| |
| |||||||
Log-Analyse und Auswertung: ganz viele trojaner, bitte um hilfeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
29.02.2008, 16:54
| #16 |
 |  normaler modus, yeahh teil 1 dein ernstes wort ist angekommen, leider ist mein brenner kaputt und mir fehlt im moment das geld für eine externe festplatte die aber ganz oben auf der liste steht und dann mach ich den rechner platt... habe deine anweisungen befolgt. nach dem neustart hat er auch ganz normal gestartet. schon mal ein kleiner erfolg, danke. jetzt kommt aber immer noch die meldungen von antivir so das ich antivir wieder abschlaten muss um weiter zu machen. nun die logs: combofix Code:
ATTFilter ComboFix 08-02-25.3 - Vias 2008-02-29 16:30:16.1 - FAT32x86 NETWORK
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.375 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Vias\Desktop\ComboFix.exe
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\d.exe
C:\Programme\dobe~1
C:\WINDOWS\system32\_000005_.tmp.dll
C:\WINDOWS\system32\alog.txt
C:\WINDOWS\system32\dobe~1
C:\WINDOWS\system32\msvcrtd.exe
C:\WINDOWS\system32\rssut.ini
C:\WINDOWS\system32\rssut.ini2
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\LEGACY_MSUPDATE
-------\msupdate
((((((((((((((((((((((( Dateien erstellt von 2008-01-28 bis 2008-02-29 ))))))))))))))))))))))))))))))
.
2008-02-29 15:41 . 2008-02-29 15:41 <DIR> d-------- C:\Deckard
2008-02-29 11:31 . 2004-03-01 14:29 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-02-29 11:31 . 2004-03-01 14:29 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-02-29 11:31 . 2004-03-01 14:29 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-02-29 11:31 . 2004-03-01 14:29 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-02-29 11:31 . 2004-03-01 14:41 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-02-29 11:31 . 2004-03-01 14:41 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-02-29 11:31 . 2004-03-01 14:29 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-02-29 11:31 . 2004-03-01 14:29 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-02-29 11:31 . 2003-01-21 03:00 13,095,560 -ra------ C:\Dokumente und Einstellungen\Administrator\MpSetup.exe
2008-02-29 10:55 . 2008-02-29 10:55 <DIR> d-------- C:\Programme\ARCHPR
2008-02-29 10:48 . 2008-02-29 11:06 1,142 --a------ C:\WINDOWS\ARCHPR.INI
2008-02-29 09:04 . 2008-02-29 09:04 <DIR> d-------- C:\VundoFix Backups
2008-02-29 00:14 . 2008-02-29 00:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-02-29 00:13 . 2008-02-29 00:13 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2008-02-29 00:13 . 2008-02-29 00:13 <DIR> d-------- C:\Dokumente und Einstellungen\Vias\Anwendungsdaten\SUPERAntiSpyware.com
2008-02-28 23:53 . 2008-02-28 23:53 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-02-28 23:53 . 2008-02-28 23:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-28 23:49 . 2008-02-28 23:49 <DIR> d--hs---- C:\FOUND.047
2008-02-28 23:35 . 2008-02-28 23:35 <DIR> d-------- C:\Programme\Lavasoft
2008-02-28 23:35 . 2008-02-28 23:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-02-28 23:34 . 2008-02-28 23:34 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-28 23:21 . 2008-02-28 23:21 <DIR> d-------- C:\Programme\Spyware Doctor
2008-02-28 23:21 . 2008-02-28 23:21 <DIR> d-------- C:\Dokumente und Einstellungen\Vias\Anwendungsdaten\PC Tools
2008-02-28 23:21 . 2008-02-28 23:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-02-28 23:21 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-02-28 23:21 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-02-28 23:21 . 2008-02-01 12:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-02-28 23:21 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-02-28 22:56 . 2008-02-28 22:56 <DIR> d-------- C:\Programme\ZIP PASSWORD FINDER
2008-02-28 22:56 . 2000-05-16 10:40 83,968 --a------ C:\WINDOWS\UnGins.exe
2008-02-28 22:25 . 2008-02-28 22:30 869 --a------ C:\WINDOWS\ARPR.INI
2008-02-28 22:00 . 2008-02-28 22:00 10,752 --------- C:\WINDOWS\system32\worsock.dll
2008-02-28 21:52 . 2008-02-28 21:52 <DIR> d-------- C:\Programme\JavaCore
2008-02-28 21:51 . 2008-02-28 21:54 39,936 --a------ C:\WINDOWS\system32\klsock.dll
2008-02-28 21:50 . 2008-02-28 21:54 58,368 --a------ C:\wpohl.exe
2008-02-28 21:50 . 54,764 C:\WINDOWS\system\userinfo32.ggt
2008-02-28 21:50 . 2008-02-28 21:53 39,936 --a------ C:\WINDOWS\system32\bnsock.dll
2008-02-28 21:50 . 2008-02-28 21:50 35,840 --a------ C:\d.exe~
2008-02-28 21:50 . 2008-02-28 21:54 2 --a------ C:\640227056
2008-02-28 21:38 . 2008-02-28 21:38 <DIR> d-------- C:\Programme\ElcomSoft
2008-02-28 21:38 . 2008-02-29 11:06 1,351 --a------ C:\WINDOWS\ARCHPR4.INI
2008-02-26 12:16 . 2007-02-12 12:41 2,732,032 --a------ C:\WINDOWS\system32\Netw2r32.dll
2008-02-26 12:16 . 2007-07-25 17:44 2,210,048 --a------ C:\WINDOWS\system32\drivers\w29n51.sys
2008-02-26 12:16 . 2007-02-12 12:40 557,056 --a------ C:\WINDOWS\system32\Netw2c32.dll
2008-02-26 11:51 . 2008-02-26 11:51 <DIR> d--hs---- C:\FOUND.046
2008-02-26 11:29 . 2008-02-26 11:29 <DIR> d--hs---- C:\FOUND.045
