![]() |
|
Plagegeister aller Art und deren Bekämpfung: Trojaner Killav.NT auf Vista PC gefunden! Bitte Hilfe zum entfernen!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
![]() | ![]() Trojaner Killav.NT auf Vista PC gefunden! Bitte Hilfe zum entfernen! Hallo erstmal! Der Antivirguard hat heute nach dem öffnen von "Systemsteuerung->Programme und Funktionen" einen Virus-Alarm angezeigt. Es wurde das Trojanische Pferd Killav.NT gefunden. Pfad: C:\Program Files\Vimicro Corporation\VMC302\DriverBackup\killbill.exe Komischer Weise ist dieser Ordner auf C:\ nicht zu finden obwohl "alle Dateien anzeigen" aktiviert ist. Diese Meldung kommt immer wenn "Systemsteuerung->Programme und Funktionen" geöffnet wird. System: Samsung Q45 Windows Vista Home Premium 32 Bit Intel Core 2 Duo T7250 2046 MB RAM Hier noch das LOG-File des kompletten Systemscans mit Antivir und Hijackthis AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Mittwoch, 2. April 2008 12:27 Es wird nach 1174697 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows Vista Windowsversion: (plain) [6.0.6000] Benutzername: SYSTEM Computername: **** Versionsinformationen: BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 13:16:24 AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 15:48:28 LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 15:32:43 LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 15:49:04 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15 ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 11:29:07 ANTIVIR2.VDF : 7.0.3.85 434176 Bytes 27.03.2008 10:21:44 ANTIVIR3.VDF : 7.0.3.107 90624 Bytes 02.04.2008 10:21:44 AVEWIN32.DLL : 7.6.0.78 3408384 Bytes 02.04.2008 10:21:45 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 10:36:23 AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 07:16:50 AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24 AVPACK32.DLL : 7.6.0.3 360488 Bytes 17.01.2008 12:51:09 AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 07:17:02 AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 12:26:28 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 07:10:14 NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 11:09:03 RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.08.2007 12:37:51 RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 12:50:28 SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 09:37:21 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: d:\program files\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: D:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Mittwoch, 2. April 2008 12:27 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'conime.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dmhkcore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MagicDoctorKbdHk.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BTStackServer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SLUBackgroundService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ClipInc-Server.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ClipInc-Server.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ClipInc-Server.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ClipInc-Server.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ClipInc-Server.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ClipInc-Server.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ClipIncTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ClipInc-Server.