|
Log-Analyse und Auswertung: trojaner oder doch bloß paranoia ?!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
14.01.2008, 02:30 | #1 |
| trojaner oder doch bloß paranoia ?! Hallo! Und vielen dank im voraus schonmal für das lesen und hoffentlich auch beantworten dieser thematik ! Hatte die ganze platte voller spyware/malware/viren etc bevor ich mir aufgrund eines vorfalls vor ein paar tagen die entsprechende software zur vernichtung dieser organisierte (spybot, spyware doctor(scan only->freeware). anti vir hatte ich bereits drauf. firewall bis dato allerdings nicht. nichtmal die win xp firewall! naja, jener vorfall war der dass ich eines morgens 3 mir unbekannte verknüpfungen auf meinem desktop hatte (malware blablabla, anti spy blablabla + blablabla ) weiss die genauen namen nichtmehr. ich war im glauben mein mitbewohner , der diesen pc auch im i net nutzt, hatte sich irgendwas eingefangen und hab anti vir die platte checken lassen. aus neugier hab ich in der zwischenzeit die verknüpfungen angeklickt. es waren irgendwelche internet links die mir sofort suspekt waren, hab also den verlinkten dl logischerweise nicht zugelassen.. hab dann mit dem frisch upgedateten antivir alles erstmal in quarantäne gepackt, aber weil teilweise trotzdem noch ein komplett weisses fenster, was den kompletten desktop verdeckt hat auftauchte, die icons waren immer noch in diesem fenster .. naja. sehr komische kiste irgendwie. hab mir daraufhin spybot geholt der auch gleich n dutzend einträge nochmal fand die avir übershene hatte. ich muss langsam mal auf den punkt kommen!!! (sorry) jedesmal wenn ich nach hochfahren des pc's das internet connecte und mozilla starte, kommt eine warnmeldung vom ie(??) dass die seite im offline modus nich vergügbar wär, meine mozilla startseite wird aber ganz normal aufgerufen.. was aber viel beunruhigender ist, für mich, ist die tatsache , dass der Spyware Doctor "Adware.Agent.BN" 1 bedrohung mit 11000(!!) infizierungen anti vir is machtlos, findet nix, spybot ebensowenig und spyware doctor habe ich nur die freeware version , also kann quasi nur scannen !! hab schon zig andere programme ausgecheckt, nix hilft. Hier meine Log ( mache das zum ersten mal, also keine garantie für nix, hab die komplette datei einfach kopiert.. ) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 02:04:46, on 14.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\ehome\ehtray.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Saitek\Software\Profiler.exe C:\Programme\Saitek\Software\SaiSmart.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Spyware Doctor\pctsTray.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\arservice.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Spyware Doctor\pctsAuxs.exe C:\Programme\Spyware Doctor\pctsSvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\ehome\mcrdsvc.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\eHome\ehmsas.exe C:\Programme\ICQ6\ICQ.exe C:\WINDOWS\Explorer.EXE C:\Programme\Alice\Signup\AliceCnn.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Spyware Doctor\pctsGui.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/ O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O3 - Toolbar: The epxonwo - {79293B31-D790-4B64-AAD7-8D47CED92E54} - C:\WINDOWS\epxonwo.dll (file missing) O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [AlwaysReady Power Message APP] ARPWRMSG.EXE O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe check O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Programme\AGEIA Technologies\TrayIcon.exe O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe" O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [T-Online Hinweis] c:\t-online_hinweis\t-online_fs2.exe O4 - HKCU\..\Run: [AOLMIcon] C:\ISP\AOL\AOLMIcon.exe O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{91AF4AB5-5146-4C56-B29D-B9D61CD93783}: NameServer = 213.191.74.11 213.191.92.82 O17 - HKLM\System\CCS\Services\Tcpip\..\{B7FB24E5-3208-4AE1-8968-1216C24FBC1A}: NameServer = 0.0.0.0 O21 - SSODL: bgntlvo - {1166AD01-0509-4DBB-B0ED-8CA71E352C56} - C:\WINDOWS\bgntlvo.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing) O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe -- End of file - 7803 bytes |
14.01.2008, 02:47 | #2 |
/// TB-Ausbilder | trojaner oder doch bloß paranoia ?! Hi,
__________________es sieht so aus, als ob du ne neue Smitfraudvariante auf dem rechner hast. Führe daher bitte folgende Befehle einmal aus: SmitfraudFix: Lade dir dieses Tool -> SmitfraudFix -Starte es dann und lass das System durchsuchen. (Option 1) Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp Silentrunners -Lade dir das Tool -> Silentrunners -Entpacke das Script in einen Ordner deiner Wahl -Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen -System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt (Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“ erstellen, ignoriere dieses und arbeite weiter!) -Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein. (Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen) Poste die entsprechenden Logs hier, danach sehen wir weiter. lg myrtille |
14.01.2008, 03:01 | #3 |
| trojaner oder doch bloß paranoia ?! hammer ! So schnell habe ich nicht mir einer antwort gerechnet !!
