vista.bmp" Startup items in "Patrias" & "All Users" startup folders: --------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "CoreCenter" -> shortcut to: "C:\Programme\MSI\Core Center\CoreCenter.exe" [empty string] "G DATA Firewall Tray" -> shortcut to: "C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe" ["G DATA Software AG"] "HP Digital Imaging Monitor" -> shortcut to: "C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe" ["Hewlett-Packard Co."] Enabled Scheduled Tasks: ------------------------ "AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -task" ["Apple Inc."] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 21 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{0124123D-61B4-456F-AF86-78C53A0790C5}" = "G DATA WebFilter" -> {HKLM...CLSID} = "G DATA WebFilter" \InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll" ["G DATA Software AG"] Explorer Bars HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\ HKLM\Software\Classes\CLSID\{EEF9A392-5B23-4761-ADC0-E3D681707BBA}\(Default) = "Morpheus PopSwatter" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS] HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] |
|
05.12.2007, 23:34
| #4 |
| | Backdoor (ircbot)???, Fehlalarm? So jetzt noch' combofixLog. Während dem scan hat sich mein Antivirenprogramm gemeldet und nen trojaner gefunden (Trojan.Win32.inject.mf) konnte aber weggebeamt werden. ComboFix 07-12-02.7 - Patrias 2007-12-05 23:16:45.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.470 [GMT 1:00] ausgeführt von:: c:\Downloads\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\regedit.com C:\WINDOWS\system32\taskmgr.com . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\nm ((((((((((((((((((((((( Dateien erstellt von 2007-11-05 bis 2007-12-05 )))))))))))))))))))))))))))))) . 2007-12-05 22:57 . 2007-12-02 22:59 362,115 --a------ C:\Temp\Silent Runners.vbs 2007-12-04 23:07 . 2007-12-04 23:07 <DIR> d-------- C:\Dokumente und Einstellungen\Patrias\Anwendungsdaten\Grisoft 2007-12-04 23:06 . 2007-12-04 23:10 <DIR> d-------- C:\Programme\AVG Anti-Spyware 7.5 2007-12-04 23:06 . 2007-12-04 23:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft 2007-12-04 23:06 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-12-03 01:42 . 2007-12-03 01:43 <DIR> d-------- C:\Programme\PC Security Test 2007 2007-12-01 20:25 . 2007-12-01 20:25 47,184 --a------ C:\WINDOWS\system32\drivers\MiniIcpt.sys 2007-12-01 20:25 . 2007-12-01 20:25 31,432 --a------ C:\WINDOWS\system32\drivers\HookCentre.sys 2007-12-01 20:20 . 2007-12-01 20:20 <DIR> d-------- C:\WINDOWS\l2schemas 2007-12-01 20:20 . 2005-04-20 20:30 474,624 -----c--- C:\WINDOWS\system32\dllcache\wzcsvc.dll 2007-12-01 20:20 . 2006-11-01 08:16 69,120 --------- C:\WINDOWS\system32\wlanapi.dll 2007-12-01 20:20 . 2005-04-20 20:30 52,736 -----c--- C:\WINDOWS\system32\dllcache\wzcsapi.dll 2007-12-01 20:20 . 2007-12-01 20:20 41,928 --a------ C:\WINDOWS\system32\drivers\GDTdiIcpt.sys 2007-12-01 20:20 . 2007-12-01 20:20 19,328 --a------ C:\WINDOWS\system32\drivers\GDNdisIc.sys 2007-12-01 20:20 . 2005-04-20 00:54 14,592 -----c--- C:\WINDOWS\system32\dllcache\ndisuio.sys 2007-12-01 20:19 . 2007-12-01 20:19 <DIR> d-------- C:\WINDOWS\gear_dlls 2007-12-01 20:19 . 2007-12-01 20:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\G DATA 2007-12-01 20:17 . 2007-12-01 20:20 <DIR> d-------- C:\Programme\Gemeinsame Dateien\G DATA 2007-12-01 20:17 . 2007-12-01 20:21 <DIR> d-------- C:\Programme\G DATA InternetSecurity 2007-11-29 19:22 . 2007-11-29 19:22 <DIR> d-------- C:\Image-Dats 2007-11-29 18:53 . 