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EasySpeedUpManager.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EasyBatteryMgr3.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '61' Prozesse mit '61' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'D:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '12' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Program Files\Vimicro Corporation\VMC302\DriverBackup\killbill.exe [FUND] Ist das Trojanische Pferd TR/Killav.NT [WARNUNG] Die Datei wurde ignoriert. Beginne mit der Suche in 'D:\' Ende des Suchlaufs: Mittwoch, 2. April 2008 13:45 Benötigte Zeit: 1:18:22 min Der Suchlauf wurde vollständig durchgeführt. 11579 Verzeichnisse wurden überprüft 266188 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 266187 Dateien ohne Befall 1855 Archive wurden durchsucht 2 Warnungen 5 Hinweise Logfile of HijackThis v1.99.1 Scan saved at 14:00:21, on 02.04.2008 Platform: Unknown Windows (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16609) Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe C:\Windows\Explorer.EXE C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe C:\Program Files\Windows Defender\MSASCui.exe C:\Windows\System32\rundll32.exe C:\Windows\RtHDVCpl.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Windows\System32\rundll32.exe C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe C:\Windows\ehome\ehtray.exe C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe C:\Windows\system32\conime.exe D:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Users\Maria\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O1 - Hosts: ::1 localhost O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ClipIncSrvTray] "D:\Programme\Tobit ClipInc\Player\ClipIncTray.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Program Files\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Program Files\ICQ6\ICQ.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll O11 - Options group: [INTERNATIONAL] International* O13 - Gopher Prefix: O17 - HKLM\System\CCS\Services\Tcpip\..\{4312DE2E-0E64-45FA-800E-405ECE5B510D}: NameServer = 217.237.151.51,217.237.149.205 O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: ClipInc 003 (ClipInc003) - Unknown owner - D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: ClipInc 004 (ClipInc004) - Unknown owner - D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: ClipInc 005 (ClipInc005) - Unknown owner - D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: ClipInc 006 (ClipInc006) - Unknown owner - D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: ClipInc 007 (ClipInc007) - Unknown owner - D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing) O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing) O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing) O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing) Bitte um Hilfe zwecks enfernen oder ist es vielleicht ein Fehlarlam!?! Danke schon mal im Voraus! |
![]() | #2 |
Gast | ![]() Trojaner Killav.NT auf Vista PC gefunden! Bitte Hilfe zum entfernen! hi meckie und Herzlich Willkommen