__________________dieses smit prog hatte ich vorgestern bereits ausgeführt !! spybot u antivir auch nichts mehr gefunden danach. dann fand spybot allerdings immer den sogenannten Zlob.downloader.vcd , den ich sooft ich will löschen kann, aber der immer wieder kommt. dieses zlob-usw. habe ich mir ad aware anti spy oder so wegbekommen, aber der spyware bot findet immer wieder irgemndwelche anderen progs !!! argh bin echt mega planlos edit: upsss. sry wegen der vorschnellen antwort. mache jetzt schritt für schritt was du mir aufgetragen hast erstmal und poste dann nochmal ! =) THX ! |
14.01.2008, 03:17 | #4 |
| trojaner oder doch bloß paranoia ?! Verzeichnis von C:\ 14.01.2008 03:10 4.878 rapport.txt 14.01.2008 00:25 2.145.898.496 hiberfil.sys 14.01.2008 00:25 2.145.386.496 pagefile.sys 22.01.2007 18:15 27 expand.txt 22.01.2007 18:14 221 boot.ini 01.12.2006 19:54 22.940 Prodlog.txt 01.12.2006 19:54 1.488 868000469436.dat 01.12.2006 19:05 164 soundmax.log 01.12.2006 18:26 251.712 ntldr 01.12.2006 18:12 0 AUTOEXEC.BAT 01.12.2006 18:12 0 MSDOS.SYS 01.12.2006 18:12 0 CONFIG.SYS Verzeichnis von C:\WINDOWS\system32 14.01.2008 03:09 0 tmp.txt 14.01.2008 03:09 3.018 tmp.reg 13.01.2008 16:43 381.828 perfh009.dat 13.01.2008 16:43 392.786 perfh007.dat 13.01.2008 16:43 53.572 perfc009.dat 13.01.2008 16:43 64.604 perfc007.dat 13.01.2008 16:43 902.370 PerfStringBackup.INI 03.01.2008 03:39 98.304 CmdLineExt.dll 02.01.2008 15:28 1.158 wpa.dbl 20.12.2007 23:11 81.920 IEDFix.exe 30.11.2007 01:08 183.424 FNTCACHE.DAT Verzeichnis von C:\WINDOWS\Prefetch 14.01.2008 03:11 13.138 FIND.EXE-0EC32F1E.pf 14.01.2008 03:11 23.208 CMD.EXE-087B4001.pf 14.01.2008 03:10 58.292 NOTEPAD.EXE-189578DA.pf 14.01.2008 03:10 15.216 FINDSTR.EXE-0CA6274B.pf 14.01.2008 03:10 8.376 DUMPHIVE.EXE-0710D0F9.pf 14.01.2008 03:10 8.558 SWREG.EXE-116CE50B.pf 14.01.2008 03:10 8.432 SRCHSTS.EXE-21CED6A0.pf 14.01.2008 03:10 246.582 WINRAR.EXE-3588DFE8.pf 14.01.2008 03:10 27.234 VERCLSID.EXE-3667BD89.pf 14.01.2008 03:09 70.886 IEDFIX.EXE-12E37E92.pf 14.01.2008 03:09 15.018 REGEDIT.EXE-1B606482.pf 14.01.2008 03:09 9.338 SWREG.EXE-3688D00C.pf 14.01.2008 03:09 36.762 WMIPRVSE.EXE-28F301A9.pf 14.01.2008 03:09 81.086 CHKNTFS.EXE-31921D64.pf 14.01.2008 03:09 23.578 CSCRIPT.EXE-1C26180C.pf 14.01.2008 03:08 37.632 SMITFRAUDFIX.EXE-046F6D33.pf 14.01.2008 03:08 119.238 EXPLORER.EXE-082F38A9.pf 14.01.2008 03:06 82.252 FIREFOX.EXE-1D57670A.pf 14.01.2008 02:55 142.442 NOTEPAD.EXE-336351A9.pf 14.01.2008 02:54 60.098 AVCENTER.EXE-324B1681.pf 14.01.2008 02:47 62.532 AVSCAN.EXE-0D0CD933.pf 14.01.2008 02:46 85.344 AVNOTIFY.EXE-0B59FC42.pf 14.01.2008 02:46 45.590 UPDATE.EXE-3A80F1D2.pf 14.01.2008 02:46 19.550 PREUPD.EXE-18CBCD87.pf 14.01.2008 02:45 94.870 LAUNCHPAD.EXE-18A6D9D8.pf 14.01.2008 02:45 73.872 LAUNCHU3.EXE-209CBEEF.pf 14.01.2008 02:45 21.224 RUNDLL32.EXE-451FC2C0.pf 14.01.2008 02:44 114.612 PCTSGUI.EXE-1D6925CB.pf 14.01.2008 02:42 27.194 WORDPAD.EXE-1EFCC5C1.pf 14.01.2008 02:37 70.638 SPYBOTSD.EXE-1D495A65.pf 14.01.2008 02:35 117.254 UPDATE.EXE-0C3CBDEF.pf 14.01.2008 02:32 74.220 CONTROL.EXE-013DBFB5.pf 14.01.2008 02:32 43.548 RUNDLL32.EXE-1831A4F3.pf 14.01.2008 01:46 137.768 TASKMGR.EXE-20256C55.pf 14.01.2008 01:44 111.098 ALICECNN.EXE-03E02840.pf 14.01.2008 01:06 117.462 STEAM.EXE-25824B4E.pf 14.01.2008 01:06 102.816 ICQ.EXE-3425F561.pf 14.01.2008 00:54 60.078 300_SA~1.SCR-11862410.pf 14.01.2008 00:31 17.192 _IU14D2N.TMP-2D2AFC47.pf 14.01.2008 00:31 69.322 MSIEXEC.EXE-2F8A8CAE.pf 14.01.2008 00:26 50.546 WUAUCLT.EXE-399A8E72.pf 14.01.2008 00:26 12.706 EHMSAS.EXE-181DA6C9.pf 14.01.2008 00:26 16.514 ALG.EXE-0F138680.pf 14.01.2008 00:26 26.324 DLLHOST.EXE-5353C76C.pf 14.01.2008 00:26 11.874 WSCNTFY.EXE-1B24F5EB.pf 14.01.2008 00:26 22.648 IMAPI.EXE-0BF740A4.pf 14.01.2008 00:26 66.874 PCTSTRAY.EXE-19D5DE12.pf 14.01.2008 00:26 