| |
| |||||||
Log-Analyse und Auswertung: Lof File nach Trojaner Befall (altvxvm.dll & bokpov.dll)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
16.03.2008, 11:26
| #1 |
 |  Lof File nach Trojaner Befall (altvxvm.dll & bokpov.dll) Hallo, ich lese hier schon länger mit & habe hier vile tolle Tips etc. gefunden. Dafür erstmal Lob & Dank! Nun hat es mich selbst erwischt. Hab mir die viren altvxvm.dll & bokpov.dll eingefangen. Aufgefallen ist mir das Ganze, weil mei S&D Teatimer plötzlich Änderungsversuche der beiden Dateien gemeldet hat. Leider konnte ich die nicht einfach abweisen, weil das Pop-Up mit der S&D Warnung dann immer wieder gekommen ist. Hab Neustart etc. versucht - nützte alles nix. Also hab ich mir gedacht, ich lass das kurz zu und lösch die dann gleich wieder mit Hijack.  Das war wohl nicht so klug denn nach dem Löschen ging das ganze von vorne los (Warnungs Pop-Up).Hab dann erstmal alle Tools die ich so hab ausprobiert (eScan - aber nur free version - also kein "fixen"; AntiVir; AD-Aware....) Haben auch alle brav die Viren gefunden, nur eben endgültig löschen war nicht (wei bei HJ). Nach etwas Googeln hab ich dann "Prevx CSI" (http://www.prevx.com/freescan.asp) gefunden. Hab mir den Free Scanner geloaded und weil der nach dem Sacan angab, das die Full-Version die Probleme beheben könnte hab ich schweren Herzens 12,50 EUR investiert. (Hatte vorher im Chip Forum gelesen das bei bokpov.dll nur Format C: hilft !!! daher waren mir 12,50 lieber  )Wie auch immer, das Ganze scheint tatsächlich funktioniert zu haben. Bei HJ tauchen die .DLL nicht mehr auf. Da ich mich aber nicht so gut auskenne könnte ggf. mal jemand über mein Log schauen: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:58:03, on 16.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\LogMeIn\x86\RaMaint.exe C:\PROGRA~1\MICROS~4\MSSQL\binn\sqlservr.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Sony\VAIO Event Service\VESMgr.exe C:\Programme\Apoint\Apoint.exe C:\Programme\Sony\VAIO Power Management\SPMgr.exe C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\PeerGuardian2\pg2.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\PrevxCSI\PrevxCSI.exe C:\Programme\Apoint\Apntex.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Joe Cool\Eigene Dateien\My Downloads\Utillities\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 212.241.168.186:8080 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\Sony\VAIO Power Management\SPMgr.exe O4 - HKLM\..\Run: [Switcher.exe] C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe O4 - HKLM\..\Run: [VAIO Update 3] "C:\Programme\Sony\VAIO Update 3\VAIOUpdt.exe" /Stationary O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [PeerGuardian] C:\Programme\PeerGuardian2\pg2.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Übertragen mit Image Converter 2 - C:\Programme\Sony\Image Converter 2\menu.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1179999810906 O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/mail/activex/fa_os_mms/upload_1141.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7A5A1957-75F9-4A0F-84E1-F066AD42B81F}: NameServer = 192.168.1.10 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Unknown owner - C:\WINDOWS\system32\bmwebcfg.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Image Converter video recording monitor for VAIO Entertainment - Sony Corporation - C:\Programme\Sony\Image Converter 2\IcVzMon.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Programme\LogMeIn\x86\RaMaint.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AvLib\SSScsiSV.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: VAIO Event Service - Sony Corporation - C:\Programme\Sony\VAIO Event Service\VESMgr.exe O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\VMISrv.exe O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\VmGateway.exe O23 - Service: VAIO Cooporated Initialisation (VCI) - Sony Corporation - C:\Programme\Sony\VAIO Cooperated Initialisation\VCI_SVC.exe O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe -- End of file - 8638 bytes Die fetten Einträge sind mir unbekannt. Vor allem wunderd mich der Proxi-Server - Ich benutze nämlich gar keinen ?!? (hab das auch im I-Explorer gecheckt). Wo kann der Herkommen? Ggf. FTP: Server oder I-Net Gateway? Sieht sonst alles ok aus & gibt es ggf. eine weitere/bessere Möglichkeit zu checken, ob mein System wirklich wieder sauber ist? (Erfolgreich duchlaufen habe ich Antivirus, Ad-Aware, eScan, Prevx CSI, S&D). Danke für Eure Hilfe! |
