Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Escan findet wieder "backdoor (ircbot) trojans"

Escan findet wieder "backdoor (ircbot) trojans"


Plagegeister aller Art und deren Bekämpfung: Escan findet wieder "backdoor (ircbot) trojans"

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 08.04.2008, 21:37   #1
d4m1
 
Escan findet wieder "backdoor (ircbot) trojans" - Standard

Escan findet wieder "backdoor (ircbot) trojans"


Hey Leute,

habe mal wieder ein Virenproblem.
Hatte meinen Rechner vor ein paar Monaten neu aufgesetzt und ihn anscheinend nicht 100% abgesichert.
Das Problem ist, dass Escan genau den netten Plagegeist wiederfindet, der sich damals eingenistet hat. Nun wollte ich euch um eure Hilfe bitten, mir auf der Suche nach dem Ursprung zu helfen, da ich meine Backups nicht einfach alle löschen kann *grml*
Ich bin mir auch garnicht sicher, ob da überhaupt was ist, weil mir der Fundort, zumindest vom "backdoor (ircbot) trojans", irgendwie komisch erscheint.

Also hier der eScan-Log:
Am aufälligsten ist wohl, dass eScan so viele Files einfach nicht scannen konnte.

Gestern meldete er noch zusätzlich:
- "possilbe Fujacks-type worm" (fiel weg nach Ausführung von CCleaner)
- "NULL.Corrupted" (habe die Dateien gelöscht, da ich sie ohnehin nicht mehr brauchte)

Code:
ATTFilter
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Header 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
find.bat Version 2008.03.07 

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: Normal 
  
eScan Version: 9.7.8 
Sprache: German 
H:\Temp\MWAV.LOG
 
 
 
