|
Plagegeister aller Art und deren Bekämpfung: TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
10.01.2008, 17:43 | #46 |
| TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 ich hab da auch noch noch: "item" = "vtsqn" das auch löschen? |
10.01.2008, 17:49 | #47 |
Administrator > Competence Manager | TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 Ja, das steht auch mit der Datei im Zusammenhang!
__________________(frage mich nur wieso das Regsearch nicht gefunden hat?! )
__________________ |
10.01.2008, 17:54 | #48 |
| TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 weil da nicht vtsqn.exe sondern nur vtsqn steht nehme ich an... soll ich vorher vllt noch ma generell nach den dateien suche ohne endungen?
__________________ |
10.01.2008, 18:09 | #49 |
Administrator > Competence Manager | TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 Tu das .. bin gleich wieder da.
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
10.01.2008, 18:16 | #50 |
| TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 10.01.2008 18:11:25 for strings: ; 'vtsqn' ; 'zts2' ; 'iifgfgf' ; 'rundll16' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_CURRENT_USER\Software\Neuber GbR\Security Task Manager\Cache] "C:\\WINDOWS\\system32\\vtsqn.dll"="2080" ; End Of The Log... Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 10.01.2008 18:13:50 for strings: ; 'rundl132' ; 'logo1_' ; 'vcmgcd32' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... was ist eig mit ot_move it das auch betroffen war? anscheinend hat er ja in der reg vom security task manager was gefunden muss ich den auch deinstallieren? hab grad in dem ordner nach geguckt das is auch noch ne awttqon.dll drin... falls du dich erinnerst war das eine der ersten infizierten dateien... Geändert von L3g3nD (10.01.2008 um 18:40 Uhr) |
10.01.2008, 18:44 | #51 |
Administrator > Competence Manager | TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 Diesen Schlüssel kannst du auch löschen -> [HKEY_CURRENT_USER\Software\Neuber GbR\Security Task Manager\Cache] "C:\\WINDOWS\\system32\\vtsqn.dll"="2080" Mach nun mit Rouge weiter, erst mal nichts mehr deinstallieren oder, ich hoffe das wir das so langsam mal in den Griff bekommen!
__________________ --> TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 |
10.01.2008, 18:46 | #52 |
| TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 ok die von awttqon auch nehme ich an... |
10.01.2008, 18:48 | #53 |
Administrator > Competence Manager | TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 ja. .. aber das ist erst mal nicht (ganz) so wichtig.
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
10.01.2008, 19:07 | #54 |
| TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 ----------------RVAXO.exe first run------------- Files found: C:\WINDOWS\system32\systems.txt Uninstallers Rogue scanners: Folders Found: Hosts-file was reset, If you use a custom hosts file please replace it... --------------RVAXO.exe last run--------------- Files found: Folders Found: --------------RVAXO.exe finished---------------- die gefundenen sachen löschen oder net? er hat grad noch was gefunden in der backup.zip von avenger |
10.01.2008, 19:26 | #55 |
Administrator > Competence Manager | TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 Ein letztes mal das Combofix einsetzen: ComboFix -Lade dir das Tool hier herunter -> KLICK -Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein! Führe nun einen Scan hiermit aus -> Kaspersky - VirusRemoval Tool Bitte genau die Anleitung beachten!
