| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: McAfee Rootkit Detective 1.1 findet verstekte EinträgeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
30.01.2008, 10:44
| #1 |
| |  McAfee Rootkit Detective 1.1 findet verstekte Einträge Hallo erst mal, habe meinen Computer durch McAfee Rootkit Detective scannen lassen. Leider lieferte das Programm folgende Ergebnisse unter den "View hidden registry keys/values" HKLM\SOFTWARE\Classes\.bpi HKLM\SOFTWARE\Classes\.ids HKLM\SOFTWARE\Classes\blue.Shortcut\shell\open\command HKLM\SOFTWARE\Classes\blue.Shortcut HKLM\SOFTWARE\Classes\blue.VCRInfo\shell\open\command HKLM\SOFTWARE\Classes\blue.VCRInfo Ist das ein Trojaner oder Virus? Vielleicht kann mir ja jemand helfen und weiß was das Programm da entdeckt hat? Ich bedanke mich schon mal ganz doll im voraus für jede Hilfe die ich zu diesem Problem bekommen kann. Lg Katrin |
|
30.01.2008, 11:01
| #2 |
| > MalwareDB   | McAfee Rootkit Detective 1.1 findet verstekte Einträge Hast Du eine Pinnacle Software auf dem Rechner?
__________________Am besten postes Du ein Logfile Deckards System Scanner (DSS) Hier gibt es das Tool -> dss.exe * Schließe alle AnwendungenWichtig: Durchsuche die Log-Files nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest. * Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken. Was Deckards System Scanner macht: * Es Erstellt einen System Wiederherstellungspunkt |
|
30.01.2008, 21:18
| #3 |
| | McAfee Rootkit Detective 1.1 findet verstekte Einträge Danke für deine Antwort. Vorweg, ja ich habe ein Pinnacle Programm auf meinem Rechner.
__________________Ich hoffe ich hab dich richtig verstanden, mit dem rauskopieren und so. Ist ziehmlich viel. Deshalb erst mal die main.txt Deckard's System Scanner v20071014.68 Run by K** K** on 2008-01-30 20:22:33 Computer is in Normal Mode. -------------------------------------------------------------------------------- -- System Restore -------------------------------------------------------------- Successfully created a Deckard's System Scanner Restore Point. -- Last 5 Restore Point(s) -- 56: 2008-01-30 19:22:37 UTC - RP664 - Deckard's System Scanner Restore Point 55: 2008-01-30 18:13:30 UTC - RP663 - Systemprüfpunkt 54: 2008-01-29 18:06:01 UTC - RP662 - Systemprüfpunkt 53: 2008-01-27 17:44:03 UTC - RP661 - Systemprüfpunkt 52: 2008-01-26 11:40:00 UTC - RP660 - Systemprüfpunkt -- First Restore Point -- 1: 2007-11-02 17:07:09 UTC - RP609 - Systemprüfpunkt Backed up registry hives. Performed disk cleanup. -- HijackThis Clone ------------------------------------------------------------ Emulating logfile of Trend Micro HijackThis v2.0.2 Scan saved at 2008-01-30 20:24:21 Platform: Windows XP Service Pack 2 (5.01.2600) MSIE: Internet Explorer (6.00.2900.2180) Boot mode: Normal Running processes: Code:
ATTFilter C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\explorer.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\SMax4.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\AcroTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Thomson\Lyra Jukebox\LyraHDTrayApp\LYRAHD2TrayApp.exe
C:\Programme\Qucktime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Maxtor\OneTouch Status\MaxMenuMgr.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.bin
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\Netropa\Inetkb\inetkb.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Maxtor\Sync\SyncServices.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\NetCologne\signup\wlanmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\K** K**\Desktop\dss.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://www.google.com/search?q=%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer bereitgestellt von NetCologne
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.netcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.google.com/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.netcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = h**p://www.google.com/ie
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.google.com/ie
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer bereitgestellt von NetCologne