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
Datei F:\zeichnungen\3D\DIN-UND-Teile\Profile\Halbzeuge-SW2004\Rohre\L-rohr.prtdot infiziert durch den Virus "BkCln.Unknown"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei F:\zeichnungen\3D\DIN-UND-Teile\Zahnraeder-Zahnriemen\Zahnrad-m6-z15-L40-Passfeder.SLDPRT infiziert durch den Virus "BkCln.Unknown"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei F:\zeichnungen\3D\DIN-UND-Teile\Zahnraeder-Zahnriemen\Zahnrad-m6-z30-L60-Passfeder.SLDPRT infiziert durch den Virus "BkCln.Unknown"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei F:\zeichnungen\3D\DIN-UND-Teile\Zahnraeder-Zahnriemen\Zahnrad-m8-z40-L80-Passfeder.SLDPRT infiziert durch den Virus "BkCln.Unknown"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
Offending file found: C:\WINDOWS\system32\unrar.dll 
Offending file found: C:\WINDOWS\microsoft.net\framework\v2.0.50727\config\security.config.cch 
Offending file found: C:\WINDOWS\microsoft.net\framework\v2.0.50727\config\enterprisesec.config.cch 
~~~~~~~~~~~ 
~~~~ Spyware (Vorsicht: Oft Fehlalarm!) 
~~~~~~~~~~~ 
***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) überprüft ***** 
Loading Spyware Signatures from new External Database [Name: H:\Temp\spydb.avs, Size: 470886]. 
Indexed Spyware Databases Successfully Created... 
Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Objekt "NULLBYTE Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. 
System found infected with mirar Spyware/Adware (hklm\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com)! Action taken: Keine Maßnahme ergriffen. 
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Maßnahme ergriffen. 
System found infected with livekill Corrupted Adware/Spyware (C:\WINDOWS\microsoft.net\framework\v2.0.50727\config\security.config.cch)! Action taken: Keine Maßnahme ergriffen. 
System found infected with livekill Corrupted Adware/Spyware (C:\WINDOWS\microsoft.net\framework\v2.0.50727\config\enterprisesec.config.cch)! Action taken: Keine Maßnahme ergriffen. 
System found infected with backdoor (ircbot) trojans Spyware/Adware (hklm\software\microsoft\windows\currentversion\run//msconfig)! Action taken: Keine Maßnahme ergriffen. 
F:\zeichnungen\3D\DIN-UND-Teile\Profile\Halbzeuge-SW2004\Rohre\L-rohr.prtdot possibly infected and removed by background antivirus package! 
F:\zeichnungen\3D\DIN-UND-Teile\Zahnraeder-Zahnriemen\Zahnrad-m6-z15-L40-Passfeder.SLDPRT possibly infected and removed by background antivirus package! 
F:\zeichnungen\3D\DIN-UND-Teile\Zahnraeder-Zahnriemen\Zahnrad-m6-z30-L60-Passfeder.SLDPRT possibly infected and removed by background antivirus package! 
F:\zeichnungen\3D\DIN-UND-Teile\Zahnraeder-Zahnriemen\Zahnrad-m8-z40-L80-Passfeder.SLDPRT possibly infected and removed by background antivirus package! 
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! 
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Diverses 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~ 
laufende Prozesse - commandline 
~~~~~~~~~~~~~~~~~~~~~~ 
CScript-Fehler: Der Zugriff auf Windows Script Host wurde f�r diesem Computer deaktiviert. Wenden Sie sich an Ihren Administrator, um weitere Details in Erfahrung zu bringen.
~~~~~~~~~~~~~~~~~~~~~~ 
Scanfehler 
~~~~~~~~~~~~~~~~~~~~~~ 
ERROR!!! Invalid Entry system32\drivers\kx.sys in SYSTEM\CurrentControlSet\Services\kxwdmdrv... 
ERROR!!! ScanFile fails for C:\DOKUME~1\ALLUSE~1\ANWEND~1\KASPER~1\KASPER~1.325\German\KISDE~1.MSI 
ERROR!!! ScanFile fails for C:\DOKUME~1\xxx\ANWEND~1\THUNDE~1\Profiles\R5746M~1.DEF\Mail\POP3WE~1.DE\Inbox 
ERROR!!! ScanFile fails for C:\DOKUME~1\xxx\ANWEND~1\THUNDE~1\Profiles\R5746M~1.DEF\Mail\POSTST~1.DE\Inbox 
ERROR!!! ScanFile fails for C:\DOKUME~1\xxx\ANWEND~1\THUNDE~1\Profiles\R5746M~1.DEF\Mail\RSS-NE~3\Golem.de 
ERROR!!! ScanFile fails for C:\DOKUME~1\xxx\ANWEND~1\THUNDE~1\Profiles\R5746M~1.DEF\Mail\RSS-NE~3\TAGESS~1.DE 
ERROR!!! ScanFile fails for C:\DOKUME~1\xxx\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat 
ERROR!!! ScanFile fails for C:\DOKUME~1\xxx\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG 