__________________Das es eine Fehlmeldung ist kann ich mir nur schlecht vorstellen, also dieser Trojaner kann relativ schädlich sein. Ganz kurze Beschreibung: Also er kann AntiViren Programme ausschalten, systemabhängige dateien verändern, er kann auch weitere Malware auf dein System laden oder auch einfach persönliche Daten von dir ausspionieren ![]() Bitte lasse einmal ComboFix (findest du in meiner Signatur) laufen. Vorher aberCCleaner benutzen. Das Logfile bitte posten ![]() Bitte wende auch einmal Malwarebytes an. (Report posten) Bitte die infizierte Datein einmal hier oder hier online scannen lassen. (report posten) |
![]() | #3 |
![]() | ![]() Trojaner Killav.NT auf Vista PC gefunden! Bitte Hilfe zum entfernen! Danke für die Hilfe!
__________________Malwarebytes' Anti-Malware 1.10 Datenbank Version: 583 Scan Art: Komplett Scan (C:\|D:\|) Objekte gescannt: 107561 Scan Dauer: 22 minute(s), 4 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\Typelib\{50ccd00a-66b6-4d95-aaef-8ee959498f92} (Trojan.FakeAlert) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Classes\stfngdvw.1 (Trojan.FakeAlert) -> No action taken. Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: (Keine Malware Objekte gefunden) |
![]() | #4 |
![]() | ![]() Trojaner Killav.NT auf Vista PC gefunden! Bitte Hilfe zum entfernen! Die Onlinescans kann ich leider nicht machen weil ich die datei bzw. das verzeichnis, in dem antivir den trojaner entdeckt hat, nicht sehen bzw. finden kann. ComboFix 08-04-01.2 - ******* 2008-04-02 20:59:46.1 - NTFSx86 Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1031.18.1282 [GMT 2:00] ausgeführt von:: D:\Downloads\ComboFix.exe . Weitere Löschungen . C:\Windows\msetup C:\Windows\msetup\BASW-00500A10\Install.exe C:\Windows\msetup\BASW-00500A10\install.ini C:\Windows\msetup\BASW-00500A10\setup.exe C:\Windows\msetup\BASW-00500A10\SWDesc.txt C:\Windows\msetup\MSetup.exe . Dateien erstellt von 2008-03-02 bis 2008-04-02 2008-04-02 11:30 . 2008-04-02 11:30 <DIR> d-------- C:\Users\******\AppData\Roaming\Canon 2008-04-02 11:27 . 2008-04-02 11:27 <DIR> d-------- C:\Users\*******\AppData\Roaming\ScanSoft 2008-04-02 11:27 . 2008-04-02 11:46 <DIR> d-------- C:\Users\All Users\ScanSoft 2008-04-02 11:27 . 2008-04-02 11:27 <DIR> d-------- C:\Users\All Users\InstallShield 2008-04-02 11:27 . 2008-04-02 11:46 <DIR> d-------- C:\ProgramData\ScanSoft 2008-04-02 11:27 . 2008-04-02 11:27 <DIR> d-------- C:\ProgramData\InstallShield 2008-04-02 11:17 . 2008-04-02 11:17 <DIR> d--h----- C:\Windows\System32\CanonIJ Uninstaller Information 2008-04-02 11:17 . 2008-04-02 11:17 <DIR> d--h----- C:\Program Files\CanonBJ 2008-04-02 11:16 . 2008-04-02 11:45 <DIR> d-------- C:\Program Files\Canon 2008-04-02 11:15 . 2008-04-02 11:15 <DIR> d--h----- C:\Users\All Users\CanonBJ 2008-04-02 11:15 . 2008-04-02 11:15 <DIR> d--h----- C:\ProgramData\CanonBJ 2008-04-02 11:14 . 2006-03-26 22:00 161,792 --a------ C:\Windows\System32\CNMLM82.DLL 2008-03-23 20:53 . 2008-03-24 19:11 <DIR> d-------- C:\Users\*******\AppData\Roaming\Command & Conquer 3 Tiberium Wars Demo 2008-03-23 20:31 . 2008-03-23 20:31 <DIR> d-------- C:\Users\*******\AppData\Roaming\Command & Conquer 3 Tiberium Wars Demo 2008-03-23 20:24 . 2008-03-05 16:56 3,786,760 --a------ C:\Windows\System32\D3DX9_37.dll 2008-03-23 20:24 . 2008-03-05 16:56 1,420,824 --a------ C:\Windows\System32\D3DCompiler_37.dll 2008-03-23 20:24 . 2007-10-12 16:14 1,374,232 --a------ C:\Windows\System32\D3DCompiler_36.dll 2008-03-23 20:24 . 2008-03-05 17:03 479,752 --a------ C:\Windows\System32\XAudio2_0.dll 2008-03-23 20:24 . 2008-02-06 00:07 462,864 --a------ C:\Windows\System32\d3dx10_37.dll 2008-03-23 20:24 . 