2007-11-29 18:53 99,840 --a------ C:\WINDOWS\system32\drivers\ACEDRV06.sys 2007-11-29 18:50 . 2007-11-29 19:28 <DIR> d-------- C:\Programme\Der Ahnenforscher 4.0 2007-11-29 18:50 . 2006-02-23 10:19 369,152 --a------ C:\WINDOWS\DBREG.dll 2007-11-29 18:50 . 2006-02-23 10:20 131,072 --a------ C:\WINDOWS\DBReg.exe 2007-11-29 18:50 . 2006-02-23 14:35 16,387 --a------ C:\WINDOWS\German.ini 2007-11-29 15:20 . 2007-11-29 15:20 6,115,852 --a------ C:\WINDOWS\REGBK12.ZIP 2007-11-28 17:41 . 2007-11-29 18:53 <DIR> d-------- C:\Programme\a-squared Free 2007-11-28 17:38 . 2007-11-28 17:38 <DIR> d-------- C:\Dokumente und Einstellungen\Patrias\Anwendungsdaten\Sereniti 2007-11-27 17:21 . 2007-11-27 17:23 <DIR> d-------- C:\Programme\MFInstall 2007-11-27 15:33 . 2007-11-27 15:35 <DIR> d-------- C:\WINDOWS\NV6562844.TMP 2007-11-24 12:35 . 2007-11-24 12:35 29 --a------ C:\WINDOWS\softy.ini 2007-11-12 18:27 . 2007-12-04 11:01 <DIR> d-------- C:\Programme\Ad-Aware 2007 2007-11-12 17:32 . 2007-11-12 17:43 <DIR> d-------- C:\Programme\Cryptload 2007-11-11 00:35 . 2007-04-03 13:57 23,176 -ra------ C:\WINDOWS\system32\drivers\s116nd5.sys 2007-11-11 00:33 . 2007-11-11 00:33 <DIR> d-------- C:\Dokumente und Einstellungen\Patrias\Anwendungsdaten\Teleca 2007-11-11 00:30 . 2007-11-11 00:30 <DIR> d-------- C:\Programme\Sony Ericsson 2007-11-11 00:30 . 2007-11-11 00:31 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Teleca Shared 2007-11-11 00:30 . 2007-11-11 00:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Sony Ericsson Shared 2007-11-11 00:30 . 2007-11-11 00:30 <DIR> d-------- C:\Dokumente und Einstellungen\Patrias\Anwendungsdaten\Sony Ericsson 2007-11-11 00:29 . 2007-11-11 00:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca 2007-11-11 00:29 . 2007-11-11 00:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson 2007-11-10 22:54 . 2007-11-22 02:22 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2007-11-10 22:54 . 2007-11-10 22:54 1,409 --a------ C:\WINDOWS\QTFont.for 2007-11-10 14:06 . 2007-11-10 14:06 <DIR> d-------- C:\Programme\iTunes 2007-11-10 14:02 . 2007-11-10 14:02 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple 2007-11-10 14:02 . 2007-11-10 14:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple 2007-11-08 18:52 . 2007-11-08 19:09 <DIR> d-------- C:\Programme\EVEREST Ultimate Edition 2007-11-08 18:37 . 2007-01-18 13:38 23,600 --a------ C:\WINDOWS\system32\drivers\TVICHW32.SYS 2007-11-08 16:30 . 2007-11-08 16:30 <DIR> d-------- C:\Programme\MSI Setup Files 2007-11-07 18:35 . 2007-11-07 19:09 51,355 --a------ C:\WINDOWS\system32\muzika.xm 2007-11-06 21:54 . 2007-10-12 15:14 3,734,536 --a------ C:\WINDOWS\system32\d3dx9_36.dll 2007-11-06 21:54 . 2007-07-19 18:14 3,727,720 --a------ C:\WINDOWS\system32\d3dx9_35.dll 2007-11-06 21:54 . 2007-10-12 15:14 1,374,232 --a------ C:\WINDOWS\system32\D3DCompiler_36.dll 2007-11-06 21:54 . 2007-07-19 18:14 1,358,192 --a------ C:\WINDOWS\system32\D3DCompiler_35.dll 2007-11-06 21:54 . 2007-10-02 09:56 444,776 --a------ C:\WINDOWS\system32\d3dx10_36.dll 2007-11-06 21:54 . 2007-07-19 18:14 444,776 --a------ C:\WINDOWS\system32\d3dx10_35.dll 2007-11-06 21:54 . 2007-10-22 03:39 267,272 --a------ C:\WINDOWS\system32\xactengine2_10.dll 2007-11-06 21:54 . 2007-07-20 00:57 267,112 --a------ C:\WINDOWS\system32\xactengine2_9.