ERROR!!! ScanFile fails for C:\DOKUME~1\xxx\NTUSER.DAT 
ERROR!!! ScanFile fails for C:\DOKUME~1\xxx\NTUSER~1.LOG 
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat 
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG 
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\NTUSER.DAT 
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\NTUSER~1.LOG 
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat 
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG 
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER.DAT 
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER~1.LOG 
ERROR!!! ScanFile fails for C:\WINDOWS\DRIVER~1\i386\driver.cab 
ERROR!!! ScanFile fails for C:\WINDOWS\DRIVER~1\i386\sp2.cab 
ERROR!!! ScanFile fails for C:\WINDOWS\Help\apps_sp.chm 
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default 
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default.LOG 
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM 
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM.LOG 
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY 
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY.LOG 
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\software 
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\software.LOG 
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system 
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system.LOG 
ERROR!!! ScanFile fails for D:\MSOCache\ALLUSE~1\{9A84C~1\AccLR.cab 
ERROR!!! ScanFile fails for D:\MSOCache\ALLUSE~1\{90120~2\ExcelLR.cab 
ERROR!!! ScanFile fails for D:\MSOCache\ALLUSE~1\{90120~4\PptLR.cab 
ERROR!!! ScanFile fails for D:\MSOCache\ALLUSE~1\{9AE1C~1\PubLR.cab 
ERROR!!! ScanFile fails for D:\MSOCache\ALLUSE~1\{90120~3\OutlkLR.cab 
ERROR!!! ScanFile fails for D:\MSOCache\ALLUSE~1\{92471~1\WordLR.cab 
ERROR!!! ScanFile fails for D:\MSOCache\ALLUSE~1\{9094B~1\EnterWW.cab 
ERROR!!! ScanFile fails for D:\MSOCache\ALLUSE~1\{9B8C5~1\InfLR.cab 
ERROR!!! ScanFile fails for D:\MSOCache\ALLUSE~1\{90120~1\OfficeLR.cab 
ERROR!!! ScanFile fails for D:\Programme\Java\jre1.6.0_05\lib\rt.jar 
ERROR!!! ScanFile fails for D:\PROGRA~1\MICROS~1\Office12\1031\EXCELD~1.HXS 
ERROR!!! ScanFile fails for D:\PROGRA~1\MICROS~1\Office12\1031\EXCEL.HXS 
ERROR!!! ScanFile fails for D:\PROGRA~1\MICROS~1\Office12\1031\MSACCE~1.HXS 
ERROR!!! ScanFile fails for D:\PROGRA~1\MICROS~1\Office12\1031\MSE_LE~1.HXS 
ERROR!!! ScanFile fails for D:\PROGRA~1\MICROS~1\Office12\1031\MSPUBD~1.HXS 
ERROR!!! ScanFile fails for D:\PROGRA~1\MICROS~1\Office12\1031\OUTLOO~1.HXS 
ERROR!!! ScanFile fails for D:\PROGRA~1\MICROS~1\Office12\1031\POWERP~1.HXS 
ERROR!!! ScanFile fails for D:\PROGRA~1\MICROS~1\Office12\1031\WINWOR~1.HXS 
ERROR!!! ScanFile fails for D:\Spiel\SPORTS~1\FOOTBA~1\jre\lib\rt.jar 
ERROR!!! ScanFile fails for E:\EIGENE~1\Backup\THUNDE~1.PCV 
ERROR!!! ScanFile fails for E:\EIGENE~1\EIGENE~2\07-11-~1\Replay\NORDSC~1.VCR 
ERROR!!! ScanFile fails for E:\EIGENE~1\EIGENE~2\07-11-~1\Replay\NORDSC~2.VCR 
Result: ERROR!!! File F:\Format\BAK\Desktop\unterlagen.zip: Scanning Failure!!! 
ERROR!!! ScanFile fails for F:\Format\BAK\Desktop\unterlagen.zip 
Result: ERROR!!! File F:\Backup-071003\Job\Temp-02\mp3cd160.exe: Scanning Failure!!! 
ERROR!!! ScanFile fails for F:\Backup-071003\Job\Temp-02\mp3cd160.exe 
ERROR!!! FindFirstFile For F:\zeichnungen\3D\DIN-UND-Teile\Profile\Halbzeuge-SW2004\L\*.* Failed!!! Reason is Das System kann den angegebenen Pfad nicht finden. (0x3) 
ERROR!!! ScanFile fails for F:\Spiele\FOOTBA~1\Grafiken\LOGOME~1\SHINY_~1.RAR 
ERROR!!! ScanFile fails for I:\pagefile.sys 
~~~~~~~~~~~~~~~~~~~~~~ 
Hosts-Datei 
~~~~~~~~~~~~~~~~~~~~~~ 
DataBasePath: %SystemRoot%\System32\drivers\etc 
Zeilen die nicht dem Standard entsprechen: 
C:\WINDOWS\System32\drivers\etc\hosts:
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1       localhost
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1	.archivioadulti.com
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1	.internet-explorer.name
...