|
17.03.2008, 08:51
| #3 |
| | Lof File nach Trojaner Befall (altvxvm.dll & bokpov.dll) Hallo,
__________________hier der Combofix Report: ComboFix 08-03-14.4 - Joe Cool 2008-03-17 8:42:25.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.178 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Joe Cool\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G5U0TW0Q\ComboFix[1].exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\Joe Cool\Lokale Einstellungen\Anwendungsdaten\baidu C:\WINDOWS\regedit.com C:\WINDOWS\system32\taskmgr.com . ((((((((((((((((((((((( Dateien erstellt von 2008-02-17 bis 2008-03-17 )))))))))))))))))))))))))))))) . 2008-03-16 12:15 . 2008-03-16 12:15 <DIR> d-------- C:\Programme\CCleaner 2008-03-16 11:36 . 2008-03-16 13:37 0 --a------ C:\23990098.$$$ 2008-03-16 10:29 . 2008-03-16 10:29 <DIR> d-------- C:\Programme\PrevxCSI 2008-03-16 10:29 . 2008-03-16 10:51 <DIR> d-------- C:\Dokumente und Einstellungen\Joe Cool\Anwendungsdaten\PrevxCSI 2008-03-16 10:29 . 2008-03-16 10:43 10,752 --a------ C:\WINDOWS\system32\drivers\pxark.sys 2008-03-16 10:13 . 2008-03-16 10:13 <DIR> d-a------ C:\WINDOWS\zts2.exe 2008-03-16 10:13 . 2008-03-16 10:13 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll 2008-03-16 10:13 . 2008-03-16 10:13 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll 2008-03-16 10:13 . 2008-03-16 10:13 <DIR> d-a------ C:\WINDOWS\rundll16.exe 2008-03-16 10:13 . 2008-03-16 10:13 <DIR> d-a------ C:\WINDOWS\rundl132.dll 2008-03-16 10:13 . 2008-03-16 10:13 <DIR> d-a------ C:\WINDOWS\logo1_.exe 2008-03-16 10:12 . 2004-08-04 13:00 153,600 --a------ C:\WINDOWS\R.COM 2008-03-16 10:12 . 2004-08-04 13:00 140,800 --a------ C:\WINDOWS\system32\T.COM 2008-03-16 10:12 . 2008-03-17 08:30 26 --a------ C:\WINDOWS\Lic.xxx 2008-03-01 12:10 . 2008-03-01 12:10 <DIR> d-------- C:\Dokumente und Einstellungen\Joe Cool\Anwendungsdaten\TuneUp Software 2008-03-01 12:10 . 2008-03-01 12:10 307,968 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe 2008-03-01 12:10 . 2008-02-18 04:32 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll 2008-03-01 12:09 . 2008-03-01 12:09 <DIR> d-------- C:\Programme\TuneUp Utilities 2008 2008-03-01 12:09 . 2008-03-01 12:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software 2008-03-01 12:07 . 2008-03-01 12:07 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-03-01 11:58 . 2008-03-17 08:45 <DIR> d-------- C:\Programme\PeerGuardian2 2008-02-26 11:53 . 2008-02-26 11:53 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Bytemobile 2008-02-25 16:59 . 2008-02-26 09:00 <DIR> d-------- C:\HP_WebRelease 2008-02-25 16:59 . 2008-02-26 09:11 102,006 --a------ C:\WINDOWS\hpoins04.dat 2008-02-25 16:59 . 2004-06-22 04:20 17,218 --------- C:\WINDOWS\hpomdl04.dat 2008-02-25 14:40 . 2008-02-25 17:15 <DIR> d-------- C:\Programme\NAS Utility . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-15 16:16 82,432 ----a-w C:\WINDOWS\system32\IEDFix.exe 2008-03-14 08:09 86,528 ----a-w C:\WINDOWS\system32\VACFix.exe 2008-03-13 10:05 --------- d-----w C:\Programme\Citrix 2008-03-06 17:28 --------- d-----w C:\Dokumente und Einstellungen\Joe Cool\Anwendungsdaten\uTorrent 2008-03-03 15:38 --------- d-----w C:\Programme\VodafoneConnector 2008-03-02 21:28 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Vodafone 2008-02-26 08:08 --------- d-----w C:\Programme\HP 2008-02-25 18:37 --------- d-----w C:\Dokumente und Einstellungen\Joe Cool\Anwendungsdaten\AdobeUM 2008-02-25 16:16 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-02-21 10:22 --------- d-----w C:\Programme\PartyGaming 