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
10.01.2008, 19:38 | #56 |
| TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 ComboFix 08-01-10.2 - Jonny 2008-01-10 19:29:22.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.1586 [GMT 1:00] Running from: C:\Documents and Settings\Jonny\Desktop\ComboFix.exe * Created a new restore point . ((((((((((((((((((((((((( Files Created from 2007-12-10 to 2008-01-10 ))))))))))))))))))))))))))))))) . 2008-01-10 19:01 . 2008-01-10 19:01 <DIR> d-------- C:\Program Files\Avira 2008-01-10 18:54 . 2008-01-10 18:54 <DIR> d-------- C:\RVAXO 2008-01-10 18:51 . 2008-01-10 10:49 598,564 --a------ C:\WINDOWS\system32\RVAXO.bat 2008-01-10 18:51 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe 2008-01-10 17:38 . 2007-12-16 15:40 31,024 --a------ C:\WINDOWS\system32\rrMon.sys 2008-01-09 22:05 . 2008-01-09 22:06 <DIR> d-------- C:\WINDOWS\system32\NtmsData 2008-01-09 00:56 . 2008-01-09 00:56 0 --a------ C:\WINDOWS\system32\SBRC.dat 2008-01-08 21:53 . 2008-01-08 21:53 0 --a------ C:\WINDOWS\system32\SBFC.dat 2008-01-08 17:37 . 2008-01-08 17:37 15,544 --a------ C:\WINDOWS\system32\drivers\sbhr.sys 2008-01-08 17:35 . 2008-01-08 17:35 <DIR> d-------- C:\Documents and Settings\Jonny\Application Data\Sunbelt Software 2008-01-08 17:35 . 2008-01-08 17:35 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Sunbelt Software 2008-01-07 21:34 . 2008-01-07 21:50 <DIR> d-------- C:\Documents and Settings\Jonny\DoctorWeb 2008-01-07 17:57 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe 2008-01-06 19:50 . 2008-01-06 19:50 0 --a------ C:\23990098.$$$ 2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\zts2.exe 2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll 2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll 2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\rundll16.exe 2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\rundl132.dll 2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\logo1_.exe 2008-01-06 18:28 . 2004-08-04 00:56 146,432 --a------ C:\WINDOWS\R.COM 2008-01-06 18:28 . 2004-08-04 00:56 135,680 --a------ C:\WINDOWS\system32\T.COM 2008-01-06 18:28 . 2008-01-06 18:30 50 --a------ C:\WINDOWS\Lic.xxx 2008-01-06 17:45 . 2008-01-06 17:45 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe 2008-01-06 02:07 . 2008-01-10 19:01 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Avira 2008-01-06 02:02 . 2008-01-06 02:02 <DIR> d-------- C:\Program Files\Security Task Manager 2008-01-06 02:02 . 2008-01-06 16:49 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\SecTaskMan 2008-01-05 23:16 . 2008-01-06 01:57 <DIR> d-------- C:\Documents and Settings\Jonny\Contacts 2008-01-05 23:15 . 2008-01-05 23:15 <DIR> d-------- C:\Program Files\Windows Live 2008-01-05 23:06 . 2008-01-05 23:06 <DIR> d-------- C:\Documents and Settings\Jonny\Application Data\MSNInstaller 2008-01-04 14:08 . 2008-01-04 14:08 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Last.fm 2008-01-04 02:25 . 2008-01-04 02:25 <DIR> d-------- C:\WINDOWS\nview 2008-01-04 02:25 . 2007-12-05 02:53 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE 2008-01-04 02:25 . 2007-12-05 01:41 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe 2008-01-04 02:25 . 2008-01-05 23:40 163,353 --a------ C:\WINDOWS\system32\nvapps.xml 2008-01-04 02:25 . 2007-12-05 01:41 17,737 --a------ C:\WINDOWS\system32\nvdisp.nvu 2008-01-03 04:51 . 2008-01-04 19:45 <DIR> d-------- C:\Documents and Settings\Jonny\Application Data\mIRC . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-08 23:28 --------- d-----w C:\Documents and Settings\Jonny\Application Data\OpenOffice.org2 2008-01-05 22:26 --------- d-----w C:\Documents and Settings\Jonny\Application Data\teamspeak2 2008-01-05 10:06 --------- d-----w C:\Documents and Settings\Jonny\Application Data\ICQ 2007-12-26 16:15 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-12-06 20:06 --------- d-----w C:\Documents and Settings\Jonny\Application Data\Syntrillium 2007-12-05 00:41 81,920 ----a-w C:\WINDOWS\system32\nvwddi.dll 2007-12-05 00:41 81,920 ----a-w C:\WINDOWS\system32\nvmctray.dll 2007-12-05 00:41 8,523,776 ----a-w C:\WINDOWS\system32\nvcpl.dll 2007-12-05 00:41 753,664 ----a-w C:\WINDOWS\system32\nvcplui.exe 2007-12-05 00:41 7,435,392 ----a-w C:\WINDOWS\system32\drivers\nv4_mini.sys 2007-12-05 00:41 6,901,760 ----a-w C:\WINDOWS\system32\nvoglnt.dll 2007-12-05 00:41 6,549,504 ----a-w C:\WINDOWS\system32\nvdisps.dll 2007-12-05 00:41 5,773,568 ----a-w C:\WINDOWS\system32\nv4_disp.dll 2007-12-05 00:41 5,611,520 ----a-w C:\WINDOWS\system32\nvdispsr.dll 2007-12-05 00:41 466,944 ----a-w C:\WINDOWS\system32\nvshell.dll 2007-12-05 00:41 458,752 ----a-w C:\WINDOWS\system32\nvmccssr.dll 2007-12-05 00:41 45,056 ----a-w C:\WINDOWS\system32\nvmccsrs.dll 2007-12-05 00:41 442,368 ----a-w C:\WINDOWS\system32\nvappbar.exe 2007-12-05 00:41 425,984 ----a-w C:\WINDOWS\system32\keystone.exe 2007-12-05 00:41 385,024 ----a-w C:\WINDOWS\system32\nvapi.dll 2007-12-05 00:41 35,328 ----a-w C:\WINDOWS\system32\nvcodins.dll 2007-12-05 00:41 35,328 ----a-w C:\WINDOWS\system32\nvcod.dll 2007-12-05 00:41 335,872 ----a-w C:\WINDOWS\system32\nvwrses.dll 2007-12-05 00:41 335,872 ----a-w C:\WINDOWS\system32\nvwrsel.dll 2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvwrsfr.dll 2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvwrsesm.dll 2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvrshe.dll 2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvrsar.dll 2007-12-05 00:41 323,584 ----a-w C:\WINDOWS\system32\nvwrspt.dll 2007-12-05 00:41 323,584 ----a-w C:\WINDOWS\system32\nvwrsit.dll 2007-12-05 00:41 319,488 ----a-w C:\WINDOWS\system32\nvwrsptb.dll 2007-12-05 00:41 319,488 ----a-w C:\WINDOWS\system32\nvwrsnl.dll 2007-12-05 00:41 315,392 ----a-w C:\WINDOWS\system32\nvwrsru.dll 2007-12-05 00:41 315,392 ----a-w C:\WINDOWS\system32\nvwrshu.dll 2007-12-05 00:41 311,296 ----a-w C:\WINDOWS\system32\nvwrsde.dll 2007-12-05 00:41 307,200 ----a-w C:\WINDOWS\system32\nvexpbar.dll 2007-12-05 00:41 303,104 ----a-w C:\WINDOWS\system32\nvwrstr.dll 2007-12-05 00:41 303,104 ----a-w C:\WINDOWS\system32\nvwrssl.dll 2007-12-05 00:41 303,104 ----a-w C:\WINDOWS\system32\nvwrsfi.dll 2007-12-05 00:41 3,715,072 ----a-w C:\WINDOWS\system32\nvvitvsr.dll 2007-12-05 00:41 3,710,976 ----a-w C:\WINDOWS\system32\nvvitvs.dll 2007-12-05 00:41 3,420,160 ----a-w C:\WINDOWS\system32\nvgames.dll 2007-12-05 00:41 3,334,144 ----a-w C:\WINDOWS\system32\nvgamesr.dll 2007-12-05 00:41 299,008 ----a-w C:\WINDOWS\system32\nvwrssk.dll 2007-12-05 00:41 299,008 ----a-w C:\WINDOWS\system32\nvwrsno.dll 2007-12-05 00:41 294,912 ----a-w C:\WINDOWS\system32\nvwrssv.dll 2007-12-05 00:41 294,912 ----a-w C:\WINDOWS\system32\nvwrspl.dll 2007-12-05 00:41 294,912 ----a-w C:\WINDOWS\system32\nvwrsda.dll 2007-12-05 00:41 290,816 ----a-w C:\WINDOWS\system32\nvwrsth.dll 2007-12-05 00:41 286,720 ----a-w C:\WINDOWS\system32\nvwrseng.dll 2007-12-05 00:41 286,720 ----a-w C:\WINDOWS\system32\nvwrscs.dll 2007-12-05 00:41 286,720 ----a-w C:\WINDOWS\system32\nvnt4cpl.dll 2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvwrsar.dll 2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvrsfr.dll 2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvrses.dll 2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvrsel.dll 2007-12-05 00:41 278,528 ----a-w C:\WINDOWS\system32\nvwrshe.dll 2007-12-05 00:41 278,528 ----a-w C:\WINDOWS\system32\nvrsit.dll 2007-12-05 00:41 278,528 ----a-w C:\WINDOWS\system32\nvrsde.dll 2007-12-05 00:41 274,432 ----a-w C:\WINDOWS\system32\nvrspt.dll 2007-12-05 00:41 274,432 ----a-w C:\WINDOWS\system32\nvrsnl.dll 2007-12-05 00:41 274,432 ----a-w C:\WINDOWS\system32\nvrsesm.dll 2007-12-05 00:41 270,336 ----a-w C:\WINDOWS\system32\nvrsru.dll 2007-12-05 00:41 