Hier folgen noch viel mehr, habe das mal gekürzt! Gehe davon aus, dass die von Spybot S&D eingetragen wurden!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Zahl der gescannten Objekte: 196385 
Zahl der kritischen Objekte: 35 
Zahl der desinfizierten Objekte: 0 
Zahl der umbenannten Dateien: 0 
Zahl der gelöschten Objekte: 0 
Zahl der Fehler: 20 
Zeit verstrichen: 03:01:35 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Scan-Optionen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Speicherüberprüfung: Aktiviert 
Registrierungsdatenbank-Überprüfung: Aktiviert 
Überprüfung des Startordners: Aktiviert 
Überprüfung des Systemordners: Aktiviert 
Überprüfung der Systembereiche: Deaktiviert 
Überprüfung der Dienste: Aktiviert 
Überprüfung der Laufwerke: Deaktiviert 
Überprüfung aller Laufwerke:Aktiviert 
Überprüfung der Ordner: Deaktiviert 
 
Batchstart: 22:08:02,68 
Batchende: 22:08:12,54
Hier dann auch noch der Hijack-Log:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:37:32, on 08.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20733)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
d:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
D:\Programme\Razer\Diamondback\razerhid.exe
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Programme\Logitech\Gaming Software\LWEMon.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Razer\Diamondback\razertra.exe
E:\Eigene Dateien\MirandaProZblack\miranda32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\Razer\Diamondback\razerofa.exe
D:\Programme\Opera\Opera.exe
D:\Programme\Mozilla Thunderbird\thunderbird.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - d:\Programme\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\Programme\Microsoft Office 2007\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - d:\Programme\Free Download Manager\iefdm2.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - d:\Programme\FlashGet\getflash.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Diamondback] d:\Programme\Razer\Diamondback\razerhid.exe
O4 - HKLM\..\Run: [amd_dc_opt] D:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: &Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Alles mit FDM herunterladen - file://d:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://d:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://d:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Videos mit FDM herunterladen - file://d:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - d:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - d:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://download.windowsupdate.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{83FE7E1A-B281-4E81-9D60-D0F89F0C87E6}: NameServer = 192.168.2.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\Programme\Microsoft Office 2007\Office12\GrooveSystemServices.dll
O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: NMSAccessU - Unknown owner - d:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

--
End of file - 7872 bytes
VIELEN DANK FÜR EURE HILFE!

Alt 09.04.2008, 15:51   #2
virus
Gast
 
Escan findet wieder "backdoor (ircbot) trojans" - Standard

Escan findet wieder "backdoor (ircbot) trojans"


Du hast Neuaufgesetz???

Bitte lass mal Malwarebytes laufen und poste den Report
Bitte auch ComboFix laufen lassen vorher aber CCleaner anwenden.
ComboFix report bitte posten.

Bitte fixe folgende Einträge mit Hijackthis:

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
__________________
Alt 09.04.2008, 22:29   #3
d4m1
 
Escan findet wieder "backdoor (ircbot) trojans" - Standard

Escan findet wieder "backdoor (ircbot) trojans"


Zitat:
Zitat von virus Beitrag anzeigen
Du hast Neuaufgesetz???
Ja, vor 2-3 Monaten, schätze ich. Habe auch dummerweise nicht das eingeschränkte Benutzerkonto genutzt fürs Surfen

Also hier ist der Anti-Malware-Log:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.11
Datenbank Version: 603

Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Objekte gescannt: 173258
Scan Dauer: 1 hour(s), 53 minute(s), 20 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)
Und auch der Combofix-Log, nach Ausführung von CCleaner:

Code:
ATTFilter
ComboFix 08-04-09.1 - xxx 2008-04-09 23:22:30.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
(((((((((((((((((((((((   Dateien erstellt von 2008-03-09 bis 2008-04-09  ))))))))))))))))))))))))))))))
.