2008-02-25 16:00 . 2008-02-25 14:00 81,920 --a------ C:\WINDOWS\b154.exe~
2008-02-20 18:02 . 2008-02-20 16:02 101,376 --a------ C:\WINDOWS\b152.exe~
2008-02-20 11:21 . 2008-02-20 11:21 <DIR> d--hs---- C:\FOUND.044
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-22 11:56 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-01-22 11:56 --------- d-----w C:\Dokumente und Einstellungen\Vias\Anwendungsdaten\skypePM
2008-01-22 11:54 --------- d-----w C:\Programme\Skype
2008-01-22 11:54 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2008-01-22 11:54 --------- d-----w C:\Dokumente und Einstellungen\Vias\Anwendungsdaten\Skype
2008-01-22 11:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-01-18 10:29 --------- d-----w C:\Dokumente und Einstellungen\Vias\Anwendungsdaten\DivX
2008-01-16 13:37 --------- d-----w C:\Programme\XTNDConnect PC
2008-01-16 13:37 --------- d-----w C:\Programme\Gemeinsame Dateien\XCPCSync
2008-01-13 10:45 --------- d-----w C:\Dokumente und Einstellungen\Vias\Anwendungsdaten\Sprite Software
2008-01-13 10:45 --------- d-----w C:\Dokumente und Einstellungen\Vias\Anwendungsdaten\Sprite PC Agent
2008-01-13 10:40 --------- d-----w C:\Programme\Microsoft ActiveSync
2008-01-04 21:59 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-01-04 21:58 9,464 ------w C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-01-04 21:58 9,336 ------w C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-01-04 21:58 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
2008-01-04 21:58 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-01-04 21:58 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-01-04 21:58 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2008-01-04 21:58 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-01-04 21:58 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-01-04 21:58 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-01-04 21:57 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-01-04 21:57 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-01-04 21:57 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2008-01-04 21:57 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-01-04 21:57 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-01-04 21:57 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-01-04 21:57 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-01-04 21:57 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2008-01-04 21:56 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-01-04 21:56 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2007-12-18 09:51 179,584 ------w C:\WINDOWS\system32\dllcache\mrxdav.sys
2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2007-12-07 14:36 3,080,192 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-12-06 13:07 18,432 ------w C:\WINDOWS\system32\dllcache\iedw.exe
2007-12-04 18:40 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll
2007-12-04 18:40 550,912 ------w C:\WINDOWS\system32\dllcache\oleaut32.dll
2003-01-21 02:00 13,095,560 ----a-r C:\WINDOWS\system32\config\systemprofile\MpSetup.exe
2003-01-21 02:00 13,095,560 ----a-r C:\Dokumente und Einstellungen\Vias\MpSetup.exe
2003-01-21 02:00 13,095,560 ----a-r C:\Dokumente und Einstellungen\Default User\MpSetup.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0CA10898-7F98-4709-A479-B8134AB3D9F3}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2C0AD99D-B8D2-47A0-95BE-B56E1253585E}]
C:\WINDOWS\system32\tussr.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{45C2A50F-8F4A-496E-AF02-D0207525BF5A}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57 15360]
"BitTorrent"="C:\Programme\BitTorrent\bittorrent.exe" [ ]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-10-28 16:25 94208]
"JavaCore"="C:\Programme\JavaCore\JavaCore.exe" [ ]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-02-28 14:23 1481968]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" []
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 16:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-01-27 21:10 335872]
"SoundMan"="SOUNDMAN.EXE" [2003-12-19 17:53 65024 C:\WINDOWS\SOUNDMAN.EXE]
"AGRSMMSG"="AGRSMMSG.exe" [2003-07-25 11:22 88363 C:\WINDOWS\AGRSMMSG.exe]
"LtMoh"="C:\Programme\ltmoh\Ltmoh.exe" [2003-04-28 15:08 184320]
"LManager"="C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE" [2003-12-15 17:30 262144]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-21 11:52 40960]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-01-09 14:09 98304]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-01-09 14:09 491520]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-05-27 11:24 310272]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 22:42 249896]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"XTNDConnect PC - ErPhn2"="C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe" [2003-02-13 09:41 53248]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 08:57 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"SystemManager"= C:\WINDOWS\system32\msgina2.exe