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {82C783C4-1AC5-4C3A-A74F-D3B4996F6251} - C:\WINDOWS\system32\lfpng13t.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\GoogleToolbar4.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\epson\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\epson\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\GoogleToolbar4.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LyraHD2TrayApp] "C:\Programme\Thomson\Lyra Jukebox\LyraHDTrayApp\LYRAHD2TrayApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\Qucktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [mxomssmenu] "C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_0_8 -reboot 1
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQ\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} () - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
O17 - HKLM\SYSTEM\CCS\Services\Tcpip\..\{EDADF47F-E3EE-4C8F-B351-9C33E2EC1652}: NameServer = 213.168.112.60 194.8.194.60
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - C:\Programme\Maxtor\Sync\SyncServices.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
End of file - 10907 bytes -- File Associations ----------------------------------------------------------- Code:
ATTFilter .js - JSFile - DefaultIcon - C:\Programme\Macromedia\Dreamweaver MX 2004\Dreamweaver.exe,2
.js - JSFile - shell\open\command - "C:\Programme\Macromedia\Dreamweaver MX 2004\Dreamweaver.exe" "%1"
Code:
ATTFilter R0 PDDSLHND - c:\windows\system32\drivers\pddslhnd.sys <Not Verified; ProDyne; ProDyne DSL Handler>
R2 Sentinel - c:\windows\system32\drivers\sentinel.sys
R3 ASAPIW2k - c:\windows\system32\drivers\asapiw2k.sys <Not Verified; Pinnacle Systems GmbH; asapi>
R3 PDDSLADP (ProDyne DSL Adapter) - c:\windows\system32\drivers\pddsladp.sys <Not Verified; ProDyne; ProDyne DSL Adapter>
R3 pfc (Padus ASPI Shell) - c:\windows\system32\drivers\pfc.sys <Not Verified; Padus, Inc.; Padus(R) ASPI Shell>
S2 Asapi - c:\windows\system32\drivers\asapi.sys <Not Verified; VOB Computersysteme GmbH; asapi>
S3 CLPCIID - c:\programme\cyberlink\powerdvd\clpciid.sys <Not Verified; CyberLink Corp.; clpciid>
S3 PDNETCTL (ProDyne MicroPPPoE) - c:\windows\system32\drivers\pdnetctl.sys <Not Verified; ProDyne; ProDyne DSL Driver>
Code:
ATTFilter R2 AntiVirScheduler (AntiVir Scheduler) - c:\programme\antivir personaledition classic\sched.exe <Not Verified; Avira GmbH; Scheduler>
R2 nhksrv (Netropa NHK Server) - c:\programme\netropa\multimedia keyboard\nhksrv.exe
Code:
ATTFilter Class GUID:
Description: RAID-Controller
Device ID: PCI\VEN_1106&DEV_3164&SUBSYS_80F41043&REV_06\4&2E98101C&0&20F0
Manufacturer:
Name: RAID-Controller
PNP Device ID: PCI\VEN_1106&DEV_3164&SUBSYS_80F41043&REV_06\4&2E98101C&0&20F0
Service:
Code:
ATTFilter 2008-01-29 17:25:49 0 d-------- C:\RkUnhooker
2008-01-22 10:19:34 0 d-------- C:\Programme\Maxtor
2008-01-22 10:18:45 0 d-------- C:\WINDOWS\Downloaded Installations
2008-01-22 10:18:39 0 d-------- C:\Programme\MSXML 6.0
2008-01-22 10:18:21 0 d--hs---- C:\WINDOWS\ftpcache
Code:
ATTFilter 2008-01-30 16:46:26 0 d-------- C:\Dokumente und Einstellungen\K** K**\Anwendungsdaten\OpenOffice.org2
2008-01-28 21:58:27 0 d-------- C:\Dokumente und Einstellungen\K** K**\Anwendungsdaten\Adobe
2008-01-22 21:08:04 0 d-------- C:\Programme\No23 Recorder
2008-01-12 20:15:20 0 d-------- C:\Programme\DOSBox-0.72
*Note* empty entries & legit default entries are not shown Code:
ATTFilter [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{82C783C4-1AC5-4C3A-A74F-D3B4996F6251}]
05.08.2006 16:29 31635 --a------ C:\WINDOWS\System32\lfpng13t.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [29.05.2003 15:28]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [30.05.2003 08:42]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [12.12.2003 10:31]
"MULTIMEDIA KEYBOARD"="C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe" [07.11.2001 14:43]
"WinampAgent"="C:\Programme\Winamp\Winampa.exe" [02.10.2001 01:42]
"PinnacleDriverCheck"="C:\WINDOWS\System32\PSDrvCheck.exe" [10.03.2004 16:26]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [12.01.2006 19:52]
"@"="" []
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [14.10.2007 10:49]
"LyraHD2TrayApp"="C:\Programme\Thomson\Lyra Jukebox\LyraHDTrayApp\LYRAHD2TrayApp.exe" [31.03.2005 19:10]
"QuickTime Task"="C:\Programme\Qucktime\qttask.exe" [14.05.2006 18:45]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [02.01.2007 18:24]