2008-04-09 17:38 . 2008-04-09 17:38	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Malwarebytes
2008-04-09 17:37 . 2008-04-09 17:37	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-09 08:03 . 2008-03-20 09:56	1,846,016	---------	C:\WINDOWS\system32\dllcache\win32k.sys
2008-04-09 08:03 . 2008-02-20 08:52	282,624	---------	C:\WINDOWS\system32\dllcache\gdi32.dll
2008-04-09 08:03 . 2008-02-20 07:20	147,968	---------	C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-04-09 08:03 . 2008-02-20 20:50	45,568	---------	C:\WINDOWS\system32\dllcache\dnsrslvr.dll
2008-04-08 21:44 . 2008-04-08 22:08	<DIR>	d--------	C:\escan
2008-04-08 14:24 . 2008-04-08 14:24	0	--a------	C:\WINDOWS\oodcnt.INI
2008-04-07 21:24 . 2008-04-07 21:24	<DIR>	d--------	C:\WINDOWS\system32\xircom
2008-04-07 21:24 . 2008-04-07 21:24	<DIR>	d--------	C:\WINDOWS\system32\restore
2008-04-07 21:24 . 2008-04-07 21:24	<DIR>	d--------	C:\WINDOWS\srchasst
2008-04-07 21:24 . 2008-04-07 21:24	<DIR>	d--------	C:\Programme\microsoft frontpage
2008-04-07 21:01 . 2008-04-07 21:01	<DIR>	d-a------	C:\WINDOWS\zts2.exe
2008-04-07 21:01 . 2008-04-07 21:01	<DIR>	d-a------	C:\WINDOWS\system32\vcmgcd32.dll
2008-04-07 21:01 . 2008-04-07 21:01	<DIR>	d-a------	C:\WINDOWS\system32\iifgfgf.dll
2008-04-07 21:01 . 2008-04-07 21:01	<DIR>	d-a------	C:\WINDOWS\rundll16.exe
2008-04-07 21:01 . 2008-04-07 21:01	<DIR>	d-a------	C:\WINDOWS\rundl132.dll
2008-04-07 21:01 . 2008-04-07 21:01	<DIR>	d-a------	C:\WINDOWS\logo1_.exe
2008-04-07 21:00 . 2005-06-21 19:33	153,600	--a------	C:\WINDOWS\R.COM
2008-04-07 21:00 . 2004-08-04 01:58	140,800	--a------	C:\WINDOWS\system32\T.COM
2008-04-07 21:00 . 2008-04-08 17:08	50	--a------	C:\WINDOWS\Lic.xxx
2008-04-05 16:20 . 2008-04-09 20:00	1,080	--a------	C:\WINDOWS\system32\settingsbkup.sfm
2008-04-05 16:20 . 2008-04-09 20:00	1,080	--a------	C:\WINDOWS\system32\settings.sfm
2008-04-05 16:19 . 2008-04-09 20:00	4,958,588	--a------	C:\WINDOWS\{00000001-00000000-00000008-00001102-00000004-20021102}.CDF
2008-04-05 16:19 . 2008-04-09 20:00	31,056	--a------	C:\WINDOWS\system32\BMXStateBkp-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
2008-04-05 16:19 . 2008-04-09 20:00	31,056	--a------	C:\WINDOWS\system32\BMXState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
2008-04-05 16:19 . 2008-04-09 20:00	30,528	--a------	C:\WINDOWS\system32\BMXCtrlState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
2008-04-05 16:19 . 2008-04-09 20:00	30,528	--a------	C:\WINDOWS\system32\BMXBkpCtrlState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
2008-04-05 16:19 . 2008-04-09 20:00	11,564	--a------	C:\WINDOWS\system32\DVCState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
2008-04-05 16:18 . 2006-08-11 15:14	86,446	--a------	C:\WINDOWS\system32\instwdm.ini
2008-04-05 16:15 . 2008-04-05 16:15	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Logitech
2008-04-05 15:41 . 2008-04-05 15:41	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\teamspeak2
2008-04-05 15:41 . 2008-04-05 15:41	34,064	--a------	C:\WINDOWS\system32\lhacm.acm
2008-04-03 09:37 . 2008-04-03 09:37	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Adobe
2008-03-30 00:53 . 2008-03-30 00:53	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\vlc
2008-03-26 19:00 . 2008-04-08 18:21	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trymedia
2008-03-23 00:53 . 2007-06-17 13:43	186,592	--a------	C:\WINDOWS\system32\drivers\windrvr6.sys
2008-03-23 00:53 . 2007-06-17 13:46	114,688	--a------	C:\WINDOWS\system32\wdapi901.dll
2008-03-19 15:10 . 2008-04-09 19:54	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Free Download Manager
2008-03-19 15:10 . 2008-03-19 15:10	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreeDownloadManager.ORG
2008-03-19 14:50 . 2008-03-19 14:50	<DIR>	d--------	C:\Programme\DFX
2008-03-19 14:50 . 2008-03-19 14:50	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DFX
2008-03-15 14:53 . 2008-04-09 14:53	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\FileZilla
2008-03-15 13:35 . 2008-03-15 13:35	<DIR>	d--------	C:\Programme\Microsoft Silverlight
2008-03-12 17:48 . 2008-03-12 17:48	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Sports Interactive
2008-03-12 17:38 . 2008-03-12 17:38	2,550	--a------	C:\WINDOWS\system32\sdbackup.reg
2008-03-12 17:23 . 2008-03-12 17:23	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\SecuROM
2008-03-12 17:23 . 2008-03-12 17:23	107,888	--a------	C:\WINDOWS\system32\CmdLineExt.dll
2008-03-12 17:14 . 2008-03-12 17:14	<DIR>	d--h-----	C:\Programme\Zero G Registry
2008-03-12 17:13 . 2008-03-12 17:13	<DIR>	d--h-----	C:\Dokumente und Einstellungen\xxx\InstallAnywhere
2008-03-11 19:55 . 2008-03-11 19:55	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\RouterControl
2008-03-11 19:54 . 2008-01-15 15:20	330,336	--a------	C:\WINDOWS\RCoUn0.exe
2008-03-11 19:54 . 2008-03-11 19:54	1,759	-r-------	C:\WINDOWS\RouterControl_Uninstall.in
2008-03-11 19:00 . 2008-04-05 16:15	<DIR>	d--------	C:\Programme\Logitech
2008-03-11 19:00 . 2008-03-11 19:00	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech
2008-03-11 18:16 . 2008-03-11 21:27	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mp3tag
2008-03-10 00:46 . 2008-03-10 00:46	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\ImgBurn
2008-03-10 00:22 . 2008-03-10 00:34	<DIR>	d--------	C:\WINDOWS\system32\XPSViewer
2008-03-10 00:21 . 2008-03-10 00:21	<DIR>	d--------	C:\Programme\Reference Assemblies
2008-03-09 23:57 . 2006-10-26 20:56	32,592	--a------	C:\WINDOWS\system32\msonpmon.dll
2008-03-09 23:57 . 2006-10-26 20:58	30,512	--a------	C:\WINDOWS\system32\mdimon.dll
2008-03-09 23:56 . 2008-03-09 23:56	<DIR>	d--------	C:\Programme\Microsoft Works
2008-03-09 23:55 . 2008-03-09 23:55	<DIR>	d--------	C:\Programme\MSBuild
2008-03-09 23:53 . 2008-03-09 23:55	<DIR>	d--------	C:\WINDOWS\SHELLNEW
2008-03-09 23:53 . 2008-04-09 08:07	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-03-09 22:31 . 2008-03-09 22:31	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\gtk-2.0
2008-03-09 22:31 . 2008-04-04 20:47	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\.gconfd
2008-03-09 22:31 . 2008-04-04 20:46	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\.gconf
2008-03-09 22:30 . 2008-03-09 23:21	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\.gnucash
2008-03-09 22:30 . 2008-03-09 22:30	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\.gnome2_private
2008-03-09 22:30 . 2008-03-09 22:30	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\.gnome2
2008-03-09 21:09 . 2008-03-09 21:09	<DIR>	d--------	C:\O&O