266,240 ----a-w C:\WINDOWS\system32\nvrsptb.dll 2007-12-05 00:41 266,240 ----a-w C:\WINDOWS\system32\nvrsja.dll 2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrstr.dll 2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrssl.dll 2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrssk.dll 2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrsko.dll 2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrshu.dll 2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrsth.dll 2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrssv.dll 2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrspl.dll 2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrsno.dll 2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrsda.dll 2007-12-05 00:41 249,856 ----a-w C:\WINDOWS\system32\nvrsfi.dll 2007-12-05 00:41 249,856 ----a-w C:\WINDOWS\system32\nvrscs.dll 2007-12-05 00:41 245,760 ----a-w C:\WINDOWS\system32\nvrseng.dll 2007-12-05 00:41 229,376 ----a-w C:\WINDOWS\system32\nvmccs.dll 2007-12-05 00:41 225,280 ----a-w C:\WINDOWS\system32\nvrszhc.dll 2007-12-05 00:41 212,992 ----a-w C:\WINDOWS\system32\nvwrsja.dll 2007-12-05 00:41 2,854,912 ----a-w C:\WINDOWS\system32\nvmoblsr.dll 2007-12-05 00:41 2,519,040 ----a-w C:\WINDOWS\system32\nvwssr.dll 2007-12-05 00:41 2,498,560 ----a-w C:\WINDOWS\system32\nvwss.dll 2007-12-05 00:41 196,608 ----a-w C:\WINDOWS\system32\nvwrsko.dll 2007-12-05 00:41 188,416 ----a-w C:\WINDOWS\system32\nvmccss.dll 2007-12-05 00:41 167,936 ----a-w C:\WINDOWS\system32\nvwrszht.dll 2007-12-05 00:41 163,840 ----a-w C:\WINDOWS\system32\nvwrszhc.dll 2007-12-05 00:41 155,716 ----a-w C:\WINDOWS\system32\nvsvc32.exe 2007-12-05 00:41 147,456 ----a-w C:\WINDOWS\system32\nvcolor.exe 2007-12-05 00:41 126,976 ----a-w C:\WINDOWS\system32\nvrszht.dll 2007-12-05 00:41 1,703,936 ----a-w C:\WINDOWS\system32\nvwdmcpl.dll 2007-12-05 00:41 1,626,112 ----a-w C:\WINDOWS\system32\nwiz.exe 2007-12-05 00:41 1,474,560 ----a-w C:\WINDOWS\system32\nview.dll 2007-12-05 00:41 1,339,392 ----a-w C:\WINDOWS\system32\nvdspsch.exe 2007-12-05 00:41 1,228,800 ----a-w C:\WINDOWS\system32\nvmobls.dll 2007-12-05 00:41 1,089,536 ----a-w C:\WINDOWS\system32\nvcuda.dll 2007-12-05 00:41 1,073,152 ----a-w C:\WINDOWS\system32\nvcpluir.dll 2007-12-05 00:41 1,019,904 ----a-w C:\WINDOWS\system32\nvwimg.dll 2007-12-02 17:48 --------- d-----w C:\Documents and Settings\Jonny\Application Data\JavaEditor 2007-07-10 23:02 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat 2007-07-10 23:02 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat 2007-05-23 00:20 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\MSHist012007052320070524\index.dat 2007-07-10 23:02 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat . Code:
ATTFilter <pre> ----a-w 49,152 2008-01-07 15:20:42 C:\programme\powerdvd\Language\Language .exe </pre> ((((((((((((((((((((((((((((( snapshot@2008-01-07_18.04.51.78 ))))))))))))))))))))))))))))))))))))))))) . + 2000-08-31 07:00:00 163,328 ----a-w C:\WINDOWS\erdnt\Hiv-backup\ERDNT.EXE + 2008-01-10 18:29:12 237,568 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT + 2008-01-10 18:29:12 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat + 2008-01-10 18:29:12 237,568 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT + 2008-01-10 18:29:12 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat + 2008-01-10 18:29:12 6,234,112 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT + 2008-01-10 18:29:12 417,792 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat + 2008-01-08 16:35:14 19,230 ----a-r C:\WINDOWS\Installer\{B0EB7BCE-1779-46D7-A27C-41D1457F7958}\ARPPRODUCTICON.exe + 2006-12-28 15:13:52 516,832 ----a-w C:\WINDOWS\system32\capicom.dll - 2007-08-09 12:04:11 40,768 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys + 2007-08-09 12:04:05 40,768 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys - 2007-07-18 13:22:19 