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-04 10:01 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2007-12-02 22:24 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2007-12-02 22:24 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2007-12-02 11:01 25,992 ----a-w C:\WINDOWS\system32\pgdfgsvc.exe 2007-12-01 19:17 --------- d--h--w C:\Programme\InstallShield Installation Information 2007-12-01 10:14 --------- d-----w C:\Programme\eMule 2007-11-29 16:14 --------- d-----w C:\Programme\Ahnensuche 2007-11-27 14:13 --------- d-----w C:\Programme\CCleaner 2007-11-25 14:02 --------- d-----w C:\Programme\Ahnenblatt 2007-11-15 17:37 --------- d-----w C:\Programme\Winamp 2007-11-14 17:26 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2007-11-13 14:47 --------- d-----w C:\Programme\MSI 2007-11-12 14:16 --------- d-----w C:\Programme\SFT Loader 2007-11-10 22:59 --------- d-----w C:\Programme\Samsung PC Studio 3 2007-11-10 13:06 --------- d-----w C:\Programme\iPod 2007-11-10 13:05 --------- d-----w C:\Programme\QuickTime 2007-11-10 13:03 --------- d-----w C:\Programme\Apple Software Update 2007-11-08 18:28 --------- d-----w C:\Programme\SiSoftware Sandra Lite XI 2007-11-05 17:09 --------- d-----w C:\Programme\TopDesk 2007-11-04 17:14 --------- d-----w C:\Dokumente und Einstellungen\Patrias\Anwendungsdaten\OtakuSoftware 2007-11-03 22:42 --------- d-----w C:\Programme\WinFlip 2007-11-03 22:42 --------- d-----w C:\Programme\VisualTaskTips 2007-11-03 22:42 --------- d-----w C:\Programme\ViStart 2007-11-03 22:42 --------- d-----w C:\Programme\VistaDriveIcon 2007-11-03 22:42 --------- d-----w C:\Programme\ViOrb 2007-11-03 22:42 --------- d-----w C:\Programme\TrueTransparency 2007-11-03 22:42 --------- d-----w C:\Programme\Thoosje Sidebar 2.2 2007-11-03 22:42 --------- d-----w C:\Programme\Styler 2007-11-03 22:30 --------- d-----w C:\Dokumente und Einstellungen\Patrias\Anwendungsdaten\ViStart 2007-10-30 18:12 --------- d-----w C:\Programme\RocketDock 2007-10-25 20:03 --------- d-----w C:\Programme\Steam 2007-10-25 20:02 --------- d-----w C:\Programme\PlayLinc 2007-10-24 16:45 98,304 ----a-w C:\WINDOWS\system32CmdLineExt.dll 2007-10-22 02:37 17,928 ----a-w C:\WINDOWS\system32\X3DAudio1_2.dll 2007-10-16 17:56 5,622,371 ----a-w C:\WINDOWS\REGBK11.ZIP 2007-10-11 17:37 --------- d-----w C:\Programme\IrfanView 2007-10-09 16:43 --------- d-----w C:\Programme\Microsoft Baseline Security Analyzer 2 2007-10-08 17:47 --------- d-----w C:\Dokumente und Einstellungen\Patrias\Anwendungsdaten\autobingooo 2007-10-08 17:42 --------- d-----w C:\Programme\Java 2007-10-07 11:03 --------- d-----w C:\Programme\xp-AntiSpy 2007-10-05 15:18 --------- d-----w C:\Dokumente und Einstellungen\Patrias\Anwendungsdaten\.phish 2007-10-04 16:14 81,920 ----a-w C:\WINDOWS\system32\nvwddi.dll 2007-10-04 16:14 81,920 ----a-w C:\WINDOWS\system32\nvmctray.dll 2007-10-04 16:14 8,491,008 ----a-w C:\WINDOWS\system32\nvcpl.dll 2007-10-04 16:14 753,664 ----a-w C:\WINDOWS\system32\nvcplui.exe 2007-10-04 16:14 6,750,208 ----a-w C:\WINDOWS\system32\nvoglnt.dll 2007-10-04 16:14 6,344,704 ----a-w C:\WINDOWS\system32\nvdisps.dll 2007-10-04 16:14 5,783,424 ----a-w C:\WINDOWS\system32\nv4_disp.dll 2007-10-04 16:14 5,509,120 ----a-w C:\WINDOWS\system32\nvdispsr.dll 2007-10-04 16:14 466,944 ----a-w C:\WINDOWS\system32\nvshell.dll 2007-10-04 16:14 458,752 ----a-w C:\WINDOWS\system32\nvmccssr.dll 2007-10-04 16:14 45,056 ----a-w C:\WINDOWS\system32\nvmccsrs.dll 2007-10-04 16:14 442,368 ----a-w C:\WINDOWS\system32\nvappbar.exe 2007-10-04 16:14 425,984 ----a-w C:\WINDOWS\system32\keystone.exe 2007-10-04 16:14 364,544 ----a-w C:\WINDOWS\system32\nvapi.dll 2007-10-04 16:14 36,864 ----a-w C:\WINDOWS\system32\nvcodins.dll 2007-10-04 16:14 36,864 ----a-w C:\WINDOWS\system32\nvcod.dll 