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-09 21:24	592,672	--sha-w	C:\WINDOWS\system32\drivers\fidbox2.dat
2008-04-09 21:23	18,050,848	--sha-w	C:\WINDOWS\system32\drivers\fidbox.dat
2008-04-09 21:20	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-04-09 18:00	57,512	--sha-w	C:\WINDOWS\system32\drivers\fidbox2.idx
2008-04-09 18:00	243,512	--sha-w	C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-08 16:20	---------	d-----w	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Winamp
2008-04-05 14:19	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-04-05 14:18	---------	d-----w	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Creative
2008-03-20 07:56	1,846,016	----a-w	C:\WINDOWS\system32\win32k.sys
2008-03-08 20:40	---------	d-----w	C:\Programme\FreePDF_XP
2008-03-08 20:13	---------	d-----w	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Media Player Classic
2008-03-08 16:09	---------	d-----w	C:\Programme\Winamp Remote
2008-03-08 16:09	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OrbNetworks
2008-03-08 15:30	151,756	----a-w	C:\WINDOWS\HAM Uninstaller.exe
2008-03-08 15:18	---------	d-----w	C:\Programme\Gemeinsame Dateien\Java
2008-03-08 15:02	---------	d-----w	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-08 14:54	---------	d-----w	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\InstallShield
2008-03-08 14:31	---------	d-----w	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Thunderbird
2008-03-08 14:31	---------	d-----w	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Talkback
2008-03-08 14:25	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-08 14:16	91,700	----a-w	C:\WINDOWS\system32\drivers\klin.dat
2008-03-08 14:16	85,860	----a-w	C:\WINDOWS\system32\drivers\klick.dat
2008-03-08 14:15	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-03-08 13:57	---------	d-----w	C:\Programme\MSXML 6.0
2008-03-08 13:57	---------	d-----w	C:\Programme\MSXML 4.0
2008-03-08 10:52	---------	d-----w	C:\Programme\Creative
2008-03-08 10:43	---------	d-----w	C:\Programme\Gemeinsame Dateien\InstallShield
2008-03-08 10:26	---------	d-----w	C:\Programme\Gemeinsame Dateien\Dienste
2008-03-08 10:25	---------	d-----w	C:\Programme\Windows Media Connect 2
2008-02-20 18:50	45,568	----a-w	C:\WINDOWS\system32\dnsrslvr.dll
2008-02-20 06:52	282,624	----a-w	C:\WINDOWS\system32\gdi32.dll
2008-02-08 17:37	219,664	----a-w	C:\WINDOWS\system32\klogon.dll
2008-01-11 05:49	44,544	------w	C:\WINDOWS\system32\dllcache\pngfilt.dll
2008-01-10 12:16	159,839	----a-w	C:\WINDOWS\system32\xvidvfw.dll
2008-01-10 12:15	755,027	----a-w	C:\WINDOWS\system32\xvidcore.dll
.