21.928 RUNDLL32.EXE-35A483DA.pf 14.01.2008 00:26 1.210.426 NTOSBOOT-B00DFAAD.pf 14.01.2008 00:09 32.766 LOGONUI.EXE-0AF22957.pf 13.01.2008 23:56 75.974 RUNDLL32.EXE-13404D23.pf 13.01.2008 23:06 79.224 CLEANMGR.EXE-1F86EA8E.pf 13.01.2008 23:06 82.110 RUNDLL32.EXE-2576181F.pf 13.01.2008 22:51 47.738 AD-AWARE2007.EXE-1AE91ED3.pf 13.01.2008 22:26 36.780 SDUPDATE.EXE-30CF90C0.pf 13.01.2008 22:18 62.526 NMIndexStoreSvr.exe-1DBCF9FD.pf 13.01.2008 22:18 14.334 IPODSERVICE.EXE-233792DA.pf 13.01.2008 22:18 16.074 NMINDEXINGSERVICE.EXE-19799BA6.pf 13.01.2008 21:31 62.538 FREE-SPYHUNTER-SCANNER-INSTAL-030735E8.pf 13.01.2008 21:07 52.548 LSUPDATEMANAGER.EXE-024AF545.pf 13.01.2008 21:06 30.202 AAWSERVICE.EXE-10F504AB.pf 13.01.2008 21:06 53.126 AAW2007V7.0.2.3.EXE-24FC4A3A.pf 13.01.2008 21:04 56.078 CLEANUP.EXE-1748CBD0.pf 13.01.2008 20:52 13.130 MCRDSVC.EXE-0560ADD0.pf 13.01.2008 20:52 42.508 FXSSVC.EXE-3B8F7819.pf 13.01.2008 20:40 19.598 LAUNCHU3.EXE-00891B1B.pf 13.01.2008 20:39 27.666 LAUNCHU3.EXE-09AB4AF2.pf 13.01.2008 20:28 105.518 FIREFOX.EXE-17EE503B.pf 13.01.2008 19:37 243.934 VLC.EXE-29851A71.pf 13.01.2008 19:31 128.902 WINAMP.EXE-08C38ED9.pf 13.01.2008 19:29 160.942 DWWIN.EXE-30875ADC.pf 13.01.2008 19:28 97.390 DUMPREP.EXE-1B46F901.pf 13.01.2008 19:21 33.874 HELPSVC.EXE-2878DDA2.pf 13.01.2008 19:20 964.286 Layout.ini 13.01.2008 17:27 17.240 SCHTASKS.EXE-0CBF6A11.pf 13.01.2008 17:27 33.096 XOFTSPY.EXE-11B4C1AE.pf 13.01.2008 17:26 16.112 AU_.EXE-35760E6B.pf 13.01.2008 17:26 14.572 UNINSTALL.EXE-2C0FDC21.pf 13.01.2008 17:26 209.776 CTOOLBAR.EXE-3B975FDF.pf 13.01.2008 17:25 143.486 SPYWARETERMINATOR.EXE-018F43AF.pf 13.01.2008 17:25 87.960 SPYWARETERMINATORSHIELD.EXE-025A4620.pf 13.01.2008 17:25 21.832 UNINS000.EXE-1007FF56.pf 13.01.2008 17:25 19.052 STSERVER.EXE-15E773DF.pf 13.01.2008 17:23 17.226 PCTSAUXS.EXE-248177B2.pf 13.01.2008 17:23 58.236 SDLOADER.EXE-211412BD.pf 13.01.2008 17:23 96.586 PCTSSVC.EXE-0922220E.pf 13.01.2008 17:23 10.340 DRVCTL.EXE-2FB66A0B.pf 13.01.2008 17:14 16.898 SP_RSSER.EXE-0CFB8A6E.pf 13.01.2008 17:08 20.880 IS-DBEQH.TMP-073C1930.pf 13.01.2008 17:08 86.458 SPYWARETERMINATOR2SETUP.EXE-0B565878.pf 13.01.2008 16:42 21.520 WMIADAP.EXE-2DF425B2.pf 13.01.2008 16:41 24.306 RUNDLL32.EXE-1687FC74.pf 13.01.2008 16:41 42.220 IS-8DV6U.TMP-1EB93AB6.pf 13.01.2008 16:41 13.544 SDSETUP55.EXE-1DF5F062.pf 13.01.2008 16:25 14.112 RUNDLL32.EXE-14E1B611.pf 13.01.2008 16:24 22.864 XOFTSPYSE433_263.EXE-1A8731C3.pf 13.01.2008 05:48 103.078 DFRGNTFS.EXE-269967DF.pf 13.01.2008 05:48 68.338 MMC.EXE-1EF9AA05.pf 13.01.2008 05:29 17.510 SETUP.EXE-292BB1CC.pf 13.01.2008 05:29 70.550 FIREFOX_SETUP_2.0.0.11DE.EXE-0987EC54.pf 13.01.2008 05:21 177.612 MSPAINT.EXE-11CBB631.pf 13.01.2008 05:13 18.526 SVCHOST.EXE-3530F672.pf 13.01.2008 04:44 78.798 POKERSTARS.EXE-25DA8FFD.pf 13.01.2008 04:43 68.498 POKERSTARSUPDATE.EXE-25C75939.pf 13.01.2008 04:38 57.028 SETUP.EXE-2BBC6F9A.pf 13.01.2008 04:18 133.704 ITUNES.EXE-15E88941.pf 13.01.2008 03:02 13.596 UNINSTALLER.EXE-2294980C.pf 13.01.2008 03:02 12.752 HELPER.EXE-244ABC1F.pf 13.01.2008 02:59 14.242 RUNDLL32.EXE-18EE8931.pf 13.01.2008 02:57 23.732 AGENT.EXE-241FAAD9.pf 13.01.2008 02:57 42.398 SET8.TMP-06D56006.pf 13.01.2008 02:57 58.420 RUNDLL32.EXE-1A1FB5ED.pf 13.01.2008 02:56 22.990 RUNDLL32.EXE-327ED30F.pf 13.01.2008 02:45 24.216 HELPHOST.EXE-247D2792.pf 13.01.2008 02:45 55.034 HELPCTR.EXE-3862B6F5.pf 13.01.2008 02:25 141.090 PHOTOSNAPVIEWER.EXE-1BCDA4AE.pf 13.01.2008 02:05 16.972 GUARDGUI.EXE-3AFB6D88.pf 13.01.2008 01:47 44.948 RUNDLL32.EXE-25FADA58.pf 13.01.2008 00:49 17.780 RUNDLL32.EXE-14353CFE.pf 12.01.2008 18:03 51.550 DEFRAG.EXE-273F131E.pf 12.01.2008 17:20 12.462 RUNDLL32.EXE-3AF10E20.pf 12.01.2008 16:22 70.204 NERO.EXE-2031B565.pf 12.01.2008 16:22 67.288 NEROSTARTSMART.EXE-0A488AA3.pf 12.01.2008 15:41 146.548 