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 12:55 77824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 12:41 294912 C:\Programme\SUPERAntiSpyware\SASWINLO.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qomkhii]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\BitTyrant\\Azureus.exe"=
"C:\\Programme\\LeechFTP\\Leechftp.exe"=
"C:\\WINDOWS\\System32\\dpvsetup.exe"=
"C:\\WINDOWS\\System32\\rundll32.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
R2 IrCOMM2kSvc;Virtueller Infrarot-Kommunikationsanschluß, Dienstprogramm;C:\WINDOWS\system32\ircomm2k.exe [2002-03-20 20:58]
R3 IrCOMM2k;Virtueller Infrarot-Kommunikationsanschluß;C:\WINDOWS\system32\DRIVERS\ircomm2k.sys [2002-03-25 01:11]
S3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys [2004-10-15 05:50]
S3 se58bus;Sony Ericsson Device 088 driver (WDM);C:\WINDOWS\system32\DRIVERS\se58bus.sys [2006-09-05 19:58]
S3 se58mdfl;Sony Ericsson Device 088 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se58mdfl.sys [2006-09-05 19:59]
S3 se58mdm;Sony Ericsson Device 088 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se58mdm.sys [2006-09-05 19:59]
S3 se58mgmt;Sony Ericsson Device 088 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se58mgmt.sys [2006-09-05 20:00]
S3 se58nd5;Sony Ericsson Device 088 USB Ethernet Emulation SEMC58 (NDIS);C:\WINDOWS\system32\DRIVERS\se58nd5.sys [2006-09-05 19:57]
S3 se58obex;Sony Ericsson Device 088 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\se58obex.sys [2006-09-05 20:00]
S3 se58unic;Sony Ericsson Device 088 USB Ethernet Emulation SEMC58 (WDM);C:\WINDOWS\system32\DRIVERS\se58unic.sys [2006-09-05 19:57]
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-29 16:34:11
Windows 5.1.2600 Service Pack 2 FAT NTAPI
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\DOKUME~1\Vias\LOKALE~1\Temp\SSUPDATE.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-29 16:39:41 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-29 15:36:18
.
2008-02-15 12:02:15 --- E O F ---
|
|
29.02.2008, 16:55
| #17 |
| | teil 2 highjack
__________________Code:
ATTFilter Logfile of HijackThis v1.99.1 Scan saved at 16:49:22, on 29.02.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\ircomm2k.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\ltmoh\Ltmoh.exe C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Vias\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/ O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Gamburg provider - {0CA10898-7F98-4709-A479-B8134AB3D9F3} - klsock.dll (file missing) O2 - BHO: (no name) - {2C0AD99D-B8D2-47A0-95BE-B56E1253585E} - C:\WINDOWS\system32\tussr.dll (file missing) O2 - BHO: (no name) - {45C2A50F-8F4A-496E-AF02-D0207525BF5A} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe O4 - HKLM\..\Run: [EPSON Stylus DX4000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "C:\WINDOWS\TEMP\E_S18A.tmp" /EF "HKLM" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [JavaCore] C:\Programme\JavaCore\JavaCore.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'worsock.dll' missing O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: qomkhii - C:\WINDOWS\ O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Virtueller Infrarot-Kommunikationsanschluß, Dienstprogramm (IrCOMM2kSvc) - Jan Kiszka - C:\WINDOWS\system32\ircomm2k.exe wie siehts jetzt aus? schlimm? gruß |
|
29.02.2008, 17:03
| #18 |
| | teil 3 outlook funktioniert nicht da ich wieder im normalen modus bin dachte ich mir ich kann gleich mal meine mails checken aber wenn ich auf senden und empfangen gehe passiert nichts. wenn ich meine konten bei extras--> konten überprüfen will kommt folgende fehlermeldung:
__________________... konnte nicht ausgeführt werden wegen eines regestrierungs- und installationsproblems.... kann mir schon denken das das mit dem scheiß den ich gebaut habe zutun hat aber bekomme ich das wieder hin? und ist noch mehr beschädigt? fragen über fragen... sorry das ich so ein dummer junge bin |
|
29.02.2008, 18:27
| #19 |
| > MalwareDB   | ganz viele trojaner, bitte um hilfe 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Quotebox in das Notepad Fenster ein. Code:
ATTFilter FILE::
C:\WINDOWS\UnGins.exe
C:\WINDOWS\ARPR.INI
C:\WINDOWS\system32\worsock.dll
C:\WINDOWS\system32\klsock.dll
C:\wpohl.exe
C:\WINDOWS\system\userinfo32.ggt
C:\WINDOWS\system32\bnsock.dll
C:\d.exe~
C:\640227056
C:\WINDOWS\ARCHPR4.INI
C:\WINDOWS\b154.exe~
C:\WINDOWS\b152.exe~
FOLDER::
C:\Programme\JavaCore
C:\VundoFix Backups
Collect::
C:\WINDOWS\UnGins.exe
C:\WINDOWS\ARPR.INI
C:\WINDOWS\system32\worsock.dll
C:\WINDOWS\system32\klsock.dll
C:\wpohl.exe
C:\WINDOWS\system\userinfo32.ggt
C:\WINDOWS\system32\bnsock.dll
C:\d.exe~
C:\640227056
C:\WINDOWS\ARCHPR4.INI
C:\WINDOWS\b154.exe~
C:\WINDOWS\b152.exe~
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0CA10898-7F98-4709-A479-B8134AB3D9F3}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2C0AD99D-B8D2-47A0-95BE-B56E1253585E}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{45C2A50F-8F4A-496E-AF02-D0207525BF5A}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JavaCore"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"SystemManager"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qomkhii]
4. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  5. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt 6. Nachdem das Log im Notepad aufgegangen ist, wird ein Fenster aufpoppen (Submit files for further analysis), dieses Fenster mit OK wegklicken, die Webseite dann aber schließen, das Formular nicht ausfüllen. Auf Deinem Desktop ist eine neue .Zip Datei vorhanden ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip). Diese Datei auf dem Desktop an  mailen. Dann das Archiv und die CF-Submit.htm löschen und den Papierkorb leeren.Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann |
|
29.02.2008, 19:06
| #20 |
| | ein wenig verwirrt hab ich gemacht hier das log: Code:
ATTFilter ComboFix 08-02-25.3 - Vias 2008-02-29 18:47:54.2 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.296 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Vias\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Vias\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
FILE ::
C:\640227056
C:\d.exe~
C:\WINDOWS\ARCHPR4.INI
C:\WINDOWS\ARPR.INI
C:\WINDOWS\b152.exe~
C:\WINDOWS\b154.exe~
C:\WINDOWS\system\userinfo32.ggt
C:\WINDOWS\system32\bnsock.dll
C:\WINDOWS\system32\klsock.dll
C:\WINDOWS\system32\worsock.dll
C:\WINDOWS\UnGins.exe
C:\wpohl.exe
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\640227056
C:\d.exe~
C:\Programme\JavaCore
C:\Programme\JavaCore\JavaCore.exe~
C:\Programme\JavaCore\UnInstall.exe
C:\VundoFix Backups
C:\WINDOWS\ARCHPR4.INI
C:\WINDOWS\ARPR.INI
C:\WINDOWS\b152.exe~
C:\WINDOWS\b154.exe~
C:\WINDOWS\system\userinfo32.ggt
C:\WINDOWS\system32\bnsock.dll
C:\WINDOWS\system32\klsock.dll
C:\WINDOWS\system32\worsock.dll
C:\WINDOWS\UnGins.exe
C:\wpohl.exe
.
((((((((((((((((((((((( Dateien erstellt von 2008-01-28 bis 2008-02-29 ))))))))))))))))))))))))))))))
.
2008-02-29 15:41 . 2008-02-29 15:41 <DIR> d-------- C:\Deckard
2008-02-29 11:31 . 2004-03-01 14:29 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-02-29 11:31 . 2004-03-01 14:29 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-02-29 11:31 . 2004-03-01 14:29 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-02-29 11:31 . 2004-03-01 14:29 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-02-29 11:31 . 2004-03-01 14:41 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-02-29 11:31 . 2004-03-01 14:41 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-02-29 11:31 . 2004-03-01 14:29 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-02-29 11:31 . 2004-03-01 14:29 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-02-29 11:31 . 2003-01-21 03:00 13,095,560 -ra------ C:\Dokumente und Einstellungen\Administrator\MpSetup.exe
2008-02-29 10:55 . 2008-02-29 10:55 <DIR> d-------- C:\Programme\ARCHPR
2008-02-29 10:48 . 2008-02-29 11:06 1,142 --a------ C:\WINDOWS\ARCHPR.INI
2008-02-29 00:14 . 2008-02-29 00:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-02-29 00:13 . 2008-02-29 00:13 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2008-02-29 00:13 . 2008-02-29 00:13 <DIR> d-------- C:\Dokumente und Einstellungen\Vias\Anwendungsdaten\SUPERAntiSpyware.com
2008-02-28 23:53 . 2008-02-28 23:53 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-02-28 23:53 . 2008-02-28 23:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-28 23:49 . 2008-02-28 23:49 <DIR> d--hs---- C:\FOUND.047
2008-02-28 23:35 . 2008-02-28 23:35 <DIR> d-------- C:\Programme\Lavasoft
2008-02-28 23:35 . 2008-02-28 23:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-02-28 23:21 . 2008-02-28 23:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-02-28 21:38 . 2008-02-28 21:38 <DIR> d-------- C:\Programme\ElcomSoft
2008-02-26 12:16 . 2007-02-12 12:41 2,732,032 --a------ C:\WINDOWS\system32\Netw2r32.dll
2008-02-26 12:16 . 2007-07-25 17:44 2,210,048 --a------ C:\WINDOWS\system32\drivers\w29n51.sys
2008-02-26 12:16 . 2007-02-12 12:40 557,056 --a------ C:\WINDOWS\system32\Netw2c32.dll
2008-02-26 11:51 . 2008-02-26 11:51 <DIR> d--hs---- C:\FOUND.046
2008-02-26 11:29 . 2008-02-26 11:29 <DIR> d--hs---- C:\FOUND.045
2008-02-20 11:21 . 2008-02-20 11:21 <DIR> d--hs---- C:\FOUND.044
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-22 11:56 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-01-22 11:56 --------- d-----w C:\Dokumente und Einstellungen\Vias\Anwendungsdaten\skypePM
2008-01-22 11:54 --------- d-----w C:\Programme\Skype
2008-01-22 11:54 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2008-01-22 11:54 --------- d-----w C:\Dokumente und Einstellungen\Vias\Anwendungsdaten\Skype
2008-01-22 11:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-01-18 10:29 --------- d-----w C:\Dokumente und Einstellungen\Vias\Anwendungsdaten\DivX
2008-01-16 13:37 --------- d-----w C:\Programme\XTNDConnect PC
2008-01-16 13:37 --------- d-----w C:\Programme\Gemeinsame Dateien\XCPCSync
2008-01-13 10:45 --------- d-----w C:\Dokumente und Einstellungen\Vias\Anwendungsdaten\Sprite Software
2008-01-13 10:45 --------- d-----w C:\Dokumente und Einstellungen\Vias\Anwendungsdaten\Sprite PC Agent