2008-02-15 12:19 --------- d-----w C:\Dokumente und Einstellungen\Joe Cool\Anwendungsdaten\DivX 2008-02-15 12:18 --------- d-----w C:\Programme\DivX 2008-02-15 12:10 --------- d-----w C:\Programme\Gemeinsame Dateien\Sony Shared 2008-02-15 12:09 --------- d-----w C:\Programme\Sony 2008-02-12 15:00 --------- d-----w C:\Programme\Gemeinsame Dateien\Remote Control Software Common 2008-02-12 14:59 --------- d-----w C:\Programme\Logitech 2008-02-12 14:59 --------- d-----w C:\Programme\Gemeinsame Dateien\Remote Control USB Driver 2008-01-29 10:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Lexware 2008-01-28 21:00 --------- d-----w C:\Programme\Windows Live Toolbar 2008-01-27 09:28 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Live Toolbar 2008-01-27 09:24 --------- d-----w C:\Programme\Windows Defender 2008-01-23 15:39 --------- d-----w C:\Programme\ActiveTraderDE4 2008-01-17 13:48 74,896 ----a-w C:\Dokumente und Einstellungen\Joe Cool\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2008-01-17 10:20 --------- d-----w C:\Programme\InCon 2008-01-17 10:16 --------- d-----w C:\Programme\BpsTables 2008-01-17 10:09 --------- d-----w C:\Programme\JL-Data 2008-01-17 09:31 96 ----a-w C:\WhiteboardsTB.dat 2008-01-17 09:31 96 ----a-w C:\MessageRoomsTB.dat 2008-01-17 09:31 90 ----a-w C:\WhiteboardsAccessTB.dat 2008-01-17 09:31 90 ----a-w C:\MRoomsAccessTB.dat 2008-01-17 09:31 70 ----a-w C:\DeptsTB.dat 2008-01-17 09:31 56 ----a-w C:\UserDeptsTB.dat 2008-01-17 09:31 215 ----a-w C:\StreamListTB.dat 2008-01-17 09:31 163 ----a-w C:\UsersTB.dat 2008-01-17 08:33 --------- d-----w C:\Programme\MSECache 2008-01-04 21:59 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe 2008-01-04 21:58 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll 2008-01-04 21:58 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll 2008-01-04 21:58 129,784 ------w C:\WINDOWS\system32\pxafs.dll 2008-01-04 21:58 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe 2008-01-04 21:58 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe 2008-01-04 21:58 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll 2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll 2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll 2008-01-04 21:57 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll 2008-01-04 21:57 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll 2008-01-04 21:57 682,496 ----a-w C:\WINDOWS\system32\DivX.dll 2008-01-04 21:57 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll 2008-01-04 21:57 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll 2008-01-04 21:57 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll 2008-01-04 21:57 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll 2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll 2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll 2008-01-04 21:57 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll 2008-01-04 21:56 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe 2008-01-04 21:56 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PeerGuardian"="C:\Programme\PeerGuardian2\pg2.exe" [2005-09-18 18:40 1421824] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Apoint"="C:\Programme\Apoint\Apoint.exe" [2003-11-07 09:21 114688] "SonyPowerCfg"="C:\Programme\Sony\VAIO Power Management\SPMgr.exe" [2005-01-14 16:18 184320] "Switcher.exe"="C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe" [2005-01-20 20:24 167936] "VAIO Update 3"="C:\Programme\Sony\VAIO Update 3\VAIOUpdt.exe" [2007-01-25 19:41 546936] "LexwareInfoService"="C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2007-09-25 13:59 532776] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-13 08:23 249896] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-02-17 06:31 5406720] "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-09-21 03:10 55824 C:\WINDOWS\KHALMNPR.Exe] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\SetPoint.exe [2007-12-21 14:02:37 784912] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn] c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll 2007-11-15 10:10 72208 c:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon] VESWinlogon.dll 2006-09-23 15:24 73728 C:\WINDOWS\system32\VESWinlogon.dll [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe "ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start "msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd.exe" "ISBMgr.exe"=C:\Programme\Sony\ISB Utility\ISBMgr.exe "LogMeIn GUI"="C:\Programme\LogMeIn\x86\LogMeInSystray.exe" "ISUSPM Startup"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" "Kernel and Hardware Abstraction Layer"=KHALMNPR.EXE "KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k "SsAAD.exe"=C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe "FaxHook"=C:\SSL\Faxhook\Faxhk32.exe "VAIO Update 2"="C:\Programme\Sony\VAIO Update 2\VAIOUpdt.exe" /Stationary "Windows Defender"="C:\Programme\Windows Defender\MSASCui.exe" -hide [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\uTorrent\\uTorrent.exe"= "C:\\Programme\\PPMate\\ppmate.exe"= "C:\\Programme\\PPMate\\ppamnet.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "C:\\Programme\\Logitech\\Logitech Harmony Remote Software 7\\HarmonyRemote.exe"= R0 pxark;pxark;C:\WINDOWS\system32\drivers\pxark.sys [2008-03-16 10:43] R1 uiwbrdr;uiwbrdr;C:\WINDOWS\system32\DRIVERS\uiwbrdr.sys [2007-03-15 17:37] R2 LMIInfo;LogMeIn Kernel Information Provider;C:\Programme\LogMeIn\x86\RaInfo.sys [2007-09-12 10:21] R2 LMIRfsDriver;LogMeIn Remote File System Driver;C:\WINDOWS\system32\drivers\LMIRfsDriver.sys [2007-09-12 10:20] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 13:00] R3 SPI;Sony Programmable I/O Control Device;C:\WINDOWS\system32\DRIVERS\SonyPI.sys [2002-08-20 03:59] S3 Image Converter video recording monitor for VAIO Entertainment;Image Converter video recording monitor for VAIO Entertainment;C:\Programme\Sony\Image Converter 2\IcVzMon.exe [2005-02-24 13:38] S3 msloop;Microsoft Loopbackadaptertreiber;C:\WINDOWS\system32\DRIVERS\loop.sys [2001-08-17 13:53] S3 TSClient;Tatara Protocol Driver;C:\WINDOWS\system32\drivers\tsclient.sys [] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-03-01 12:10] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp *Newly Created Service* - PGFILTER . Inhalt des "geplante Tasks" Ordners "2008-03-17 07:12:45 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe "2008-03-16 14:57:00 C:\WINDOWS\Tasks\Check Updates for Windows Live Toolbar.job" - C:\Programme\Windows Live Toolbar\MSNTBUP.EXE "2008-03-17 07:15:47 C:\WINDOWS\Tasks\MP Scheduled Scan.job" - C:\Programme\Windows Defender\MpCmdRun.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-17 08:45:35 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-03-17 8:46:28 ComboFix-quarantined-files.txt 2008-03-17 07:46:13 . 2008-02-05 12:33:22 --- E O F --- Alles Ok? (Bete) |
|
17.03.2008, 09:08
| #4 |
| | Lof File nach Trojaner Befall (altvxvm.dll & bokpov.dll) Hier mal ein Auszug aus neuem eScan Report...  17 Mrz 2008 08:58:31 - ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) überprüft ***** 17 Mrz 2008 08:58:31 - Loading Spyware Signatures from new External Database [Name: C:\DOKUME~1\JOECOO~1\LOKALE~1\Temp\spydb.avs, Size: 354592]. 17 Mrz 2008 08:58:35 - Indexed Spyware Databases Successfully Created... 17 Mrz 2008 08:58:36 - Offending Key found: HKCU\Software\kazaa !!! 17 Mrz 2008 09:00:11 - Objekt "kazaa Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. 17 Mrz 2008 09:00:13 - Offending file found: C:\WINDOWS\system32\pmuninst.exe 17 Mrz 2008 09:00:13 - System found infected with w32.myzor.fk@yf Trojan (pmuninst.exe)! Action taken: Keine Maßnahme ergriffen. 17 Mrz 2008 09:00:13 - Offending file found: C:\WINDOWS\system32\process.exe 17 Mrz 2008 09:00:13 - System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Maßnahme ergriffen. 17 Mrz 2008 09:00:13 - Offending file found: C:\WINDOWS\system32\swreg.exe 17 Mrz 2008 09:00:13 - System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Maßnahme ergriffen. 