DRWTSN32.EXE-2B4B52AC.pf 12.01.2008 15:02 32.804 LAUNCHPAD.EXE-349C2C5E.pf 12.01.2008 11:56 105.184 ACRORD32INFO.EXE-30CEC19C.pf 10.01.2008 23:05 63.636 HL2.EXE-1BC3632F.pf 10.01.2008 23:01 60.034 GAMEOVERLAYUI.EXE-03CBAF9C.pf 10.01.2008 15:33 84.806 REALPLAY.EXE-39F79CBD.pf 04.01.2008 22:57 16.740 REALSCHED.EXE-0A2A7558.pf 130 Datei(en) 9.534.540 Bytes 0 Verzeichnis(se), 61.306.580.992 Bytes frei Verzeichnis von C:\WINDOWS 14.01.2008 02:52 69 NeroDigital.ini 14.01.2008 00:26 1.366.095 WindowsUpdate.log 14.01.2008 00:25 0 0.log 14.01.2008 00:25 2.048 bootstat.dat 14.01.2008 00:18 719.648 ntbtlog.txt 14.01.2008 00:09 32.588 SchedLgU.Txt 13.01.2008 23:06 384.190 setupact.log 13.01.2008 20:24 192 winamp.ini 13.01.2008 15:12 50 wiaservc.log 13.01.2008 15:12 215 wiadebug.log 12.01.2008 11:37 210.195 setupapi.log 09.01.2008 14:41 85 wininit.ini 08.01.2008 17:38 81.920 fqwmwdn.exe 08.01.2008 17:38 225.280 asvdnmo.dll 03.01.2008 03:48 444.223 DirectX.log 29.12.2007 17:33 6.746 KB927802.log 29.12.2007 17:33 6.658 KB937894.log 29.12.2007 17:33 13.192 KB931784.log 29.12.2007 17:33 7.184 KB942840.log 29.12.2007 17:33 6.358 KB923980.log 29.12.2007 17:33 6.355 KB924667.log 29.12.2007 17:33 11.110 KB924270.log 29.12.2007 17:33 6.148 KB931261.log 29.12.2007 17:33 6.050 KB938829.log 29.12.2007 17:33 5.960 KB925902.log 29.12.2007 17:33 6.240 KB942763.log 29.12.2007 17:33 5.756 KB930178.log 29.12.2007 17:33 10.076 KB932168.log 29.12.2007 17:33 5.555 KB941202.log 29.12.2007 17:33 5.463 KB926255.log 29.12.2007 17:33 9.316 KB941568.log 29.12.2007 17:33 5.636 KB938127.log 29.12.2007 17:33 9.095 KB920213.log 29.12.2007 17:33 5.062 KB935840.log 29.12.2007 17:33 4.968 KB930916.log 29.12.2007 17:33 8.536 KB942615.log 29.12.2007 17:32 4.761 KB944653.log 29.12.2007 17:31 10.699 KB927779.log 29.12.2007 17:31 10.639 KB928255.log 29.12.2007 17:31 10.497 KB936021.log 29.12.2007 17:31 16.706 KB938828.log 29.12.2007 17:31 10.392 KB921503.log 29.12.2007 17:31 10.199 KB887472.log 29.12.2007 17:31 10.012 KB929123.log 29.12.2007 17:30 9.548 KB926436.log 29.12.2007 17:30 9.456 KB918118.log 29.12.2007 17:30 14.792 KB935839.log 29.12.2007 17:30 9.157 KB928843.log 25.12.2007 10:17 151 PhotoSnapViewer.INI 23.12.2007 20:51 1.392 mozver.dat 23.12.2007 00:12 754 WORDPAD.INI 10.12.2007 19:02 31.424 wmsetup.log 09.11.2007 22:04 673 win.ini 06.11.2007 21:24 1.975 netcfg.log 06.11.2007 21:24 111 telephon.ini 31.10.2007 15:47 794 avmcowlan.log 31.10.2007 15:47 2.371 avmadd32.log 27.09.2007 20:58 0 nsreg.dat 27.09.2007 19:18 5.869 KB933360.log 27.09.2007 18:50 2.345 avmadd321.log 27.09.2007 18:50 2.113 avminstcli.log 27.09.2007 18:49 1.375 avmsetup.log 27.09.2007 18:49 107 accessdll.log 24.09.2007 21:45 1.299.566 DPINST.LOG 21.09.2007 19:25 85.181 MedCtrOC.log 21.09.2007 19:25 807.187 iis6.log 21.09.2007 19:25 40.895 ehOCGen.log 21.09.2007 19:25 247.323 comsetup.log 21.09.2007 19:25 336.808 tsoc.log 21.09.2007 19:25 39.570 ocmsn.log 21.09.2007 19:25 1.917 imsins.log 21.09.2007 19:25 36.437 tabletoc.log 21.09.2007 19:25 148.892 ntdtcsetup.log 21.09.2007 19:25 84.552 plusoc.log 21.09.2007 19:25 36.298 msgsocm.log 21.09.2007 19:25 352.820 ocgen.log 21.09.2007 19:25 139.738 netfxocm.log 21.09.2007 19:25 733.203 FaxSetup.log 21.09.2007 19:25 224.660 msmqinst.log 26.06.2007 15:19 5.366 ModemLog_Sony Ericsson 750 USB WMC Data Modem.txt 26.06.2007 15:19 5.228 ModemLog_Sony Ericsson 750 USB WMC Modem.txt 12.06.2007 15:44 1.917 imsins.BAK 07.05.2007 14:44 43.786 Logic 5.prf 14.03.2007 19:27 972.336 UNRecode.exe 14.03.2007 19:19 972.336 UNNeroBackItUp.exe 13.03.2007 21:10 87 GEARInstall.log 12.03.2007 13:51 972.336 UNNeroMediaHome.exe 28.02.2007 20:53 972.336 UNNeroVision.exe 28.02.2007 15:41 972.336 UNNeroShowTime.exe 07.02.2007 22:05 17.264 suecmdial.dll 22.01.2007 18:15 1.174 OEWABLog.txt 22.01.2007 18:12 3.341 sessmgr.setup.log 