2007-10-04 16:14 335,872 ----a-w C:\WINDOWS\system32\nvwrses.dll 2007-10-04 16:14 335,872 ----a-w C:\WINDOWS\system32\nvwrsel.dll 2007-10-04 16:14 327,680 ----a-w C:\WINDOWS\system32\nvwrsfr.dll 2007-10-04 16:14 327,680 ----a-w C:\WINDOWS\system32\nvwrsesm.dll 2007-10-04 16:14 327,680 ----a-w C:\WINDOWS\system32\nvrshe.dll 2007-10-04 16:14 327,680 ----a-w C:\WINDOWS\system32\nvrsar.dll 2007-10-04 16:14 323,584 ----a-w C:\WINDOWS\system32\nvwrspt.dll 2007-10-04 16:14 323,584 ----a-w C:\WINDOWS\system32\nvwrsit.dll 2007-10-04 16:14 319,488 ----a-w C:\WINDOWS\system32\nvwrsptb.dll 2007-10-04 16:14 319,488 ----a-w C:\WINDOWS\system32\nvwrsnl.dll 2007-10-04 16:14 315,392 ----a-w C:\WINDOWS\system32\nvwrsru.dll 2007-10-04 16:14 315,392 ----a-w C:\WINDOWS\system32\nvwrshu.dll 2007-10-04 16:14 311,296 ----a-w C:\WINDOWS\system32\nvwrsde.dll 2007-10-04 16:14 307,200 ----a-w C:\WINDOWS\system32\nvexpbar.dll 2007-10-04 16:14 303,104 ----a-w C:\WINDOWS\system32\nvwrstr.dll 2007-10-04 16:14 303,104 ----a-w C:\WINDOWS\system32\nvwrssl.dll 2007-10-04 16:14 303,104 ----a-w C:\WINDOWS\system32\nvwrsfi.dll 2007-10-04 16:14 3,629,056 ----a-w C:\WINDOWS\system32\nvvitvsr.dll 2007-10-04 16:14 3,551,232 ----a-w C:\WINDOWS\system32\nvvitvs.dll 2007-10-04 16:14 3,334,144 ----a-w C:\WINDOWS\system32\nvgames.dll 2007-10-04 16:14 3,166,208 ----a-w C:\WINDOWS\system32\nvgamesr.dll 2007-10-04 16:14 299,008 ----a-w C:\WINDOWS\system32\nvwrssk.dll 2007-10-04 16:14 299,008 ----a-w C:\WINDOWS\system32\nvwrsno.dll 2007-10-04 16:14 294,912 ----a-w C:\WINDOWS\system32\nvwrssv.dll 2007-10-04 16:14 294,912 ----a-w C:\WINDOWS\system32\nvwrspl.dll 2007-10-04 16:14 294,912 ----a-w C:\WINDOWS\system32\nvwrsda.dll 2007-10-04 16:14 290,816 ----a-w C:\WINDOWS\system32\nvwrsth.dll 2007-10-04 16:14 286,720 ----a-w C:\WINDOWS\system32\nvwrseng.dll 2007-10-04 16:14 286,720 ----a-w C:\WINDOWS\system32\nvwrscs.dll 2007-10-04 16:14 286,720 ----a-w C:\WINDOWS\system32\nvnt4cpl.dll 2007-10-04 16:14 282,624 ----a-w C:\WINDOWS\system32\nvwrsar.dll 2007-10-04 16:14 282,624 ----a-w C:\WINDOWS\system32\nvrsfr.dll 2007-10-04 16:14 282,624 ----a-w C:\WINDOWS\system32\nvrses.dll 2007-10-04 16:14 282,624 ----a-w C:\WINDOWS\system32\nvrsel.dll 2007-10-04 16:14 278,528 ----a-w C:\WINDOWS\system32\nvwrshe.dll 2007-10-04 16:14 278,528 ----a-w C:\WINDOWS\system32\nvrsit.dll 2007-10-04 16:14 278,528 ----a-w C:\WINDOWS\system32\nvrsde.dll 2007-10-04 16:14 274,432 ----a-w C:\WINDOWS\system32\nvrspt.dll 2007-10-04 16:14 274,432 ----a-w C:\WINDOWS\system32\nvrsnl.dll 2007-10-04 16:14 274,432 ----a-w C:\WINDOWS\system32\nvrsesm.dll 2007-10-04 16:14 270,336 ----a-w C:\WINDOWS\system32\nvrsru.dll 2007-10-04 16:14 266,240 ----a-w C:\WINDOWS\system32\nvrsptb.dll 2007-10-04 16:14 266,240 ----a-w C:\WINDOWS\system32\nvrsja.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 13:00] "NVIDIA nTune"="C:\NVIDIA\nTune\nTune\nTuneCmd.exe" [2007-04-04 13:20] "RocketDock"="C:\Programme\RocketDock\RocketDock.exe" [2007-09-02 13:58] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50] "IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-01-13 09:47] "HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-01-13 09:47] "NvCplDaemon"="RUNDLL32.exe" [2006-02-28 13:00 C:\WINDOWS\system32\rundll32.exe] "RemoteControl"="C:\Programme\PowerDVD\PDVDServ.exe" [2005-12-07 22:57] "NvMediaCenter"="RUNDLL32.exe" [2006-02-28 13:00 C:\WINDOWS\system32\rundll32.exe] "GDFirewallTray"="C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe" [2007-08-14 