------- Sigcheck -------

2004-08-04 01:58  14336  65a819b121eb6fdab4400ea42bdffe64	C:\WINDOWS\system32\svchost.exe

2005-03-02 20:19  578560  4c90159a69a5fd3eb39c71411f28fcff	C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll
2007-10-07 12:58  579584  78785eff8cb90cec1862a4ccfd9a3c3a	C:\WINDOWS\system32\user32.dll

2004-08-04 01:57  82944  d569240a22421d5f670bb6fb6dd522b5	C:\WINDOWS\system32\ws2_32.dll

2007-10-07 12:58  512512  fdd544cd9a10443a242c2ce7489693e9	C:\WINDOWS\system32\winlogon.exe

2007-10-07 12:57  182656  bc84c4f67d0e880b0c46dc0ce2b8cbaa	C:\WINDOWS\system32\drivers\ndis.sys

2004-08-04 00:00  29056  4448006b6bc60e6c027932cfc38d6855	C:\WINDOWS\system32\drivers\ip6fw.sys

2005-03-02 11:11  2059264  ae8364004bbfd70461d2ef34888d3360	C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe
2007-02-28 09:06  2061696  9b9ca27ad315c02b71510238574894b2	C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe
2007-02-28 18:02  2059904  06effe1520c59641fcdb8baa94a8539f	C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
2007-10-07 13:03  2023424  6ad938f00c02111a70a832080c9a2614	C:\WINDOWS\system32\ntkrnlpa.exe
2007-02-28 18:02  2059904  06effe1520c59641fcdb8baa94a8539f	C:\WINDOWS\system32\dllcache\ntkrnlpa.exe

2005-03-02 20:11  2181888  eb5538a452e0e99169e2b6cdb62ff9d2	C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe
2007-02-28 18:06  2184448  e1de7a10d46959560c3b617227d95c19	C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntoskrnl.exe
2007-02-28 18:02  2182656  2804b72eb675cd43df7994ae4685b894	C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
2007-10-07 12:57  2143744  f54af55d175bf7406ab634d2fbf19cc9	C:\WINDOWS\system32\ntoskrnl.exe
2007-02-28 18:02  2182656  2804b72eb675cd43df7994ae4685b894	C:\WINDOWS\system32\dllcache\ntoskrnl.exe

2007-10-07 12:55  1036288  331ed93570baf3cfe30340298762cd56	C:\WINDOWS\explorer.exe
.
((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
"AVP"="D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2008-02-08 19:36 227856]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2007-10-07 12:56 172544]
"Diamondback"="d:\Programme\Razer\Diamondback\razerhid.exe" [2007-02-14 12:15 147456]
"amd_dc_opt"="D:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2007-07-23 12:06 77824]
"Launch LGDCore"="C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2007-12-13 18:57 2095640]
"Start WingMan Profiler"="C:\Programme\Logitech\Gaming Software\LWEMon.exe" [2007-09-25 15:03 93208]
"CTHelper"="CTHELPER.EXE" [2006-08-11 14:56 17920 C:\WINDOWS\CTHELPER.EXE]
"CTxfiHlp"="CTXFIHLP.EXE" [2006-08-11 14:56 18944 C:\WINDOWS\system32\CTXFIHLP.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:57 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_3"="advpack.dll" [2007-12-07 03:41 124928 C:\WINDOWS\system32\advpack.dll]
"IE7"="advpack.dll" [2007-12-07 03:41 124928 C:\WINDOWS\system32\advpack.dll]
"ShowDeskFix"="regsvr32 /s /n /i:u shell32" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HideRunAsVerb"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoStartMenuPinnedList"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoStartMenuPinnedList"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=D:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AMD_Display]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-04 01:57 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTHelper]
--a------ 2006-08-11 14:56 17920 C:\WINDOWS\CTHELPER.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTxfiHlp]
--a------ 2006-08-11 14:56 18944 C:\WINDOWS\system32\CTXFIHLP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
--a------ 2004-08-22 18:05 81920 D:\Programme\D-Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreePDF Assistant]
--a------ 2007-06-26 21:27 312320 C:\Programme\FreePDF_XP\fpassist.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2007-08-24 08:00 33648 D:\Programme\Microsoft Office 2007\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Launch LgDevAgt]
--a------ 2007-12-13 18:59 346648 C:\Programme\Logitech\GamePanel Software\LgDevAgt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-12-05 02:41 81920 C:\WINDOWS\system32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OODefragTray]
--a------ 2007-05-11 03:08 2512392 C:\WINDOWS\system32\oodtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Orb]
--a------ 2008-01-07 22:02 495616 C:\Programme\Winamp Remote\bin\OrbTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-02-22 05:25 144784 D:\Programme\Java\jre1.6.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
D:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