22.01.2007 18:12 641 DtcInstall.log 22.01.2007 18:11 2.750 regopt.log 01.12.2006 19:44 8.192 REGLOCS.OLD ----- Tasks ---------------------------- Datentr„ger in Laufwerk C: ist Fick””™™N~~ Volumeseriennummer: A4A3-7E57 Verzeichnis von C:\WINDOWS\tasks 14.01.2008 00:25 6 SA.DAT 10.08.2004 13:00 65 desktop.ini 2 Datei(en) 71 Bytes 0 Verzeichnis(se), 61.306.572.800 Bytes frei ----- Wintemp -------------------------- Datentr„ger in Laufwerk C: ist Fick””™™N~~ Volumeseriennummer: A4A3-7E57 Verzeichnis von C:\WINDOWS\temp 13.01.2008 02:42 16.384 Perflib_Perfdata_1188.dat 11.01.2008 20:01 0 T30DebugLogFile.txt 2 Datei(en) 16.384 Bytes 0 Verzeichnis(se), 61.306.572.800 Bytes frei ----- Temp ----------------------------- Datentr„ger in Laufwerk C: ist Fick””™™N~~ Volumeseriennummer: A4A3-7E57 Verzeichnis von C:\DOKUME~1\XXX\LOKALE~1\Temp 14.01.2008 03:11 130.387 filelist.txt 14.01.2008 02:45 98.304 ~DF3B5E.tmp 14.01.2008 02:45 1.303 U3Launcher.log 14.01.2008 00:32 0 JET16B2.tmp 24.12.2007 02:12 692.629 _iu14D2N.tmp 5 Datei(en) 922.623 Bytes 0 Verzeichnis(se), 61.306.576.896 Bytes frei |
14.01.2008, 03:21 | #5 |
| trojaner oder doch bloß paranoia ?! find ich übrigens echt HAMMER dass leute wie du ihr wissen unentgeldlich an typen wie mich weitergeben!! RESPEKT ! brauchst du die smitfraud RAPPORT-Report-Datei auch ? ^^ |
14.01.2008, 03:29 | #6 | |
/// TB-Ausbilder | trojaner oder doch bloß paranoia ?! Ja bitte, nur damit ich sehe, ob er gar nichts erkennt oder nur wenig erkennt. Bitte auch das Silentrunners-log noch posten. Lasse außerdem noch folgende Datei bei virustotal auswerten: Zitat:
Ich bin nicht sicher, dass ich gleich noch da bin, zum psoten, ansonsten kommt die Antwort morgen. lg myrtille |
14.01.2008, 03:31 | #7 |
| trojaner oder doch bloß paranoia ?! silentrunners - log sacht mir leider nix, sry könnt jetzt googlen, aber bei solch qualifizierten posts frag ich lieber gleich dich ! ;-) |
14.01.2008, 03:36 | #8 |
| trojaner oder doch bloß paranoia ?! SmitFraudFix v2.274 Scan done at 3:37:50,96, 14.01.2008 Run from C:\++++PJ+++RULES+++++\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\ehome\ehtray.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Saitek\Software\Profiler.exe C:\Programme\Saitek\Software\SaiSmart.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Spyware Doctor\pctsTray.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\arservice.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Spyware Doctor\pctsAuxs.exe C:\Programme\Spyware Doctor\pctsSvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\ehome\mcrdsvc.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\eHome\ehmsas.exe C:\Programme\ICQ6\ICQ.exe C:\WINDOWS\Explorer.EXE C:\Programme\Alice\Signup\AliceCnn.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\wbem\wmiprvse.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts hosts file corrupted ! 127.0.0.1 legal-at-spybot.info 127.0.0.1 www.legal-at-spybot.info »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Pj »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Pj\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Pj\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components »»»»»»»»»»»»»»»»»»»»»»»» IEDFix !!!Attention, following keys are not inevitably infected!!! IEDFix.exe by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: WAN (PPP/SLIP) Interface DNS Server Search Order: 213.191.74.11 DNS Server Search Order: 213.191.92.82 Description: NVIDIA nForce Networking Controller - Paketplaner-Miniport DNS Server Search Order: 0.0.0.0 Description: WAN (PPP/SLIP) Interface DNS Server Search Order: 192.168.178.1 HKLM\SYSTEM\CCS\Services\Tcpip\..\{91AF4AB5-5146-4C56-B29D-B9D61CD93783}: NameServer=213.191.74.11 213.191.92.82 HKLM\SYSTEM\CCS\Services\Tcpip\..