2007-10-02 10:56 444,776 --a------ C:\Windows\System32\d3dx10_36.dll 2008-03-23 20:24 . 2007-10-22 04:39 267,272 --a------ C:\Windows\System32\xactengine2_10.dll 2008-03-23 20:24 . 2008-03-05 17:03 238,088 --a------ C:\Windows\System32\xactengine3_0.dll 2008-03-23 20:24 . 2008-03-05 17:00 25,608 --a------ C:\Windows\System32\X3DAudio1_3.dll 2008-03-23 20:06 . 2008-03-23 20:06 <DIR> d-------- C:\Program Files\Electronic Arts 2008-03-23 17:35 . 2008-03-23 17:35 <DIR> d-------- C:\Users\*******\AppData\Roaming\Zylom 2008-03-12 12:31 . 2008-03-19 14:48 <DIR> d-------- C:\Users\*******\AppData\Roaming\teamspeak2 2008-03-12 10:41 . 2007-12-17 00:50 1,060,920 --a------ C:\Windows\System32\drivers\ntfs.sys 2008-03-12 10:41 . 2007-12-16 11:56 41,984 --a------ C:\Windows\System32\drivers\monitor.sys 2008-03-11 17:28 . 2008-03-11 17:28 <DIR> d-------- C:\Users\*******\AppData\Roaming\teamspeak2 2008-03-11 17:28 . 2008-03-11 17:28 34,064 --a------ C:\Windows\System32\lhacm.acm 2008-03-11 17:27 . 2008-03-11 17:28 <DIR> d-------- C:\Program Files\Teamspeak2_RC2 2008-03-05 11:43 . 2008-03-05 12:01 <DIR> d-------- C:\Program Files\Common Files\Blizzard Entertainment 2008-03-03 19:01 . 2008-03-23 17:36 <DIR> d-------- C:\Users\All Users\Zylom 2008-03-03 19:01 . 2008-03-23 17:36 <DIR> d-------- C:\ProgramData\Zylom . Find3M Bericht . 2008-04-02 12:30 27,335 ----a-w C:\Users\*******\AppData\Roaming\nvModes.dat 2008-04-02 09:27 --------- d-----w C:\Program Files\Common Files\InstallShield 2008-03-28 12:22 --------- d-----w C:\Users\*******\AppData\Roaming\Azureus 2008-03-23 18:33 27,905 ----a-w C:\Users\*******\AppData\Roaming\nvModes.dat 2008-03-23 18:05 --------- d-----w C:\Program Files\Java 2008-03-12 15:07 --------- d-----w C:\Program Files\Windows Mail 2008-03-03 15:55 1,538,824 ----a-w C:\Windows\CISUnins.exe 2008-03-03 15:55 1,538,824 ----a-w C:\Windows\CICUnins.exe 2008-03-01 20:39 --------- d-----w C:\Users\*******\AppData\Roaming\ICQ 2008-02-13 15:07 194,560 ----a-w C:\Windows\System32\WebClnt.dll 2008-02-13 15:07 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys 2008-02-13 15:04 45,112 ----a-w C:\Windows\system32\drivers\pciidex.sys 2008-02-13 15:04 3,504,696 ----a-w C:\Windows\System32\ntkrnlpa.exe 2008-02-13 15:04 3,470,392 ----a-w C:\Windows\System32\ntoskrnl.exe 2008-02-13 15:04 21,560 ----a-w C:\Windows\system32\drivers\atapi.sys 2008-02-13 15:04 17,464 ----a-w C:\Windows\system32\drivers\intelide.sys 2008-02-13 15:04 154,624 ----a-w C:\Windows\system32\drivers\nwifi.sys 2008-02-13 15:04 109,624 ----a-w C:\Windows\system32\drivers\ataport.sys 2008-02-13 15:03 803,328 ----a-w C:\Windows\system32\drivers\tcpip.sys 2008-02-13 15:03 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll 2008-02-13 15:03 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll 2008-02-13 15:03 4,247,552 ----a-w C:\Windows\System32\GameUXLegacyGDFs.dll 2008-02-13 15:03 24,064 ----a-w C:\Windows\System32\netcfg.exe 2008-02-13 15:03 22,016 ----a-w C:\Windows\System32\netiougc.exe 2008-02-13 15:03 216,632 ----a-w C:\Windows\system32\drivers\netio.sys 2008-02-13 15:03 2,144,256 ----a-w C:\Windows\AppPatch\AcGenral.dll 2008-02-13 15:03 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll 2008-02-13 15:03 167,424 ----a-w C:\Windows\System32\tcpipcfg.dll 2008-02-13 15:03 1,686,528 ----a-w C:\Windows\System32\gameux.dll 2008-02-13 15:01 824,832 ----a-w C:\Windows\System32\wininet.dll 2008-02-13 15:01 56,320 ----a-w C:\Windows\System32\iesetup.dll 2008-02-13 15:01 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll 2008-02-13 15:01 26,624 ----a-w C:\Windows\System32\ieUnatt.exe 2008-01-10 05:50 1,244,672 ----a-w C:\Windows\System32\mcmde.dll 2008-01-09 15:39 11,776 ----a-w C:\Windows\System32\sbunattend.exe 2007-11-11 13:17 174 --sha-w C:\Program Files\desktop.ini . Autostart Punkte der Registrierung . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-09-26 02:05 1006264] "NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-05-23 08:35 86016] "NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-05-23 08:35 8433664] "NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-05-23 08:35 81920] "RtHDVCpl"="RtHDVCpl.exe" [2007-03-15 01:50 4399104 C:\Windows\RtHDVCpl.exe] "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2007-02-07 04:17 839680] "RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 08:10 56928] "LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 15:55 54832] "avgnt"="D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-12 00:25 249896] "ClipIncSrvTray"="D:\Programme\Tobit ClipInc\Player\ClipIncTray.exe" [2008-01-10 19:42 434176] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "NoHotStart"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules] "TCP Query User{2B0D1C36-16BE-44C1-BC12-6537855CB3DA}D:\\program files\\icq6\\icq.exe"= UDP:D:\program files\icq6\icq.exe:ICQ Library "UDP Query User{EC6D2111-7982-47DB-B5BD-1812C3712948}D:\\program files\\icq6\\icq.exe"= TCP:D:\program files\icq6\icq.exe:ICQ Library "TCP Query User{95CFB972-5903-434D-9C03-542D713F719E}D:\\programme\\tobit clipinc\\player\\clipinc-player.exe"= UDP:D:\programme\tobit clipinc\player\clipinc-player.exe:ClipInc. Player "UDP Query User{36E02A33-DCE8-40CB-8D9A-49ABC5030CD6}D:\\programme\\tobit clipinc\\player\\clipinc-player.exe"= TCP:D:\programme\tobit clipinc\player\clipinc-player.exe:ClipInc. Player "TCP Query User{032298EF-A9BB-46A9-9E34-7E18E9708B7D}D:\\program files\\azureus\\azureus.exe"= UDP:D:\program files\azureus\azureus.exe:Azureus "UDP Query User{3D4C9986-0476-4152-A291-E1AEABF6519C}D:\\program files\\azureus\\azureus.exe"= TCP:D:\program files\azureus\azureus.exe:Azureus "TCP Query User{248DD9CA-81FB-4A1A-8287-C60E29FF9D9B}D:\\downloads\\wow-burningcrusade-dede-installer-downloader.exe"= UDP:D:\downloads\wow-burningcrusade-dede-installer-downloader.exe:Blizzard Downloader "UDP Query User{7FCDFF4F-0A5F-46AA-B6E4-DA22C3A376FA}D:\\downloads\\wow-burningcrusade-dede-installer-downloader.exe"= TCP:D:\downloads\wow-burningcrusade-dede-installer-downloader.exe:Blizzard Downloader "TCP Query User{DFAA826C-CD78-4C56-9515-36599BB7F3E5}D:\\downloads\\wow-dede-installer-downloader(2).exe"= UDP:D:\downloads\wow-dede-installer-downloader(2).exe:Blizzard Downloader "UDP Query User{DB8A9307-6EF4-46B5-B9A6-09B4A8752DA0}D:\\downloads\\wow-dede-installer-downloader(2).exe"= TCP:D:\downloads\wow-dede-installer-downloader(2).exe:Blizzard Downloader "TCP Query User{7139B4D3-74A7-4CAE-A3A4-3630131C051B}D:\\downloads\\wow-burningcrusade-dede-installer-downloader(2).exe"= UDP:D:\downloads\wow-burningcrusade-dede-installer-downloader(2).exe:Blizzard Downloader "UDP Query User{0853D1BF-0554-4EF4-8F68-0B6ACFA05DCC}D:\\downloads\\wow-burningcrusade-dede-installer-downloader(2).exe"= TCP:D:\downloads\wow-burningcrusade-dede-installer-downloader(2).exe:Blizzard Downloader "TCP Query