2008-01-13 10:40 --------- d-----w C:\Programme\Microsoft ActiveSync
2008-01-04 21:59 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-01-04 21:58 9,464 ------w C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-01-04 21:58 9,336 ------w C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-01-04 21:58 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
2008-01-04 21:58 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-01-04 21:58 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-01-04 21:58 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2008-01-04 21:58 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-01-04 21:58 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-01-04 21:58 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-01-04 21:57 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-01-04 21:57 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-01-04 21:57 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2008-01-04 21:57 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-01-04 21:57 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-01-04 21:57 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-01-04 21:57 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-01-04 21:57 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2008-01-04 21:56 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-01-04 21:56 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2007-12-18 09:51 179,584 ------w C:\WINDOWS\system32\dllcache\mrxdav.sys
2007-12-07 14:36 3,080,192 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-12-06 13:07 18,432 ------w C:\WINDOWS\system32\dllcache\iedw.exe
2007-12-04 18:40 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll
2007-12-04 18:40 550,912 ------w C:\WINDOWS\system32\dllcache\oleaut32.dll
2003-01-21 02:00 13,095,560 ----a-r C:\WINDOWS\system32\config\systemprofile\MpSetup.exe
2003-01-21 02:00 13,095,560 ----a-r C:\Dokumente und Einstellungen\Vias\MpSetup.exe
2003-01-21 02:00 13,095,560 ----a-r C:\Dokumente und Einstellungen\Default User\MpSetup.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57 15360]
"BitTorrent"="C:\Programme\BitTorrent\bittorrent.exe" [ ]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-10-28 16:25 94208]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" []
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 16:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-01-27 21:10 335872]
"SoundMan"="SOUNDMAN.EXE" [2003-12-19 17:53 65024 C:\WINDOWS\SOUNDMAN.EXE]
"AGRSMMSG"="AGRSMMSG.exe" [2003-07-25 11:22 88363 C:\WINDOWS\AGRSMMSG.exe]
"LtMoh"="C:\Programme\ltmoh\Ltmoh.exe" [2003-04-28 15:08 184320]
"LManager"="C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE" [2003-12-15 17:30 262144]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-21 11:52 40960]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-01-09 14:09 98304]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-01-09 14:09 491520]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-05-27 11:24 310272]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 22:42 249896]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"XTNDConnect PC - ErPhn2"="C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe" [2003-02-13 09:41 53248]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 08:57 15360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\BitTyrant\\Azureus.exe"=
"C:\\Programme\\LeechFTP\\Leechftp.exe"=
"C:\\WINDOWS\\System32\\dpvsetup.exe"=
"C:\\WINDOWS\\System32\\rundll32.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
R2 IrCOMM2kSvc;Virtueller Infrarot-Kommunikationsanschluß, Dienstprogramm;C:\WINDOWS\system32\ircomm2k.exe [2002-03-20 20:58]
R3 IrCOMM2k;Virtueller Infrarot-Kommunikationsanschluß;C:\WINDOWS\system32\DRIVERS\ircomm2k.sys [2002-03-25 01:11]
S1 userinfo32;userinfo32;C:\WINDOWS\system\userinfo32.ggt []
S3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys [2004-10-15 05:50]
S3 se58bus;Sony Ericsson Device 088 driver (WDM);C:\WINDOWS\system32\DRIVERS\se58bus.sys [2006-09-05 19:58]
S3 se58mdfl;Sony Ericsson Device 088 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se58mdfl.sys [2006-09-05 19:59]
S3 se58mdm;Sony Ericsson Device 088 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se58mdm.sys [2006-09-05 19:59]
S3 se58mgmt;Sony Ericsson Device 088 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se58mgmt.sys [2006-09-05 20:00]
S3 se58nd5;Sony Ericsson Device 088 USB Ethernet Emulation SEMC58 (NDIS);C:\WINDOWS\system32\DRIVERS\se58nd5.sys [2006-09-05 19:57]
S3 se58obex;Sony Ericsson Device 088 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\se58obex.sys [2006-09-05 20:00]
S3 se58unic;Sony Ericsson Device 088 USB Ethernet Emulation SEMC58 (WDM);C:\WINDOWS\system32\DRIVERS\se58unic.sys [2006-09-05 19:57]
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-29 18:51:17
Windows 5.1.2600 Service Pack 2 FAT NTAPI
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-29 18:53:26 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-29 17:53:24
ComboFix2.txt 2008-02-29 15:39:44
.