21,312 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys + 2007-07-18 13:22:13 21,312 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys - 2008-01-06 01:09:40 61,632 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys + 2008-01-10 18:04:21 61,632 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys + 2006-10-30 09:30:30 10,032 ----a-w C:\WINDOWS\system32\drivers\SBTEDrv.sys - 2007-03-01 09:34:36 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys + 2007-03-01 09:34:30 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys - 2007-07-14 17:18:11 99,848 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT + 2008-01-09 15:32:27 104,624 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT + 2005-11-02 09:39:14 131,072 ----a-w C:\WINDOWS\system32\MD5.dll + 2005-11-02 09:39:16 24,924 ----a-w C:\WINDOWS\system32\openports.dll + 2003-02-21 06:16:08 49,152 ----a-w C:\WINDOWS\system32\REGTLIB.EXE + 2007-12-16 14:40:30 119,728 ----a-w C:\WINDOWS\system32\rrsec.dll + 2007-12-16 14:40:20 97,240 ----a-w C:\WINDOWS\system32\rrsec2k.exe + 2007-08-27 09:26:10 27,120 ----a-w C:\WINDOWS\system32\SBBD.exe + 2005-11-02 09:39:16 40,960 ----a-w C:\WINDOWS\system32\SDelete.dll - 2000-08-31 07:00:00 49,152 ----a-w C:\WINDOWS\system32\VFind.exe + 2008-01-03 18:47:58 49,152 ----a-w C:\WINDOWS\system32\VFind.exe + 2006-06-22 13:40:28 493,400 ----a-w C:\WINDOWS\system32\XceedZip.dll . -- Snapshot reset to current date -- . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:56 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 14:44 101136 C:\WINDOWS\KHALMNPR.Exe] "LanguageShortcut"="C:\programme\powerdvd\Language\Language.exe" [ ] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776] "nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920] "SBCSTray"="C:\programme\CounterSpy\SBCSTray.exe" [2007-11-28 12:57 698864] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-10 19:04 249896] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:56 15360] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "ShowDeskFix"="regsvr32 /s /n /i:u shell32" [] C:\Documents and Settings\Jonny\Start Menu\Programs\Startup\ Last.fm Helper.lnk - C:\programme\Last.fm\LastFMHelper.exe [2008-01-04 13:57:56] C:\Documents and Settings\All Users\Start Menu\Programs\Startup\ Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2007-05-25 00:23:45] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "disablecad"= 1 (0x1) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup] @="" [HKLM\~\startupfolder\C:^Documents and Settings^Jonny^Start Menu^Programs^Startup^Last.fm Helper.lnk] path=C:\Documents and Settings\Jonny\Start Menu\Programs\Startup\Last.fm Helper.lnk backup=C:\WINDOWS\pss\Last.fm Helper.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2007-05-11 02:06 40048 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater] C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] --a------ 2005-05-03 17:43 69632 C:\WINDOWS\Alcmtr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt] --a------ 2008-01-10 19:04 249896 C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVP] E:\Programme\Kaspersky\avp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] --a------ 2007-03-12 12:49 153136 C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] --a------ 2004-08-04 00:56 15360 C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] --a------ 2007-04-03 23:29 165784 E:\DAEMON Tools\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] C:\Program Files\Windows Live\Messenger\MsnMsgr .exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2007-03-09 17:53 153136 C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] --a------ 2007-12-05 01:41 8523776 C:\WINDOWS\system32\NvCpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] --a------ 2007-12-05 01:41 81920 C:\WINDOWS\system32\NvMcTray.