12:12] "AVKTray"="C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe" [2007-08-14 12:15] "!AVG Anti-Spyware"="C:\Programme\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 13:00] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "DisableRegistryTools"= 0 (0x0) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "NVIDIA nTune"="C:\NVIDIA\nTune\nTune\nTuneCmd.exe" clear "Steam"="C:\Programme\Steam\Steam.exe" -silent [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "igfxpers"=C:\WINDOWS\system32\igfxpers.exe "Persistence"=C:\WINDOWS\system32\igfxpers.exe "LanguageShortcut"=C:\Programme\PowerDVD\Language\Language.exe "nwiz"=nwiz.exe /install R0 GDNdisIc;GDNdisIc;C:\WINDOWS\system32\drivers\GDNdisIc.sys R2 ACEDRV06;ACEDRV06;\??\C:\WINDOWS\system32\drivers\ACEDRV06.sys R2 AVKProxy;G DATA AntiVirus Proxy;"C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe" R2 AVKService;AVK Service;C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe R2 AVKWCtl;AVK Wächter;C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe R2 GDTdiInterceptor;GDTdiInterceptor;\??\C:\WINDOWS\system32\drivers\GDTdiIcpt.sys R2 NVXBAR;nVidia WDM A/V Crossbar;C:\WINDOWS\system32\DRIVERS\NVxbar.sys R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs R3 GDFwSvc;G DATA Personal Firewall;C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe R3 GDMnIcpt;GDMnIcpt;\??\C:\WINDOWS\system32\drivers\MiniIcpt.sys R3 HookCentre;HookCentre;\??\C:\WINDOWS\system32\drivers\HookCentre.sys R3 PCAlertDriver;PCAlertDriver;\??\C:\Programme\MSI\Core Center\NTGLM7X.sys R3 RMSPPPOE;WAN Miniport (PPP over Ethernet Protocol);C:\WINDOWS\system32\DRIVERS\RMSPPPOE.SYS R3 RushTopDevice;RushTopDevice;\??\C:\Programme\MSI\Core Center\RushTop.sys S2 nvcap;nVidia WDM Video Capture (universal);C:\WINDOWS\system32\DRIVERS\nvcap.sys S3 hamachi_oem;PlayLinc Adapter;C:\WINDOWS\system32\DRIVERS\gan_adapter.sys S3 s116bus;Sony Ericsson Device 116 driver (WDM);C:\WINDOWS\system32\DRIVERS\s116bus.sys S3 s116mdfl;Sony Ericsson Device 116 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s116mdfl.sys S3 s116mdm;Sony Ericsson Device 116 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s116mdm.sys S3 s116mgmt;Sony Ericsson Device 116 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s116mgmt.sys S3 s116nd5;Sony Ericsson Device 116 USB Ethernet Emulation SEMC116 (NDIS);C:\WINDOWS\system32\DRIVERS\s116nd5.sys S3 s116obex;Sony Ericsson Device 116 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s116obex.sys S3 s116unic;Sony Ericsson Device 116 USB Ethernet Emulation SEMC116 (WDM);C:\WINDOWS\system32\DRIVERS\s116unic.sys HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners "2007-11-28 15:50:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-05 23:22:20 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-12-05 23:23:20 - machine was rebooted . --- E O F --- Ich kann nichts ungewöhnliches finden  . Aber bin auch kein experte LOL |
|
06.12.2007, 11:55
| #5 |
| | Backdoor (ircbot)???, Fehlalarm? Undoreal, grüsse dich bist grad online, wenn du das liest vielleicht hast du ja nen Reim drauf Verarscht mich ESCAN, habe noch mal mit ner geuppten version gescannt, findet er plötzlich neue Trojaner, alle anderen aus meinem vorigen post/log sind weg. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.5.9 Sprache: German Virus-Datenbank Datum: 12/5/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. System found infected with mirar Spyware/Adware (hkey_local_machine\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\swreg.exe Offending file found: C:\WINDOWS\system32\swsc.exe ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 32549 Gefundene Viren: 3 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 4 Dauer des Scans bisher: 00:03:12 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Batchstart: 11:47:23,73 Batchende: 11:47:29,46 |