\{B7FB24E5-3208-4AE1-8968-1216C24FBC1A}: NameServer=0.0.0.0 HKLM\SYSTEM\CCS\Services\Tcpip\..\{C8AE86EC-75E7-466F-9C13-B8EA13E6B08C}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{91AF4AB5-5146-4C56-B29D-B9D61CD93783}: NameServer=213.191.74.11 213.191.92.82 HKLM\SYSTEM\CS1\Services\Tcpip\..\{B7FB24E5-3208-4AE1-8968-1216C24FBC1A}: NameServer=0.0.0.0 HKLM\SYSTEM\CS1\Services\Tcpip\..\{C8AE86EC-75E7-466F-9C13-B8EA13E6B08C}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS3\Services\Tcpip\..\{B7FB24E5-3208-4AE1-8968-1216C24FBC1A}: NameServer=0.0.0.0 HKLM\SYSTEM\CS3\Services\Tcpip\..\{C8AE86EC-75E7-466F-9C13-B8EA13E6B08C}: DhcpNameServer=192.168.178.1 »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End |
14.01.2008, 03:38 | #9 |
/// TB-Ausbilder | trojaner oder doch bloß paranoia ?! |
14.01.2008, 03:42 | #10 |
| trojaner oder doch bloß paranoia ?! Datei 868000469436.dat empfangen 2008.01.14 03:34:48 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) kA woher diese datei stammt... hat ein nero icon.. kA ups ^^ ist schon spät , hrhr, hatte pubkt 3 "übersehen" |
14.01.2008, 03:46 | #11 |
| trojaner oder doch bloß paranoia ?! "Silent Runners.vbs", revision 55, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "T-Online Hinweis" = "c:\t-online_hinweis\t-online_fs2.exe" [file not found] "AOLMIcon" = "C:\ISP\AOL\AOLMIcon.exe" [file not found] "Steam" = ""c:\programme\steam\steam.exe" -silent" ["Valve Corporation"] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"" ["Nero AG"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "ehTray" = "C:\WINDOWS\ehome\ehtray.exe" [MS] "AlwaysReady Power Message APP" = "ARPWRMSG.EXE" ["Microsoft"] "SoundMAXPnP" = "C:\Programme\Analog Devices\Core\smax4pnp.exe" ["Analog Devices, Inc."] "SoundMAX" = ""C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray" ["Analog Devices, Inc."] "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "Muscbrigade" = "c:\Musicbrigade\Musicbrigade.exe check" [file not found] "ISUSPM Startup" = "C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup" ["InstallShield Software Corporation"] "ISUSScheduler" = ""C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start" ["InstallShield Software Corporation"] "TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."] "AGEIA PhysX SysTray" = "C:\Programme\AGEIA Technologies\TrayIcon.exe" [file not found] "Profiler" = "C:\Programme\Saitek\Software\Profiler.exe" ["Saitek"] "SaiSmart" = "C:\Programme\Saitek\Software\SaiSmart.exe" ["Saitek"] "QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Inc."] "iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Inc."] "avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "NeroFilterCheck" = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" ["Nero AG"] "SpywareTerminator" = ""C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"" [file not found] "ISTray" = ""C:\Programme\Spyware Doctor\pctsTray.exe"" ["PC Tools"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = "Spybot-S&D IE Protection" \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {HKLM...CLSID} = "Portable Media Devices Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\audiodev.dll" [MS] "{DBFB267C-334F-4F19-A304-63B7130C20C7}" = "MediaCenter Property Page" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "arpower.dll" ["Microsoft"] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes" -> {HKLM...CLSID} = "iTunes" \InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler" -> {HKLM...CLSID} = "NeroDigitalIconHandler Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"] "{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler" -> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"] "{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2}" = "NeroCoverEd Live Icons" -> {HKLM...CLSID} = "NeroCoverEdLiveIcons