TR/Zlob.DCH

Steelz0r · 06.01.2008, 15:14

Hallo,

Antivir hat den oben genannten Trojaner entdeckt. Guard war aktiviert und ich habe die Funktion Zugriff verweigert ausgewählt.
Ich habe mehrere der Anleitungen in diesem Forum durchgeführt und wollte euch nun die Logs zeigen, damit ihr schauen könnt, ob noch Reste da sind.

SmitFraudFix v2.274

Scan done at 14:38:41,18, 06.01.2008
Run from C:\Dokumente und Einstellungen\Bj”rn\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\SpeedFan\speedfan.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Bj”rn

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Bj”rn\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\BJRN~1\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix.exe by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Linksys Wireless-G PCI Adapter
DNS Server Search Order: 192.168.178.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{1CB62750-A39F-4720-8B4D-1739D1CD896A}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{1CB62750-A39F-4720-8B4D-1739D1CD896A}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{1CB62750-A39F-4720-8B4D-1739D1CD896A}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

Logfile of HijackThis v1.99.1
Scan saved at 15:03:47, on 06.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\SpeedFan\speedfan.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HiJackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O3 - Toolbar: The ensfolr - {A037112F-183D-4E98-8CEA-1A0D93BA9F48} - (no file)
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O21 - SSODL: ampkfst - {640A605E-99E2-49AA-81D7-D8C9CF17DA7C} - (no file)
O21 - SSODL: bklgvsf - {68E06FBC-3608-463D-9BE3-C52CDA1174EB} - (no file)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

ComboFix 08-01-04.1 - Björn 2008-01-06 14:55:19.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1468 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Björn\Desktop\ComboFix(2).exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\_install.exe nicht gefunden
C:\WINDOWS\OPTIONS\CABS\_desktop.ini

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\nm

((((((((((((((((((((((( Dateien erstellt von 2007-12-06 bis 2008-01-06 ))))))))))))))))))))))))))))))
.

2008-01-06 14:54 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-06 13:22 . 2008-01-06 13:22 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-01-06 13:22 . 2008-01-06 13:22 <DIR> d-------- C:\WINDOWS\LastGood.Tmp
2008-01-06 13:22 . 2008-01-06 13:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-01-06 13:03 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-01-06 13:03 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-01-06 13:03 . 2007-12-20 23:11 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-01-06 13:03 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-01-06 13:03 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-01-06 13:03 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-01-06 12:55 . 2008-01-06 12:55 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-01-06 12:54 . 2007-09-19 22:39 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-01-06 12:54 . 2007-09-19 23:36 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-01-06 12:54 . 2007-09-19 23:36 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-01-06 12:54 . 2007-09-19 23:36 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-01-06 12:54 . 2007-09-19 23:36 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-01-06 12:54 . 2007-09-19 23:36 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-01-06 12:54 . 2007-09-19 23:36 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-01-06 12:50 . 2008-01-06 14:38 2,152 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-06 11:40 . 2008-01-06 11:41 <DIR> d-------- C:\Programme\Hamachi
2008-01-06 11:40 . 2008-01-06 11:40 25,280 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2008-01-06 11:20 . 2008-01-06 11:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-01-04 14:28 . 2008-01-04 14:28 <DIR> d-------- C:\Programme\Elaborate Bytes
2008-01-03 08:15 . 2008-01-05 12:02 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2007-12-31 09:51 . 2007-12-31 09:51 <DIR> d-------- C:\WINDOWS\Sun
2007-12-31 09:50 . 2007-12-31 09:50 <DIR> d-------- C:\Programme\Java
2007-12-31 09:50 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2007-12-31 09:49 . 2007-12-31 09:49 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2007-12-14 10:24 . 2007-12-14 10:24 <DIR> d-------- C:\Programme\Adobe SpeedUp
2007-12-10 15:59 . 2007-12-10 15:59 669,184 --a------ C:\WINDOWS\system32\pbsvc.exe
2007-12-10 15:32 . 2007-12-10 16:00 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-12-10 15:31 . 2007-12-10 16:00 103,736 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2007-12-10 15:28 . 2007-12-10 15:28 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2007-12-10 15:28 . 2007-12-10 15:28 279 --a------ C:\WINDOWS\game.ini
2007-12-10 15:14 . 2007-12-10 15:14 <DIR> d-------- C:\Programme\Yasu
2007-12-10 15:12 . 2007-12-10 15:12 <DIR> d-------- C:\Programme\DAEMON Tools
2007-12-10 15:10 . 2007-12-10 15:10 682,232 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2007-12-10 14:45 . 2007-12-10 14:45 <DIR> d--hs---- C:\WINDOWS\ftpcache

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-06 13:58 --------- d-----w C:\Programme\SpeedFan
2008-01-06 13:50 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-01-06 10:02 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-03 06:57 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-01 08:51 --------- d-----w C:\Programme\Steam
2007-12-05 16:02 --------- d-----w C:\Programme\Realtek
2007-12-05 15:32 --------- d-----w C:\Programme\Teamspeak2_RC2
2007-11-18 07:41 --------- d-----w C:\Programme\ICQ6
2007-11-14 16:14 4,625,408 ----a-w C:\WINDOWS\system32\drivers\RtkHDAud.sys
2007-11-11 17:10 --------- d-----w C:\Programme\audiograbber
2007-11-07 16:31 1,191,936 ----a-w C:\WINDOWS\RtlUpd.exe
2007-11-06 09:50 16,855,552 ----a-w C:\WINDOWS\RTHDCPL.exe
2007-10-11 10:04 1,826,816 ----a-w C:\WINDOWS\SkyTel.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{AD6E6555-FB2C-47D4-8339-3E2965509877}
{A037112F-183D-4E98-8CEA-1A0D93BA9F48}