|
06.12.2007, 12:23
| #6 | ||
| /// AVZ-Toolkit Guru | Backdoor (ircbot)???, Fehlalarm?Zitat:
Da sind einige Volltreffer im log die garnicht gut aussehen.. Zusammen mit dem eScan Bericht und einigen Dateien die auf einen W32-Bot sowie den Troj/StartPa-Hl schließen lassen wäre mir das ganz und garnicht geheuer.. Auch wenn wir die Hintertür noch nicht einwandfrei lokalisiert haben gehe ich davon aus, dass eine da ist. Damit gebe ich dir den dringlichen Rat deinen Rechner neuaufzusetzten und hinterher alle Passwörter zu ändern! Damit sparst du dir eine Menge Zeit! Eine Anleitung findest du in meiner Signatur. Daten solltest du wirklich keine Sichern da einer der Trojaner Daten auf deinem Rechner modifiziert.. Wenn du noch ganz sichergehen möchtest, dass ich Recht habe befor du deine Kiste platt machst dann gehe vor wie folgt: Poste als erstes mal ein HijackThis logfile (obwohl ich nicht glaube, dass dort was besonderes auftauchen wird..) Die hier solltest du mal auf VT überprüfen lassen. Poste bitte danach den Bericht.. Zitat:
 C:\WINDOWS\REGBK12.ZIP
__________________ --> Backdoor (ircbot)???, Fehlalarm? |
|
06.12.2007, 12:26
| #7 | |
| | Backdoor (ircbot)???, Fehlalarm?Zitat:
So, alles gelöscht nach nochmaligen scan alles clean hoffe ich, guckst du hier: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.5.9 Sprache: German Virus-Datenbank Datum: 12/5/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 32543 Gefundene Viren: 0 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 4 Dauer des Scans bisher: 00:02:38 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Batchstart: 12:21:49,51 Batchende: 12:21:56,29 FALLS NOCH ANREGUNGEN SIND IMMER HER DAMIT!!!  |
|
06.12.2007, 12:38
| #8 | |
| | Backdoor (ircbot)???, Fehlalarm?Zitat:
Also in den Archiven sind daten vom "Windows registry editor 5.0" drin, Virustotal-seite funzt nicht. Habe noch unter den archiven ne --reedit.COM-- gefunden und erst mal umbenannt. |
|
06.12.2007, 12:44
| #9 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Backdoor (ircbot)???, Fehlalarm? Hi, inwiefern funktioniert Virustotal nicht? Klappt das denn bei Jotti? Bei Jotti musst du ggf. etwas abwarten, der der Service recht häufig überlastet ist... Mach doch auch nochmal einen Check mit Blacklight und poste das Log.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
06.12.2007, 13:11
| #10 |
| | Backdoor (ircbot)???, Fehlalarm? Hallo Cosinus, also, Blacklight findet nix glaube das hier ist das log: 12/06/07 12:46:48 [Info]: BlackLight Engine 1.0.67 initialized 12/06/07 12:46:48 [Info]: OS: 5.1 build 2600 (Service Pack 2) 12/06/07 12:46:49 [Note]: 7019 4 12/06/07 12:46:49 [Note]: 7005 0 12/06/07 12:46:52 [Note]: 7006 0 12/06/07 12:46:52 [Note]: 7011 1936 12/06/07 12:46:53 [Note]: 7026 0 12/06/07 12:46:53 [Note]: 7026 0 12/06/07 12:46:56 [Note]: FSRAW library version 1.7.1024 12/06/07 12:51:55 [Note]: 2000 1012 12/06/07 12:52:23 [Note]: 7007 0 bei Jotti wurde auch nichts zu den dateien gefunden, zur regedit.com hab ich was im netz gefunden, is normal, tuneup pimpt da wohl was. Ansonsten keine Ahnung, |
|
06.12.2007, 13:12
| #11 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Backdoor (ircbot)???, Fehlalarm? Was ist denn mit Virustotal los? Warum klappt das nicht bei dir? Genaue Fehlerbeschreibung?