17 Mrz 2008 09:00:13 - Offending file found: C:\WINDOWS\system32\swsc.exe 17 Mrz 2008 09:00:13 - System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Maßnahme ergriffen. 17 Mrz 2008 09:00:15 - Offending Folder found: C:\Dokumente und Einstellungen\Joe Cool\Anwendungsdaten\sopcast\adv 17 Mrz 2008 09:00:15 - Objekt "titanshield antispyware Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. 17 Mrz 2008 09:00:26 - Offending file found: C:\Dokumente und Einstellungen\Joe Cool\Eigene Dateien\my downloads\utillities\smitfraudfix\process.exe 17 Mrz 2008 09:00:26 - System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Maßnahme ergriffen. 17 Mrz 2008 09:00:26 - Offending file found: C:\Dokumente und Einstellungen\Joe Cool\Eigene Dateien\my downloads\utillities\smitfraudfix\reboot.exe 17 Mrz 2008 09:00:26 - System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Maßnahme ergriffen. 17 Mrz 2008 09:00:26 - Offending file found: C:\Dokumente und Einstellungen\Joe Cool\Eigene Dateien\my downloads\utillities\smitfraudfix\swreg.exe 17 Mrz 2008 09:00:26 - System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Maßnahme ergriffen. 17 Mrz 2008 09:00:26 - Offending file found: C:\Dokumente und Einstellungen\Joe Cool\Eigene Dateien\my downloads\utillities\smitfraudfix\swsc.exe 17 Mrz 2008 09:00:26 - System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Maßnahme ergriffen. 17 Mrz 2008 09:00:27 - Offending file found: C:\Dokumente und Einstellungen\Joe Cool\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\1.dat 17 Mrz 2008 09:00:27 - System found infected with wareout Adware (1.dat)! Action taken: Keine Maßnahme ergriffen. 17 Mrz 2008 09:00:27 - Offending file found: C:\Dokumente und Einstellungen\Joe Cool\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\2.dat 17 Mrz 2008 09:00:27 - System found infected with wareout Adware (2.dat)! Action taken: Keine Maßnahme ergriffen. 17 Mrz 2008 09:00:28 - Offending file found: C:\Dokumente und Einstellungen\Joe Cool\Lokale Einstellungen\temporary internet files\content.ie5\c961cgc5\owacolors[1].css 17 Mrz 2008 09:00:28 - System found infected with whenu.savenow Spyware/Adware (owacolors[1].css)! Action taken: Keine Maßnahme ergriffen. 17 Mrz 2008 09:00:28 - Offending file found: C:\Dokumente und Einstellungen\Joe Cool\Lokale Einstellungen\temporary internet files\content.ie5\yu08lmuf\owastyle[1].css 17 Mrz 2008 09:00:28 - System found infected with whenu.savenow Spyware/Adware (owastyle[1].css)! Action taken: Keine Maßnahme ergriffen. 17 Mrz 2008 09:00:28 - Offending file found: C:\Dokumente und Einstellungen\Joe Cool\Lokale Einstellungen\temporary internet files\content.ie5\yu08lmuf\style30[1].css 17 Mrz 2008 09:00:28 - System found infected with whenu.savenow Spyware/Adware (style30[1].css)! Action taken: Keine Maßnahme ergriffen. 17 Mrz 2008 09:00:28 - Offending file found: C:\Dokumente und Einstellungen\Joe Cool\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\1.dat 17 Mrz 2008 09:00:28 - System found infected with wareout Adware (1.dat)! Action taken: Keine Maßnahme ergriffen. 17 Mrz 2008 09:00:28 - Offending file found: C:\Dokumente und Einstellungen\Joe Cool\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\2.dat 17 Mrz 2008 09:00:28 - System found infected with wareout Adware (2.dat)! Action taken: Keine Maßnahme ergriffen. 17 Mrz 2008 09:00:28 - Offending file found: C:\Dokumente und Einstellungen\Joe Cool\Lokale Einstellungen\Temporary Internet Files\content.ie5\c961cgc5\owacolors[1].css 17 Mrz 2008 09:00:28 - System found infected with whenu.savenow Spyware/Adware (owacolors[1].css)! Action taken: Keine Maßnahme ergriffen. 17 Mrz 2008 09:00:28 - Offending file found: C:\Dokumente und Einstellungen\Joe Cool\Lokale Einstellungen\Temporary Internet Files\content.ie5\yu08lmuf\owastyle[1].css 17 Mrz 2008 09:00:28 - System found infected with whenu.savenow Spyware/Adware (owastyle[1].css)! Action taken: Keine Maßnahme ergriffen. 