User{E152FFEC-CA94-460C-8154-7F20F304AEAB}D:\\downloads\\wow-dede-installer-downloader(3).exe"= UDP:D:\downloads\wow-dede-installer-downloader(3).exe:Blizzard Downloader "UDP Query User{E5470AA3-169E-4078-B85B-469E3AC6DFF4}D:\\downloads\\wow-dede-installer-downloader(3).exe"= TCP:D:\downloads\wow-dede-installer-downloader(3).exe:Blizzard Downloader "TCP Query User{3BC2AA92-A856-44CD-A458-3904D6156DB5}D:\\downloads\\wow-dede-installer-downloader(4).exe"= UDP:D:\downloads\wow-dede-installer-downloader(4).exe:Blizzard Downloader "UDP Query User{A9EC7C1D-1C74-4641-86C9-BC59F8C62BB1}D:\\downloads\\wow-dede-installer-downloader(4).exe"= TCP:D:\downloads\wow-dede-installer-downloader(4).exe:Blizzard Downloader "TCP Query User{56814CAA-D469-4E48-B2B6-9249301DBC3A}D:\\downloads\\wow-burningcrusade-dede-installer-downloader.exe"= UDP:D:\downloads\wow-burningcrusade-dede-installer-downloader.exe:Blizzard Downloader "UDP Query User{89A68961-46EA-4C18-BC30-1E67C69F5927}D:\\downloads\\wow-burningcrusade-dede-installer-downloader.exe"= TCP:D:\downloads\wow-burningcrusade-dede-installer-downloader.exe:Blizzard Downloader "TCP Query User{81A6D3E8-B8E9-41D3-BB3B-9C0482B0E05E}D:\\program files\\icq6\\icq.exe"= UDP:D:\program files\icq6\icq.exe:ICQ Library "UDP Query User{F22287B6-3550-4350-91E7-AEB2C124FC84}D:\\program files\\icq6\\icq.exe"= TCP:D:\program files\icq6\icq.exe:ICQ Library "TCP Query User{C15C5E74-2C65-42B4-98BC-E0AF8222EA26}D:\\programme\\world of warcraft\\backgrounddownloader.exe"= UDP:D:\programme\world of warcraft\backgrounddownloader.exe:Blizzard Downloader "UDP Query User{93CDA4B1-D42E-439A-B9F2-637FD02E7CEC}D:\\programme\\world of warcraft\\backgrounddownloader.exe"= TCP:D:\programme\world of warcraft\backgrounddownloader.exe:Blizzard Downloader "TCP Query User{927266F1-98E0-4D6D-A253-EE69645FA5F1}D:\\programme\\world of warcraft\\repair.exe"= UDP:D:\programme\world of warcraft\repair.exe:Blizzard Repair Utility "UDP Query User{CF832AC3-0B34-4B6D-B4FE-9EB4E4981DA8}D:\\programme\\world of warcraft\\repair.exe"= TCP:D:\programme\world of warcraft\repair.exe:Blizzard Repair Utility "TCP Query User{557221C3-1C53-4000-9FB0-42122C3CB4B6}D:\\programme\\world of warcraft\\wow-2.3.3.7799-to-2.4.0.8089-dede-downloader.exe"= UDP:D:\programme\world of warcraft\wow-2.3.3.7799-to-2.4.0.8089-dede-downloader.exe:Blizzard Downloader "UDP Query User{9AB49DCB-0394-49DF-B155-EA060590B72A}D:\\programme\\world of warcraft\\wow-2.3.3.7799-to-2.4.0.8089-dede-downloader.exe"= TCP:D:\programme\world of warcraft\wow-2.3.3.7799-to-2.4.0.8089-dede-downloader.exe:Blizzard Downloader [HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System] "DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic| R2 ClipInc001;ClipInc 001;D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 001 [] R2 ClipInc002;ClipInc 002;D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 002 [] R2 ClipInc003;ClipInc 003;D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 003 [] R2 ClipInc004;ClipInc 004;D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 004 [] R2 ClipInc005;ClipInc 005;D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 005 [] R2 ClipInc006;ClipInc 006;D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 006 [] R2 ClipInc007;ClipInc 007;D:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 007 [] R2 KMDFMEMIO;SAMSUNG Kernel Driver;C:\Windows\system32\DRIVERS\kmdfmemio.sys [2006-11-14 02:11] R3 