__________________ Logfiles bitte immer in CODE-Tags posten |
|
06.12.2007, 13:15
| #12 | |
| | Backdoor (ircbot)???, Fehlalarm?Zitat:
Aha der link vom undoreal war doppelt mit Http, geht doch. Jetz muss ich at Work, scanne heute abend die dats bei VT nochmal. Gruss bis denne mal |
|
06.12.2007, 14:40
| #13 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Backdoor (ircbot)???, Fehlalarm? Naja, nochmal bei VT scannen musst du die Dateien nicht, du hast sie ja schon bei jotti scannen lassen. Sie scheinen sauber zu sein. Mir gings nur um den Fehler, warum du VT nicht öffnen konntest, aber das hat sich ja erledigt. Die mwav/escan Ergebnisse klingen sehr nach Fehlalarme, das Programm erzeugt in dieser Sektion (Infektionsmeldungen) leider sehr viele davon... 
__________________ Logfiles bitte immer in CODE-Tags posten |
|
06.12.2007, 15:15
| #14 | |
| /// AVZ-Toolkit Guru | Backdoor (ircbot)???, Fehlalarm?Zitat:
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
06.12.2007, 23:47
| #15 |
| | Backdoor (ircbot)???, Fehlalarm? Hallo undoreal, Also nochmal die ergebnisse von Virustotal, hab nicht alle ins file getan, nirgends war ne meldung, ausser esafe machte ne bemerkung das die dbreg.exe verdächtig sei. kommt mir langsam so vor als wenn Microworld es drauf anlegt das toolkit MWAV für 99 $ an den mann zu bringen, und user in die irre zu führen  .Datei DBReg.exe empfangen 2007.12.06 23:02:56 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 1/32 (3.13%) Laden der Serverinformationen... I Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.12.7.0 2007.12.06 - AntiVir 7.6.0.34 2007.12.06 - Authentium 4.93.8 2007.12.05 - Avast 4.7.1098.0 2007.12.06 - AVG 7.5.0.503 2007.12.06 - BitDefender 7.2 2007.12.06 - CAT-QuickHeal 9.00 2007.12.06 - ClamAV 0.91.2 2007.12.06 - DrWeb 4.44.0.09170 2007.12.06 - eSafe 7.0.15.0 2007.12.06 Suspicious File eTrust-Vet 31.3.5356 2007.12.06 - Ewido 4.0 2007.12.06 - FileAdvisor 1 2007.12.06 - Fortinet 3.14.0.0 2007.12.06 - F-Prot 4.4.2.54 2007.12.06 - F-Secure 6.70.13030.0 2007.12.06 - Ikarus T3.1.1.12 2007.12.06 - Kaspersky 7.0.0.125 2007.12.06 - McAfee 5179 2007.12.06 - Microsoft 1.3007 2007.12.06 - NOD32v2 2707 2007.12.06 - Norman 5.80.02 2007.12.06 - Panda 9.0.0.4 2007.12.06 - Prevx1 V2 2007.12.06 - Rising 20.21.32.00 2007.12.06 - Sophos 4.24.0 2007.12.06 - Sunbelt 2.2.907.0 2007.12.06 - Symantec 10 2007.12.06 - TheHacker 6.2.9.151 2007.12.05 - VBA32 3.12.2.5 2007.12.05 - VirusBuster 4.3.26:9 2007.12.06 - Webwasher-Gateway 6.6.2 2007.12.06 - Datei DBREG.dll empfangen 2007.12.06 23:07:21 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.12.7.0 2007.12.06 - AntiVir 