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PowerStrip] --a------ 2007-04-08 14:22 721656 c:\program files\powerstrip\pstrip.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --a------ 2008-01-06 01:56 29696 C:\programme\powerdvd\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RivaTuner] --a------ 2007-04-29 18:05 2588672 C:\Program Files\RivaTuner v2.01\RivaTuner.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RivaTunerStartupDaemon] --a------ 2007-04-29 18:05 2588672 C:\Program Files\RivaTuner v2.01\RivaTuner.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL] --a------ 2007-03-21 13:49 16126464 C:\WINDOWS\RTHDCPL.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] --a------ 2007-12-12 23:24 1266936 E:\Steam\Steam.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2008-01-06 01:56 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] --a------ 2003-12-13 01:50 33792 C:\Program Files\Winamp\winampa.exe R0 SBHR;SBHR;C:\WINDOWS\system32\drivers\sbhr.sys [2008-01-08 17:37] R2 PStrip;PStrip;C:\WINDOWS\system32\drivers\pstrip.sys [2006-09-30 10:35] R3 SBAPIFS;SBAPIFS;C:\WINDOWS\system32\drivers\sbapifs.sys [] S3 cmudau;C-Media USB Sound Interface;C:\WINDOWS\system32\drivers\cmudau.sys [] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] \Shell\AutoRun\command - D:\Autorun.exe *Newly Created Service* - ANTIVIRSCHEDULER *Newly Created Service* - ANTIVIRSERVICE *Newly Created Service* - AVGIO *Newly Created Service* - AVGNTFLT *Newly Created Service* - AVIPBB *Newly Created Service* - SBAPIFS . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-10 19:30:25 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2008-01-10 19:30:45 ComboFix-quarantined-files.txt 2008-01-10 18:30:43 ComboFix2.txt 2008-01-08 15:24:51 ComboFix3.txt 2008-01-07 17:05:05 das schon ma combofix av hatte noch einige gefunden nach der backup.zip hab aber ignore gemacht und av beendet und dann combofix gestartet.... waren A123981902841284 dateien (zahlen fiktiv) kaspersky grad am runter laden... |
10.01.2008, 19:45 | #57 | |
Administrator > Competence Manager | TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 Das sieht schon mal sehr gut aus, und das hier: Zitat:
Bitte das nächste mal unbedingt den Verzeichnispfad aufschreiben. Sonst weiß ich nicht wo was gemeldet wurde. Gibt es denn sonst noch Probleme mit deinem System, außer Antivir, welche du erkennen kannst? Poste auf jeden Fall noch die Auswertung von Kaspersky.
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
10.01.2008, 19:48 | #58 |
| TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Thursday, January 10, 2008 19:04 Es wird nach 1024328 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: SYSTEM Computername: L3G3ND Versionsinformationen: BUILD.DAT : 270 15603 Bytes 9/19/2007 13:29:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 8/23/2007 13:16:24 AVSCAN.DLL : 7.0.6.0 57384 Bytes 8/14/2007 15:48:28 LUKE.DLL : 7.0.5.3 147496 Bytes 8/14/2007 15:32:43 LUKERES.DLL : 7.0.6.0 10792 Bytes 8/14/2007 15:49:04 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 7/18/2007 14:27:15 ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 12/14/2007 18:04:20 ANTIVIR2.VDF : 7.0.1.205 620544 Bytes 1/8/2008 18:04:20 ANTIVIR3.VDF : 7.0.1.220 109568 Bytes 1/10/2008 18:04:20 AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 1/10/2008 18:04:21 AVWINLL.DLL : 1.0.0.7 14376 Bytes 2/26/2007 10:36:23 AVPREF.DLL : 7.0.2.2 25640 Bytes 7/18/2007 07:16:50 AVREP.DLL : 7.0.0.1 155688 Bytes 4/16/2007 13:16:24 AVPACK32.DLL : 7.6.0.2 360488 Bytes 1/10/2008 18:04:21 AVREG.DLL : 7.0.1.6 30760 Bytes 7/18/2007 07:17:02 AVARKT.DLL : 1.0.0.20 278568 Bytes 8/28/2007 12:26:28 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 7/18/2007 07:10:14 NETNT.DLL : 7.0.0.0 7720 Bytes 3/8/2007 11:09:03 RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 8/7/2007 12:37:51 RCTEXT.DLL : 7.0.62.0 90152 Bytes 8/21/2007 12:50:28 SQLITE3.DLL : 3.3.17.1 339968 Bytes 7/23/2007 09:37:21 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\program files\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: E:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Thursday, January 10, 2008 19:04 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'KHALMNPR.