2008-02-15 12:02:15 --- E O F ---
was meinst du mit archiv? und ist mit cf-submit.htm die zip-datei gemeint? hab jetzt noch nichts gelöscht. warte mal lieber auf antwort. gruß ps. kein piepsen mehr, yeahh - outlook geht aber immer noch nicht richtig. |
|
29.02.2008, 20:03
| #21 |
| > MalwareDB | ganz viele trojaner, bitte um hilfe Das Log sieht sauber aus.  Die Datei die Du nun auf dem Desktop hast, die hätte ich gern auf die eMail Adresse, die in der Grafik angegeben ist. Nach dem Senden, kannst Du die Dateien löschen und Du solltest noch einen Scan mit Deinem SUPERAntiSpyware hinlegen. |
|
29.02.2008, 22:36
| #22 |
| | mail ist raus die mail ist vor 2 stunden raus. es kann sein, das ich in deinem spam-ordner lande, das passiert mir häufiger. superantispy ist durch, hat nichts gefunden. aber antivir hat sich wieder gemeldet und zwar mit folgenden fund: TR/Dldr.Agent.22016.4 bei C:\Windows\b138.exe~ können wir mein outlook auch noch fixen oder muss ich es neu installieren? sind evtl. noch andere sachen kaputt gegangen? und ich dachte jetzt ist alles gut. was nun? gruß |
|
01.03.2008, 01:18
| #23 |
| > MalwareDB | ganz viele trojaner, bitte um hilfe Vernachlässigen wir das eMail Problem mal, ich hab noch nichts bekommen. Welche Probleme / Fehlermeldung produziert Outlook und welche Version ist es (Updates eingespielt?). GMER - Rootkit Detection * Lade GMER von hier * entpacke es auf den Dektop * Dopperlklicke die gmer.exe * Der Reiter Rootkit oben ist schon angewählt * Entferne die Häckchen rechts bei -System, -Section, -IAT/EAT, -Devices, -Module, -Processes, -Threads, -Libraries  * Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern * nach Beendigung des Scan, drücke "Copy" * nun kannst Du das Ergebnis hier posten * Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden. Hilft bei der b138.exe~ ein verschieben mit antivir in die Quarantäne? |
|
01.03.2008, 09:25
| #24 |
| | keine neuen ergebnisse guten morgen, habe mal nachgeschaut, die mail ist wieder zurück gekommen weil gmx ein virus entdeckt hat. yahoo will die datei auch nicht anhängen wegen viren und ich bekomm sogar den ratschlag ich solle meinen rechner prüfen, haha! was ist den mit dem ikon, ich habe die datei gestern dort doch hochgeladen und dir den code geschickt. kannst du sie von dort nicht ziehen? senden und empfangen geht nicht und wenn ich meine konten checken will produziert er angehängte fehlermeldung. wenn ich eine neue mail schreiben will kommt ebenfalls eine fehlermeldung was ja logisch ist. outlook 2003, updates sind wohl nicht eingeschaltet denke ich bin mir aber nicht sicher. habe dir drei screens gemacht. einmal die outlook fehlermeldungen wenn ich auf extras-->konten gehe, sowie mail verfassen und einmal den quarantäneordner von antivir. als die fehlermeldung gestern kam hab ich sie weggedrückt und als ich den rechner heut morgen hoch gefahren hab, kam keine was ja nichts heißen mag. gmer scan hat nichts gefunden. und nun? gruß |
|
01.03.2008, 15:40
| #25 | |
| > MalwareDB | ganz viele trojaner, bitte um hilfeZitat:
 Das GMER nichts gefunden hat ist erstmal als gut zu werten. Dein Outlook Problem Zum einen ist hier ein Lösungsansatz, der Dein Problem vielleicht nicht ganz trifft. Zum anderen solltest Du alle verfügbaren Office Updates installieren. Wenn dannach immer noch die beschriebenen Probleme auftauchen, kannst Du über Start / Einstellungen / Systemsteuerung / Software eine Reperaturinstallation durchführen. Der letzte Fund der in die Quarantäne gewandert ist, stammt von 9:00 Uhr, anscheinend hast Du den letzten Fund direkt gelöscht, was nicht schlimm ist. Stelle Antivir ein, wie hier beschrieben, Update es und führe einen Systemscan durch. Das Ergebnis bitte hier posten. Dann solltest Du alle Passwörter ändern, die Du auf dem System benutzt hast. Dein Gast ist dafür ausgelegt, diese mitzulesen und dritten zu übermitteln. |
|
01.03.2008, 17:41
| #26 |
| | antivir report so das hat alles ein wenig gedauert. hier meine ergebnisse: für office habe ich mit dem sp3 ein update durchgeführt. keine änderungen dann habe ich die reperatur durchgeführt. war auch erfolgreich, angeblich: keine änderungen, fehler sind immer noch da. hast du noch vorschläge oder muss ich es neu installieren, wenn ja sind wohl alle meine daten weg. ich hatte früher mal ein programm benutzt welches alle persönlichen daten extrahieren konnte outback5 hieß das, aber das war nur eine testversion die ich jetzt leider nicht mehr benutzen kann. kennst du ein ähnliches programm oder hast du eine idee wie ich meine ganzen daten und einstellungen retten kann? den code hatte ich dir tatsächlich geschrieben, gestern um 19.07 uhr. hier nochmal: 80112083953028 antivir hatte ne menge zu meckern (habe vorher natürlich meine einstellungen nach deiner anweisung geändert) alle meldungen habe ich in die quarantäne verschoben. was mach ich nun mit denen? hier der report: Code:
ATTFilter
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Samstag, 1. März 2008 15:55
Es wird nach 1129035 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Vias
Computername: ATOMATE
Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 06.09.2007 17:59:30
AVSCAN.DLL : 7.0.6.0 57384 Bytes 06.09.2007 17:59:30
LUKE.DLL : 7.0.5.3 147496 Bytes 06.09.2007 17:59:30
LUKERES.DLL : 7.0.6.0 10792 Bytes 06.09.2007 17:59:30
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 11:17:48
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14.12.2007 18:14:22
ANTIVIR2.VDF : 7.0.2.181 1993728 Bytes 24.02.2008 10:32:04
ANTIVIR3.VDF : 7.0.2.215 117248 Bytes 29.02.2008 07:28:34
AVEWIN32.DLL : 7.6.0.73 3334656 Bytes 01.03.2008 07:28:34
AVWINLL.DLL : 1.0.0.7 14376 Bytes 20.04.2007 07:54:56
AVPREF.DLL : 7.0.2.2 25640 Bytes 06.09.2007 17:59:30
AVREP.DLL : 7.0.0.1 155688 Bytes 20.04.2007 07:54:58