17 Mrz 2008 09:00:28 - Offending file found: C:\Dokumente und Einstellungen\Joe Cool\Lokale Einstellungen\Temporary Internet Files\content.ie5\yu08lmuf\style30[1].css 17 Mrz 2008 09:00:28 - System found infected with whenu.savenow Spyware/Adware (style30[1].css)! Action taken: Keine Maßnahme ergriffen. 17 Mrz 2008 09:00:34 - Offending file found: C:\Dokumente und Einstellungen\Joe Cool\Eigene Dateien\my downloads\utillities\smitfraudfix\process.exe 17 Mrz 2008 09:00:34 - System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Maßnahme ergriffen. 17 Mrz 2008 09:00:34 - Offending file found: C:\Dokumente und Einstellungen\Joe Cool\Eigene Dateien\my downloads\utillities\smitfraudfix\reboot.exe 17 Mrz 2008 09:00:34 - System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Maßnahme ergriffen. 17 Mrz 2008 09:00:34 - Offending file found: C:\Dokumente und Einstellungen\Joe Cool\Eigene Dateien\my downloads\utillities\smitfraudfix\swreg.exe 17 Mrz 2008 09:00:34 - System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Maßnahme ergriffen. 17 Mrz 2008 09:00:34 - Offending file found: C:\Dokumente und Einstellungen\Joe Cool\Eigene Dateien\my downloads\utillities\smitfraudfix\swsc.exe 17 Mrz 2008 09:00:34 - System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Maßnahme ergriffen. 17 Mrz 2008 09:00:34 - Offending Registry Entry found: hkey_local_machine\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com 17 Mrz 2008 09:00:34 - System found infected with mirar Spyware/Adware (hkey_local_machine\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com)! Action taken: Keine Maßnahme ergriffen. 17 Mrz 2008 09:00:36 - Checking MountPoints2 Registry Key... 17 Mrz 2008 09:00:36 - Checking CLSID Reference Entries... 17 Mrz 2008 09:00:38 - Checking Module Usage Entries... 17 Mrz 2008 09:00:38 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\Downloaded Program Files\popcaploader.dll". Maßnahme ergriffen: Keine Maßnahme ergriffen. 17 Mrz 2008 09:00:38 - Checking User Trusted External App Entries... 17 Mrz 2008 09:00:39 - Checking Shared DLL Entries... 17 Mrz 2008 09:00:51 - Checking Installer Entries... 17 Mrz 2008 09:00:53 - Checking Shared Tools Entries... 17 Mrz 2008 09:00:53 - Eintrag "HKLM\Software\Microsoft\Shared Tools\DAO" verweist auf das ungültige Objekt "C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO". Maßnahme ergriffen: Keine Maßnahme ergriffen. Was nu? Würde die eScan vollversion das alles säubern können? Gibt es kostenlose / billigere Alternativen? Bitte helft mir. |
|
17.03.2008, 10:16
| #5 |
| | Lof File nach Trojaner Befall (altvxvm.dll & bokpov.dll) Kann denn keiner helfen? Ich arbeite täglich mit dem Laptop und muss mich eigentlch per remote access (Terminal Server) auf den Rechner meiner Firma einloggen. Davor hab ich nun natürlich Angst.  Würde ja in die Vollversion von eScan investieren, wenn ich denn Gewissheit hätte, das dadurch alles gefixt werden kann Alternativ könnte ich eine 30 Tage Vollversion von McAfee bekommen - meint Ihr damit hab ich Erfolg? (Antivir, S&D, Ad-Aware haben ja leider nix gefunden) |
|
17.03.2008, 10:26
| #6 |
  | Lof File nach Trojaner Befall (altvxvm.dll & bokpov.dll) Hallo, otmoveIt OTMoveIt by OldTimer ffne: OTMoveIt.exe Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of Files/Folders to be Move Code:
ATTFilter C:\WINDOWS\zts2.exe
C:\WINDOWS\system32\vcmgcd32.dll
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\rundl132.dll
C:\WINDOWS\logo1_.exe
C:\WINDOWS\R.COM
C:\WINDOWS\system32\T.COM
C:\WINDOWS\Lic.xxx
poste das Lo, was erscheint (Löschlog) »» scanne mit F-secure/Onlinescan + poste den report Online Virenscanner
__________________ --> Lof File nach Trojaner Befall (altvxvm.dll & bokpov.dll) |
|
| Themen zu Lof File nach Trojaner Befall (altvxvm.dll & bokpov.dll) |
| adobe, antivir, antivirus, avira, bho, converter, defender, einstellungen, format, ftp, helper, hijackthis, immer wieder, internet, internet explorer, lexware, mein log, monitor, mssql, object, pop-up, rundll, shockwave, software, solution, system, trojaner, trojaner befall, tuneup.defrag, viren, warnung, windows, windows defender, windows xp |
Hybrid-Darstellung