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LastFMHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SBCSTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'StarWindService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SBCSSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CooLSRV.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '32' Prozesse mit '32' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'E:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '25' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <Windumm> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\avenger\backup.zip [0] Archivtyp: ZIP --> avenger/awttqon.dll [FUND] Ist das Trojanische Pferd TR/Dldr.Small.hme --> avenger/vtsqn.dll [FUND] Ist das Trojanische Pferd TR/Vundo.DVD [INFO] Die Datei wurde gelöscht. C:\Documents and Settings\Jonny\DoctorWeb\Quarantine\A0000013.exe [FUND] Ist das Trojanische Pferd TR/Drop.Agent.dgo.42 [WARNUNG] Die Datei wurde ignoriert. C:\Documents and Settings\Jonny\DoctorWeb\Quarantine\A0000061.exe [FUND] Ist das Trojanische Pferd TR/Vundo.DVD [WARNUNG] Die Datei wurde ignoriert. C:\Documents and Settings\Jonny\DoctorWeb\Quarantine\AdobeUpdater.exe [FUND] Ist das Trojanische Pferd TR/Vundo.DVD [WARNUNG] Die Datei wurde ignoriert. C:\Documents and Settings\Jonny\DoctorWeb\Quarantine\avgnt.exe.vir [FUND] Ist das Trojanische Pferd TR/Drop.Agent.dgo.42 [WARNUNG] Die Datei wurde ignoriert. C:\Documents and Settings\Jonny\DoctorWeb\Quarantine\ctfmon.exe.tmp.vir [FUND] Ist das Trojanische Pferd TR/Vundo.DVD [WARNUNG] Die Datei wurde ignoriert. C:\Documents and Settings\Jonny\DoctorWeb\Quarantine\Language.exe [FUND] Ist das Trojanische Pferd TR/Vundo.DVD [WARNUNG] Die Datei wurde ignoriert. C:\Documents and Settings\Jonny\DoctorWeb\Quarantine\msconfig.exe.tmp [FUND] Ist das Trojanische Pferd TR/Vundo.DVD [WARNUNG] Die Datei wurde ignoriert. Ende des Suchlaufs: Thursday, January 10, 2008 19:28 Benötigte Zeit: 23:37 min Der Suchlauf wurde abgebrochen! 620 Verzeichnisse wurden überprüft 4936 Dateien wurden geprüft 9 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 1 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 4927 Dateien ohne Befall 44 Archive wurden durchsucht 8 Warnungen 0 Hinweise das war der report von antivir... wegen system kann ich atm noch net genau sagen hab noch nichts großartig gemacht, vom gefühl her läuft aber recht stabil und normal werde nach kaspersky bissl testen... |
10.01.2008, 19:50 | #59 |
Administrator > Competence Manager | TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 Sehr gut, die restlichen Dateien in den Qurantäne-Ordnern löschen wir dann nach Kaspersky!
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
11.01.2008, 17:09 | #60 | |
Administrator > Competence Manager | TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 Anleitung Avenger: 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Zitat:
4.) Danach das System unverzüglich neu starten lassen Dein System sollte nach der letzten Bereinigung wieder sauber sein, du solltest nun Kaspersky deinstallieren und erst danach Antivir wieder aktivieren! Lass Antivir nun noch mal alles durchscannen, und poste danach den aktuellen Report!
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
Themen zu TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 |
.dll, adobe, antivir, avgnt, avgnt.exe, avira, bho, desktop, explorer, firefox, frage, gservice, hijack, home, internet, internet explorer, mozilla, mozilla firefox, nvidia, pdf, prozesse, rundll, security, software, system, viren, virus, windows, windows xp |