btwaudio;Bluetooth-Audiogerät;C:\Windows\system32\drivers\btwaudio.sys [2006-12-20 21:08] R3 btwavdt;Bluetooth AVDT Service;C:\Windows\system32\drivers\btwavdt.sys [2006-12-20 21:04] R3 btwrchid;btwrchid;C:\Windows\system32\DRIVERS\btwrchid.sys [2006-12-20 21:07] R3 VMC302;Vimicro Camera Service VMC302;C:\Windows\system32\Drivers\VMC302.sys [2007-10-17 16:48] R3 yukonwlh;NDIS6.0 Miniport Driver for Marvell Yukon Ethernet Controller;C:\Windows\system32\DRIVERS\yk60x86.sys [2006-11-15 19:12] S3 NETw2v32;Intel(R) PRO/Wireless 2915ABG Network Connection Driver for Windows Vista;C:\Windows\system32\DRIVERS\NETw2v32.sys [2006-11-02 09:30] S3 R300;R300;C:\Windows\system32\DRIVERS\atikmdag.sys [2006-11-02 09:36] S3 SQLWriter;SQL Server VSS Writer;"C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe" [2006-04-14 03:04] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] bthsvcs REG_MULTI_SZ BthServ . Inhalt des "geplante Tasks" Ordners "2008-04-02 08:40:09 C:\Windows\Tasks\User_Feed_Synchronization-{9C268030-B79E-4802-A26B-05DD5327AA1A}.job" - C:\Windows\system32\msfeedssync.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://w**.gmer.net Rootkit scan 2008-04-02 21:00:54 Windows 6.0.6000 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-04-02 21:01:13 ComboFix-quarantined-files.txt 2008-04-02 19:01:11 7 Verzeichnis(se), 10,610,475,008 Bytes frei 15 Verzeichnis(se), 10,583,334,912 Bytes frei . 2008-04-02 15:06:08 --- E O F --- |
![]() | #5 |
Gast | ![]() Trojaner Killav.NT auf Vista PC gefunden! Bitte Hilfe zum entfernen! Hast du es auch mal mit der Option alle verstecken Ordner und Verzeichnisse anzeigen versucht?? Wenn du nicht weisst wie, also: du gehst auf deinen Arbeitsplatz danach auf Extras, Ordneroptionen, Ansicht und scrollst etwas nach unten dort siehst du dann "Alle Ordner und Dateien anzeigen" bitte dieses anwählen und schauen ob die die Datein doch nicht findest ![]() |
![]() | #6 |
![]() | ![]() Trojaner Killav.NT auf Vista PC gefunden! Bitte Hilfe zum entfernen! Ok ich guck nochmal nach aber "versteckte und systemdateien anzeigen" hab ich schon aktiviert gehabt und ich sehe auch die üblichen versteckten dateien aber halt weder das verzeichniss noch die datei, auch bei einer suche nach der vermeintlichen killbill.exe bekomme ich kein ergebnis. Es besteht doch bestimmt die möglichkeit, dass das schadprogramm in der lage ist sich selbst zu tarnen oder? Oder es ist wirklich ein Fehlalarm!?! Was sagen denn die Log's aus, ist dort irgendwas ungewöhnliches zu erkennen? Ich bin dort nicht so bewandert aber möchte behaupten, dass das ok aussieht.... Bis jetzt hat sich der Trojaner auch noch nicht bemerkbar gemacht, einzig das notebook arbeitet ein wenig langsamer als sonst aber das kann auch einbildung meinerseits sein. Mach es sinn mal einen Portscan zu machen, ob der Trojaner heimlich Ports geöffnet und Dienste gestartet hat? gruß Meckie |
![]() |
Themen zu Trojaner Killav.NT auf Vista PC gefunden! Bitte Hilfe zum entfernen! |
0 bytes, adobe, agere systems, audiodg.exe, avg, avgnt.exe, avira, bho, defender, desktop, dwm.exe, entfernen, excel, firefox, helper, hijack, home, internet, internet explorer, jusched.exe, logon.exe, mozilla, mozilla firefox, nt.dll, programme und funktionen, prozesse, quara, registry, rundll, services.exe, software, suchlauf, svchost.exe, trojaner, unknown file in winsock lsp, urlsearchhook, verweise, virus gefunden, vista, warnung, windows defender |