7.6.0.34 2007.12.06 - Authentium 4.93.8 2007.12.05 - Avast 4.7.1098.0 2007.12.06 - AVG 7.5.0.503 2007.12.06 - BitDefender 7.2 2007.12.06 - CAT-QuickHeal 9.00 2007.12.06 - ClamAV 0.91.2 2007.12.06 - DrWeb 4.44.0.09170 2007.12.06 - eSafe 7.0.15.0 2007.12.06 - eTrust-Vet 31.3.5356 2007.12.06 - Ewido 4.0 2007.12.06 - FileAdvisor 1 2007.12.06 - Fortinet 3.14.0.0 2007.12.06 - F-Prot 4.4.2.54 2007.12.06 - F-Secure 6.70.13030.0 2007.12.06 - Ikarus T3.1.1.12 2007.12.06 - Kaspersky 7.0.0.125 2007.12.06 - McAfee 5179 2007.12.06 - Microsoft 1.3007 2007.12.06 - NOD32v2 2707 2007.12.06 - Norman 5.80.02 2007.12.06 - Panda 9.0.0.4 2007.12.06 - Prevx1 V2 2007.12.06 - Rising 20.21.32.00 2007.12.06 - Sophos 4.24.0 2007.12.06 - Sunbelt 2.2.907.0 2007.12.06 - Symantec 10 2007.12.06 - TheHacker 6.2.9.151 2007.12.05 - VBA32 3.12.2.5 2007.12.05 - VirusBuster 4.3.26:9 2007.12.06 - Webwasher-Gateway 6.6.2 2007.12.06 - Datei CmdLineExt.dll empfangen 2007.12.06 23:18:08 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.12.7.0 2007.12.06 - AntiVir 7.6.0.34 2007.12.06 - Authentium 4.93.8 2007.12.05 - Avast 4.7.1098.0 2007.12.06 - AVG 7.5.0.503 2007.12.06 - BitDefender 7.2 2007.12.06 - CAT-QuickHeal 9.00 2007.12.06 - ClamAV 0.91.2 2007.12.06 - DrWeb 4.44.0.09170 2007.12.06 - eSafe 7.0.15.0 2007.12.06 - eTrust-Vet 31.3.5356 2007.12.06 - Ewido 4.0 2007.12.06 - FileAdvisor 1 2007.12.06 - Fortinet 3.14.0.0 2007.12.06 - F-Prot 4.4.2.54 2007.12.06 - F-Secure 6.70.13030.0 2007.12.06 - Ikarus T3.1.1.12 2007.12.06 - Kaspersky 7.0.0.125 2007.12.06 - McAfee 5179 2007.12.06 - Microsoft 1.3007 2007.12.06 - NOD32v2 2707 2007.12.06 - Norman 5.80.02 2007.12.06 - Panda 9.0.0.4 2007.12.06 - Prevx1 V2 2007.12.06 - Rising 20.21.32.00 2007.12.06 - Sophos 4.24.0 2007.12.06 - Sunbelt 2.2.907.0 2007.12.06 - Symantec 10 2007.12.06 - TheHacker 6.2.9.151 2007.12.05 - VBA32 3.12.2.5 2007.12.05 - VirusBuster 4.3.26:9 2007.12.06 - Webwasher-Gateway 6.6.2 2007.12.06 - Ich sage mal vielen Dank für eure hilfe, könnt ja vielleicht noch ein paar nützliche links mit tools wie combofix posten, sind echt hilfreich. Macht weiter so  !!!! |
|
| Themen zu Backdoor (ircbot)???, Fehlalarm? |
| ad-aware, adobe, antispyware, antivirus, backdoor, bho, computer, confused, ctfmon.exe, cyberlink, desktop, drivers, einstellungen, excel, explorer, fehlalarm, fehler, g data, gdata, hijackthis, hkus\s-1-5-18, hosts-datei, internet, internet explorer, object, pop-up-blocker, proxy, prozesse, registry, rundll, s-1-5-18, security, software, spyware terminator, trend micro, urlsearchhook, userinit.exe, vielen dank, windows xp, windows\system32\drivers |
Linear-Darstellung