[HKEY_CLASSES_ROOT\clsid\{ad6e6555-fb2c-47d4-8339-3e2965509877}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-12-16 11:57 94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="C:\WINDOWS\JM\JMInsIDE.exe" [2006-10-30 13:44 36864]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 11:35 90112]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 02:06 40048]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-19 16:54 249896]
"Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2004-01-14 02:10 409600]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"RTHDCPL"="RTHDCPL.EXE" [2007-11-06 10:50 16855552 C:\WINDOWS\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57 15360]

R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2004-11-02 09:00]
R3 Cinergy_HT_PCI_MKII;Cinergy HT PCI (MKII) service;C:\WINDOWS\system32\DRIVERS\Cinergy_HT_PCI_MKII.sys [2007-05-11 15:17]
S3 gdrv;gdrv;C:\WINDOWS\gdrv.sys [2007-09-24 18:59]
S3 S6U12BScanner;MUSTEK 1200 UB Still Image Device Service;C:\WINDOWS\system32\drivers\usbscan.sys [2004-08-03 22:58]

.
Inhalt des "geplante Tasks" Ordners
"2007-09-24 18:50:17 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-06 14:58:49
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-06 15:01:08 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-06 14:01:06

Im HijackThis Log sind ja noch 3 komische Einträge zu erkennen, die zu einem Trojaner gehören könnten. Ich habe die dazugehörigen Dateien im abgesicherten Modus gelöscht, da sie mir da schon komisch vorkamen und die gleich Uhrzeit wie die Infektionsmeldung trugen.

Es wäre sehr nett, wenn ihr euch die Logs mal anschauen könntet und mir eure Reaktionen mitteilt. Danke im Voraus!

Steelz0r · 06.01.2008, 15:15

Hier noch der Kaspersky Scan:

PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Sonntag, 6. Januar 2008 14:33:27
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 6/01/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 503089
Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Erweiterte
Archive untersuchen ja
Mail-Datenbanken untersuchen ja
Untersuchungsobjekt Arbeitsplatz
A:\
C:\
D:\
E:\
F:\
G:\
Untersuchungsergebnisse
Untersuchte Objekte insgesamt 77540
Viren gefunden 1
Infizierte Objekte gefunden 7
Verdächtige Objekte gefunden 0
Untersuchungszeit 00:58:56

Name des infizierten Objekts Virusname Letzte Aktion
C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Mozilla\Firefox\Profiles\8x1fltet.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Mozilla\Firefox\Profiles\8x1fltet.default\formhistory.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Mozilla\Firefox\Profiles\8x1fltet.default\history.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Mozilla\Firefox\Profiles\8x1fltet.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Mozilla\Firefox\Profiles\8x1fltet.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Mozilla\Firefox\Profiles\8x1fltet.default\search.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Mozilla\Firefox\Profiles\8x1fltet.default\urlclassifier2.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Björn\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Björn\Desktop\SmitfraudFix\Reboot.exe Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\Dokumente und Einstellungen\Björn\Desktop\SmitfraudFix.exe/data.rar/SmitfraudFix/Reboot.exe Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\Dokumente und Einstellungen\Björn\Desktop\SmitfraudFix.exe/data.rar Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\Dokumente und Einstellungen\Björn\Desktop\SmitfraudFix.exe RarSFX: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\Björn\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Björn\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Björn\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\8x1fltet.default\Cache\63329BDCd01/data.rar/SmitfraudFix/Reboot.exe Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\Dokumente und Einstellungen\Björn\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\8x1fltet.default\Cache\63329BDCd01/data.rar Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\Dokumente und Einstellungen\Björn\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\8x1fltet.default\Cache\63329BDCd01 RarSFX: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\Björn\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\8x1fltet.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Björn\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\8x1fltet.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Björn\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\8x1fltet.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Björn\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\8x1fltet.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Björn\Lokale Einstellungen\Temp\Perflib_Perfdata_620.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Björn\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Björn\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Björn\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008010620080107\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Björn\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Björn\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\debug.log Das Objekt ist gesperrt übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\debug.log.idx Das Objekt ist gesperrt übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\error.log Das Objekt ist gesperrt übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\error.log.idx Das Objekt ist gesperrt übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\ids.log Das Objekt ist gesperrt übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\ids.log.idx Das Objekt ist gesperrt übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\network.log Das Objekt ist gesperrt übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\network.log.idx Das Objekt ist gesperrt übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\system.log Das Objekt ist gesperrt übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\system.log.idx Das Objekt ist gesperrt übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\warning.log Das Objekt ist gesperrt übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\warning.log.idx Das Objekt ist gesperrt übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\web.log Das Objekt ist gesperrt übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\web.log.idx Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{5D1A35DC-1D5B-48A6-8149-B631F539389A}\RP73\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
Die Untersuchung wurde abgeschlossen.

TR/Zlob.DCH

Plagegeister aller Art und deren Bekämpfung: TR/Zlob.DCH

TR/Zlob.DCH

TR/Zlob.DCH

Ähnliche Themen: TR/Zlob.DCH