AVPACK32.DLL : 7.6.0.3 360488 Bytes 15.01.2008 17:00:38
AVREG.DLL : 7.0.1.6 30760 Bytes 06.09.2007 17:59:30
AVARKT.DLL : 1.0.0.20 278568 Bytes 06.09.2007 17:59:28
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 06.09.2007 17:59:28
NETNT.DLL : 7.0.0.0 7720 Bytes 20.04.2007 07:54:58
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 06.09.2007 17:59:22
RCTEXT.DLL : 7.0.62.0 90152 Bytes 06.09.2007 17:59:22
SQLITE3.DLL : 3.3.17.1 339968 Bytes 06.09.2007 17:59:30
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: D:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,
Beginn des Suchlaufs: Samstag, 1. März 2008 15:55
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FIREFOX.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ARCHPR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winword.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVGNT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALG.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPERAntiSpyware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTFMON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ErTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FPASSIST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'JUSCHED.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPLpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CPLBCL53.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LTMOH.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATIPTAXX.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IRCOMM2K.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVGUARD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCHED.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BRSS01A.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BRSVC01A.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXPLORER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATI2EVXX.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '40' Prozesse mit '40' Modulen durchsucht
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '38' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <ACER>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\b138.exe~
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.22016.4
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47fc70d8.qua' verschoben!
C:\WINDOWS\Nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '483b7119.qua' verschoben!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudC2.zip
[FUND] Enthält verdächtigen Code GEN/PwdZIP
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4832759c.qua' verschoben!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudC3.zip
[FUND] Enthält verdächtigen Code GEN/PwdZIP
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '483275a7.qua' verschoben!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Wintouch2.zip
[FUND] Enthält verdächtigen Code GEN/PwdZIP
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '483775aa.qua' verschoben!
C:\Dokumente und Einstellungen\Vias\Eigene Dateien\Programme\Trillian.Pro.3.1.Build.121.FiNAL-SCORPiON.zip
[0] Archivtyp: ZIP
--> Trillian.Pro.3.1.Build.121.FiNAL-SCORPiON/Crack.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.NBQ.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4832789c.qua' verschoben!
C:\Dokumente und Einstellungen\Vias\Eigene Dateien\Programme\AdvPassw\Advanced Excel 97 Password Recovery v1.31\ae97pr.zip
[0] Archivtyp: ZIP
--> setup.exe
[FUND] Ist das Trojanische Pferd TR/Agent.1032945
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48027a35.qua' verschoben!
C:\Dokumente und Einstellungen\Vias\Eigene Dateien\BackUp's\usb back up\Neuer Ordner\Trillian.Pro.3.1.Build.121.FiNAL-SCORPiON.zip
[0] Archivtyp: ZIP
--> Trillian.Pro.3.1.Build.121.FiNAL-SCORPiON/Crack.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.NBQ.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48327b65.qua' verschoben!
C:\Dokumente und Einstellungen\Vias\Desktop\[4]-Submit_2008-02-29@18.47.zip
[0] Archivtyp: ZIP
--> d.exe~.vir
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.alm
--> b152.exe~.vir
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.eso
--> b154.exe~.vir
[FUND] Ist das Trojanische Pferd TR/Matcash.DLN
--> userinfo32.ggt
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
--> bnsock.dll.vir
[FUND] Ist das Trojanische Pferd TR/Spy.Banker.Gen
--> klsock.dll.vir
[FUND] Ist das Trojanische Pferd TR/Spy.Banker.Gen
--> worsock.dll.vir
[FUND] Ist das Trojanische Pferd TR/PSW.Agent.YR
--> wpohl.exe.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48267dd9.qua' verschoben!
C:\Dokumente und Einstellungen\Vias\Desktop\VirtumundoBeGone.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Processor
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '483b7e12.qua' verschoben!
C:\Dokumente und Einstellungen\Vias\Desktop\ComboFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 327882R2FWJFW\nircmd.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.3
--> 327882R2FWJFW\nircmd.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.3
--> 327882R2FWJFW\psexec.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Rmadmin.131072
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48367e24.qua' verschoben!
C:\Programme\Ruhe\Ruhe.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4831801b.qua' verschoben!
C:\Programme\Trillian\Crack.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.NBQ.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '482a8074.qua' verschoben!
C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP375\A0147669.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47fa80f4.qua' verschoben!
C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP376\A0147690.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.DDT.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47fa80f9.qua' verschoben!