"mxomssmenu"="C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe" [06.09.2007 14:53]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [13.10.2004 17:24]
"Start WingMan Profiler"="" []
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" [30.03.2006 15:45]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [15.07.2007 10:16]
C:\Dokumente und Einstellungen\K** K**\Startmen\Programme\Autostart\
OpenOffice.org 2.0.lnk - C:\Programme\OpenOffice.org 2.0\program\quickstart.exe [25.01.2006 18:42:22]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat Speed Launcher.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-0000-7760-000000000002}\SC_Acrobat.exe [07.01.2004 18:37:35]
InterVideo WinCinema Manager.lnk - C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe [21.04.2004 10:44:25]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [21.01.2000 09:15:54]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"
-- End of Deckard's System Scanner: finished at 2008-01-30 20:25:21 ------------ Ist das das was du meintest? die extra.txt ist noch länger und besteht zum größen Teil aus diesen codes hier mit den verschiedenen Versionen: Code:
ATTFilter AV: AntiVir PersonalEdition Classic Virenschutz v0.0.0.0 (AntiVir PersonalProducts GmbH)
Geändert von katrin2811 (30.01.2008 um 21:24 Uhr) |
|
31.01.2008, 10:03
| #4 |
| > MalwareDB | McAfee Rootkit Detective 1.1 findet verstekte Einträge Kannst Du als Anhang posten die Datei C:\WINDOWS\System32\lfpng13t.dll bitte bei VirusTotal - Free Online Virus and Malware Scan prüfen lassen und das Ergebnis hier posten (incl. MD5 / SHA1). |
|
06.02.2008, 16:17
| #5 |
| | McAfee Rootkit Detective 1.1 findet verstekte Einträge Es hat ja eine Weile gedauert aber ich habs dann auch endlich geschafft die Datei überprüfen zu lassen. Hier erstmal das Ergebnis von VirusTotal: Code:
ATTFilter
Datei lfpng13t.dll empfangen 2008.02.06 15:47:30 (CET)
Ergebnis: 25/32 (78.13%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.6.10 2008.02.05 Win-Trojan/KorGameHack.9728
AntiVir 7.6.0.62 2008.02.06 ADSPY/Stud.A.1
Authentium 4.93.8 2008.02.05 -
Avast 4.7.1098.0 2008.02.05 Win32:Trojano-3384
AVG 7.5.0.516 2008.02.06 Adware Generic.LRH
BitDefender 7.2 2008.02.06 Trojan.Downloader.6588.E
CAT-QuickHeal 9.00 2008.02.04 AdWare.Stud.a (Not a Virus)
ClamAV 0.92 2008.02.06 Adware.BHO-13
DrWeb 4.44.0.09170 2008.02.06 Trojan.DownLoader.6588
eSafe 7.0.15.0 2008.01.28 -
eTrust-Vet 31.3.5512 2008.02.05 -
Ewido 4.0 2008.02.06 Downloader.Small.cgu
FileAdvisor 1 2008.02.06 -
Fortinet 3.14.0.0 2008.02.06 W32/Small.CGU!tr
F-Prot 4.4.2.54 2008.02.05 W32/Adware.PL
F-Secure 6.70.13260.0 2008.02.06 -
Ikarus T3.1.1.20 2008.02.06 not-a-virus:AdWare.Win32.Stud.d
Kaspersky 7.0.0.125 2008.02.06 not-a-virus:AdWare.Win32.Stud.a
McAfee 5223 2008.02.05 potentially unwanted program Adware-KeenValue
Microsoft 1.3204 2008.02.05 Trojan:Win32/Webprefix
NOD32v2 2853 2008.02.06 Win32/Adware.BHO.AA
Norman 5.80.02 2008.02.06 W32/Stud.B
Panda 9.0.0.4 2008.02.05 Adware/KeenValue
Prevx1 V2 2008.02.06 -
Rising 20.29.22.00 2008.01.30 Trojan.PSW.KorGame.i
Sophos 4.26.0 2008.02.06 MapKon
Sunbelt 2.2.907.0 2008.02.05 -
Symantec 10 2008.02.06 Adware.Webprefix
TheHacker 6.2.9.210 2008.02.06 Adware/Stud.a
VBA32 3.12.6.0 2008.02.06 AdWare.Win32.Stud.a
VirusBuster 4.3.26:9 2008.02.05 Adware.Stud.Gen
Webwasher-Gateway 6.6.2 2008.02.06 Ad-Spyware.Stud.A.1
weitere Informationen
File size: 31635 bytes
MD5: 839dcc8e580912d75652da7e43813bda
SHA1: baff997fcd292778fc4e9b9456a280bf9755c707
PEiD: -
packers: UPX
packers: UPX
packers: UPX
packers: UPX
Als Anhang ist extra.txt allerdings zu groß. Deshalb teile ich die Datei dann mal auf. Lg Katrin |
|
06.02.2008, 17:50
| #6 |
| > MalwareDB | McAfee Rootkit Detective 1.1 findet verstekte Einträge Poste das extra Log bei nopaste.com (beta) und füge den Link Deiner Antwort bei. Combofix - Download ComboFix von hier oder hier auf Deinen Desktop. - Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. - Mache einen Doppelklick auf combofix.exe - Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht. |
|
| Themen zu McAfee Rootkit Detective 1.1 findet verstekte Einträge |
| compu, computer, einträge, entdeck, entdeckt, ergebnisse, folge, folgende, helfen, hidden, mcafee, problem, programm, registry, rootkit, scan, scanne, scannen, shell, software, troja, trojaner, virus, virus? |
Linear-Darstellung