Class" \InProcServer32\(Default) = "C:\Programme\Nero\Nero 7\Nero CoverDesigner\CoverEdExtension.dll" ["Nero AG"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ "bgntlvo" = "{1166AD01-0509-4DBB-B0ED-8CA71E352C56}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\bgntlvo.dll" [file not found] HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\ {7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler" -> {HKLM...CLSID} = "NeroDigitalColumnHandler Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"] {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ Cover Designer\(Default) = "{73FCA462-9BD5-4065-A73F-A8E5F6904EF7}" -> {HKLM...CLSID} = "NeroCoverEdContextMenu Class" \InProcServer32\(Default) = "C:\Programme\Nero\Nero 7\Nero CoverDesigner\CoverEdExtension.dll" ["Nero AG"] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} "InstallVisualStyle" = (REG_EXPAND_SZ) C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles {unrecognized setting} "InstallTheme" = (REG_EXPAND_SZ) C:\WINDOWS\Resources\Themes\Royale.theme {unrecognized setting} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Pj\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\system32\300_SA~1.SCR" (300_saver_01.scr) ["ScreenTime Media"] Startup items in "Pj" & "All Users" startup folders: ---------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 27 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ "{79293B31-D790-4B64-AAD7-8D47CED92E54}" = (no title provided) -> {HKLM...CLSID} = "The epxonwo" \InProcServer32\(Default) = "C:\WINDOWS\epxonwo.dll" [file not found] Extensions (Tools menu items, main toolbar menu buttons) HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in 1.6.0_02" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.6.0_02" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll" ["Sun Microsystems, Inc."] {3AD14F0C-ED16-4E43-B6D8-661B03F6A1EF}\ "ButtonText" = "PokerStars" "Exec" = "C:\Programme\PokerStars\PokerStarsUpdate.exe" ["PokerStars"] {DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\ "MenuText" = "Spybot - Search & Destroy Configuration" "CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}" -> {HKLM...CLSID} = "Spybot-S&D IE Protection" \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {E59EB121-F339-4851-A3BA-FE49C35617C2}\ "ButtonText" = "ICQ6" "MenuText" = "ICQ6" "Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"] AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"] ARSVC, ARSVC, "C:\WINDOWS\arservice.exe" ["Microsoft"] Media Center Extender Service, McrdSvc, "C:\WINDOWS\ehome\mcrdsvc.exe" [MS] Media Center Receiver Service, ehRecvr, "C:\WINDOWS\eHome\ehRecvr.exe" [MS] Media Center-Planerdienst, ehSched, "C:\WINDOWS\eHome\ehSched.exe" [MS] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] PC Tools Auxiliary Service, sdAuxService, "C:\Programme\Spyware Doctor\pctsAuxs.exe" ["PC Tools"] PC Tools Security Service, sdCoreService, "C:\Programme\Spyware Doctor\pctsSvc.exe" ["PC Tools"] PnkBstrA, PnkBstrA, "C:\WINDOWS\system32\PnkBstrA.exe" [null data] Keyboard Driver Filters: ------------------------ HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\ "UpperFilters" = <<!>> "arkbcfltr" [MS] Print Monitors: --------------- HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\ Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS] ---------- (launch time: 2008-01-14 03:45:30) <<!>>: Suspicious data at a malware launch point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 42 seconds, including 8 seconds for message boxes) |
14.01.2008, 03:57 | #12 | ||
/// TB-Ausbilder | trojaner oder doch bloß paranoia ?! Ok, jetzt kommt der Augenblick, indem du uns helfen kannst. Lasse folgende beide Dateien auch noch bei virustotal auswerten: Zitat:
Lade dir folgendes Zip-Archiv runter: rvaxo. Entpacke es in einen eigenen Ordner und führe in dem Ordner die Datei rvaxo.cmd aus. Es wird ein Fenster aufpoppen in dem allerlei Text erscheint, das ist normal. Sollte das Fenster dich auffordern den Rechner neuzustarten, tue dies bitte. Ich vermute, dass der Screensaver gewollt ist: Zitat:
lg myrtille Poste nach dem Durchlaufen von Rvaxo bitte das log C:\RVAXO-results.log und ein neues Hijackthisfile. Geändert von myrtille (14.01.2008 um 04:02 Uhr) |
14.01.2008, 04:00 | #13 |
| trojaner oder doch bloß paranoia ?! Datei asvdnmo.dll empfangen 2008.01.09 17:00:09 (CET) Status: Beendet Ergebnis: 2/32 (6.25%) Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.1.10.10 2008.01.09 - AntiVir 7.6.0.46 2008.01.09 - Authentium 4.93.8 2008.01.09 - Avast 4.7.1098.0 2008.01.08 - AVG 7.5.0.516 2008.01.09 - BitDefender 7.2 2008.01.09 - CAT-QuickHeal 9.00 2008.01.07 - ClamAV 0.91.2 2008.01.09 - DrWeb 4.44.0.09170 2008.01.09 - eSafe 7.0.15.0 2008.01.08 - eTrust-Vet 31.3.5444 2008.01.09 - Ewido 4.0 2008.01.09 - FileAdvisor 1 2008.01.09 - Fortinet 3.14.0.0 2008.01.09 - F-Prot 4.4.2.54 2008.01.08 - F-Secure 6.70.13030.0 2008.01.09 - Ikarus T3.1.1.20 2008.01.09 AdWare.NetAdware.S Kaspersky 7.0.0.125 2008.01.09 - McAfee 5202 2008.01.08 - Microsoft 1.3109 2008.01.09 Adware:Win32/SmitFraud NOD32v2 2778 2008.01.09 - Norman 5.80.02 2008.01.09 - Panda 9.0.0.4 2008.01.08 - Prevx1 V2 2008.01.09 - Rising 20.26.21.00 2008.01.09 - Sophos 4.24.0 2008.01.09 - Sunbelt 2.2.907.0 2008.01.09 - Symantec 10 2008.01.09 - TheHacker 6.2.9.184 2008.01.08 - VBA32 3.12.2.5 2008.01.09 - VirusBuster 4.3.26:9 2008.01.09 - Webwasher-Gateway 6.6.2 2008.01.09 - weitere Informationen File size: 225280 bytes MD5: 64b8a7c84088e321fa91ae6d7b68bc05 SHA1: 217fc906ead8582ddc23d01343dd4a5ac5701bac PEiD: - Datei fqwmwdn.exe empfangen 2008.01.08 23:55:17 (CET) Status: Beendet Ergebnis: 2/32 (6.25%) Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 - - - AntiVir - - - Authentium - - - Avast - - - AVG - - - BitDefender - - - CAT-QuickHeal - - - ClamAV - - - DrWeb - - - eSafe - - - eTrust-Vet - - - Ewido - - - FileAdvisor - - - Fortinet - - - F-Prot - - - F-Secure - - - Ikarus - - not-a-virus:AdWare.Win32.Vapsup.tz Kaspersky - - - McAfee - - - Microsoft - - - NOD32v2 - - - Norman - - - Panda - - - Prevx1 - - Generic.Dropper.xCodec Rising - - - Sophos - - - Sunbelt - - - Symantec - - - TheHacker - - - VBA32 - - - VirusBuster - - - Webwasher-Gateway - - - weitere Informationen MD5: 96fb288fe4e0f5991b6d647392a1f5da die unteren beiden files werden nich angezeigt oder sind nich da .. ja, screensaver ist gewollt.. sehr netter 300 screensaver... :-/ Geändert von JoKer83 (14.01.2008 um 04:09 Uhr) |
14.01.2008, 04:04 | #14 |
/// TB-Ausbilder | trojaner oder doch bloß paranoia ?! EDIT: Ok, das ist dann doch nicht ganz das Ergebnis, dass ich erwartet hatte (ändert nichts für dich, betrifft nur das Hochladen der Dateien) Hab daher die eine Anleitung aus meinem vorherigen Post rausgenommen. Fahr einfach direkt mit der rvaxo.exe fort. lg myrtille |
14.01.2008, 04:15 | #15 |
| trojaner oder doch bloß paranoia ?! ---RVAXO.exe Updated: 2008-01-13---first run--- Files found: C:\WINDOWS\asvdnmo.dll C:\WINDOWS\fqwmwdn.exe C:\WINDOWS\system32\actskn45.ocx Uninstallers Rogue scanners: Folders Found: Hosts-file was reset, If you use a custom hosts file please replace it... --------------RVAXO.exe last run--------------- Files found: Folders Found: --------------RVAXO.exe finished---------------- und nu `? :-) |
Themen zu trojaner oder doch bloß paranoia ?! |
adobe, antivir, avg, avira, bho, desktop, explorer, firefox, firewall, gservice, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, kis, langsam, magix, mozilla, mozilla firefox, quara, rundll, s-1-5-18, scan, security, software, spyware terminator, suspekt, system, systray, t-online, trojaner, vielen dank, windows, windows xp |