C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP376\A0147691.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47fa80fc.qua' verschoben!
C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP377\A0148701.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/Dldr.Small.ieg.4
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47fa8100.qua' verschoben!
C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP378\A0148708.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.ezc.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47fa8104.qua' verschoben!
C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP378\A0148710.exe
[FUND] Ist das Trojanische Pferd TR/Matcash.DLN.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47fa8109.qua' verschoben!
C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP378\A0148733.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47fa810d.qua' verschoben!
C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP378\A0154868.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.alm
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47fa8117.qua' verschoben!
C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP378\A0154869.exe
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.alm
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47fa811b.qua' verschoben!
C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP378\A0154904.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47fa8120.qua' verschoben!
C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP379\A0155120.exe
[FUND] Enthält Erkennungsmuster des SPR/PSWRecover.A-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47fa8131.qua' verschoben!
C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP380\A0155224.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47fa8138.qua' verschoben!
C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP381\A0155232.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Banker.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47fa813b.qua' verschoben!
C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP381\A0155233.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Banker.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47fa813e.qua' verschoben!
C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP381\A0155234.DLL
[FUND] Ist das Trojanische Pferd TR/PSW.Agent.YR
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47fa8143.qua' verschoben!
C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP381\A0155236.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47fa8148.qua' verschoben!
C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP381\A0155274.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47fa814b.qua' verschoben!
C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP383\A0155345.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47fa8151.qua' verschoben!
C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP384\A0155651.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Processor
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47fa817c.qua' verschoben!
C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP384\A0155652.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 327882R2FWJFW\nircmd.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.3
--> 327882R2FWJFW\nircmd.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.3
--> 327882R2FWJFW\psexec.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Rmadmin.131072
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47fa8181.qua' verschoben!
C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP384\A0155654.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47fa8184.qua' verschoben!
C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP384\A0155655.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.NBQ.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47fa8186.qua' verschoben!
C:\QooBox\Quarantine\catchme2008-02-29_185110.77.zip
[0] Archivtyp: ZIP
--> userinfo32.ggt
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
--> userinfo32.ggt.1
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '483d82d7.qua' verschoben!
C:\QooBox\Quarantine\C\d.exe.vir
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.alm
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '482e82a9.qua' verschoben!
C:\QooBox\Quarantine\C\d.exe~.vir
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.alm
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '482e82ac.qua' verschoben!
C:\QooBox\Quarantine\C\wpohl.exe.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '483882f2.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\b152.exe~.vir
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.eso
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47fe82b7.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\b154.exe~.vir
[FUND] Ist das Trojanische Pferd TR/Matcash.DLN
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47fe82bc.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\system32\msvcrtd.exe.vir
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.alm
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '483f8300.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\system32\bnsock.dll.vir
[FUND] Ist das Trojanische Pferd TR/Spy.Banker.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '483c82fd.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\system32\klsock.dll.vir
[FUND] Ist das Trojanische Pferd TR/Spy.Banker.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '499ee0d6.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\system32\worsock.dll.vir
[FUND] Ist das Trojanische Pferd TR/PSW.Agent.YR
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '483b8301.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\system\userinfo32.ggt.vir
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '482e8307.qua' verschoben!
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.
Ende des Suchlaufs: Samstag, 1. März 2008 17:21
Benötigte Zeit: 1:26:10 min
Der Suchlauf wurde vollständig durchgeführt.
5068 Verzeichnisse wurden überprüft
392506 Dateien wurden geprüft
53 Viren bzw. unerwünschte Programme wurden gefunden
5 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
46 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
392453 Dateien ohne Befall
7420 Archive wurden durchsucht
2 Warnungen
0 Hinweise
|
|
01.03.2008, 17:50
| #27 | |
| > MalwareDB | ganz viele trojaner, bitte um hilfe Sorry, aber wenn ich das lese Zitat:
|
|
01.03.2008, 18:11
| #28 |
| | ob es daran liegt? das programm habe ich aber seit monaten nicht mehr benutzt und vorher 3 jahre ohne probleme benutzt. ich machs ja weg wenn du mir das empfiehlst. ich will ja nicht frech werden aber benutzen wir nicht alle mal hin und wieder gecrackte programme... leider habe ich nicht so viel ahnung und hätte es damals vielleicht erkennen sollen das was damit nicht stimmt aber wenn es funktioniert... ich fände es schade wenn du mich an dieser stelle verlässt, hilf mir doch lieber mich auf meine fehler aufmerksam zu machen. sollte es das gewesen sein, dann bedanke ich mich trotzdem für deine tolle unterstützung. hast mir sehr geholfen. |
|
06.03.2008, 09:58
| #29 |
| | noch viren hallo zusammen, hat vielleicht jemand eine andere einstellung und möchte mir helfen? Gruß |
|
| Themen zu ganz viele trojaner, bitte um hilfe |
| ad-aware, adobe, antivir, avg, avira, bho, bitte um hilfe, c:\windows\temp, drivers, excel, explorer, firefox, helfen, helper, hijack, hijackthis, internet, internet explorer, launch, mein log, microsoft security, mozilla, mozilla firefox, pieps, programme, quara, security, security update, software, superantispyware, system, temp, torrent.exe, trojaner, windows, windows xp, windows\temp |
Linear-Darstellung