R2 NMSAccessU;NMSAccessU;d:\Programme\CDBurnerXP\NMSAccessU.exe [2007-10-12 09:34]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 14:28]
R3 Razerlow;Razerlow USB Filter Driver;C:\WINDOWS\system32\Drivers\Razerlow.sys [2005-04-24 23:43]
S1 DumpDrv;Crash Dump Driver;C:\WINDOWS\system32\drivers\DumpDrv.sys [2007-10-07 12:59]
S3 kxwdmdrv;kX WDM Driver Service;C:\WINDOWS\system32\drivers\kx.sys []

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-09 23:24:16
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen 
versteckte Dateien: 0 

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-09 23:25:15
ComboFix-quarantined-files.txt  2008-04-09 21:25:09
               8 Verzeichnis(se), 16,026,419,200 Bytes frei
              10 Verzeichnis(se), 16,017,440,768 Bytes frei
.
2008-04-09 06:07:11	--- E O F ---
Erst danach habe ich die Einträge in HijackThis deaktiviert!

Also mir scheint an den Logs nichts auffälliges, aber ich würde ja auch nicht hier fragen, wenn ich es besser wüsste!
Danke für deine/eure Hilfe!
__________________
Alt 10.04.2008, 13:22   #4
virus
Gast
 
Escan findet wieder "backdoor (ircbot) trojans" - Standard

Escan findet wieder "backdoor (ircbot) trojans"


Bitte folgende Dateinen hier online scanne lassen und Report posten:

C:\WINDOWS\zts2.exe
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\rundl132.dll
C:\WINDOWS\logo1_.exe
C:\WINDOWS\Lic.xxx
C:\WINDOWS\system32\wdapi901.dll
C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe
C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe


weisst du evt. um was es sich beim Ordner xxx handelt???

C:\Dokumente und Einstellungen\xxx\.gconfd
C:\Dokumente und Einstellungen\xxx\.gconf
C:\Dokumente und Einstellungen\xxx\.gnucash
C:\Dokumente und Einstellungen\xxx\.gnome2_private
C:\Dokumente und Einstellungen\xxx\.gnome2
C:\O&O

Alt 10.04.2008, 15:18   #5
d4m1
 
Escan findet wieder "backdoor (ircbot) trojans" - Standard

Escan findet wieder "backdoor (ircbot) trojans"


Zitat:
Zitat von virus Beitrag anzeigen
weisst du evt. um was es sich beim Ordner xxx handelt???

C:\Dokumente und Einstellungen\xxx\.gconfd
C:\Dokumente und Einstellungen\xxx\.gconf
C:\Dokumente und Einstellungen\xxx\.gnucash
C:\Dokumente und Einstellungen\xxx\.gnome2_private
C:\Dokumente und Einstellungen\xxx\.gnome2
C:\O&O
Ach so, also "xxx" ist mein ersetzter Loginname. Die genannten Ordner dürften aber von GnuCash aus kommen. Das ist ein Finanzverwaltungsprogramm, was es ursprünglich nur für Linux gab.
Der Ordner O&O gehört wohl zu O&O Defrag, ist aber komplett leer, weshalb ich ihn einfach mal gelöscht habe. Was der da verloren hat, weiß ich allerdings auch nicht.

Scans kommen gleich.


Alt 10.04.2008, 16:23   #6
d4m1
 
Escan findet wieder "backdoor (ircbot) trojans" - Standard

Escan findet wieder "backdoor (ircbot) trojans"


Zitat:
Zitat von virus Beitrag anzeigen
C:\WINDOWS\zts2.exe
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\logo1_.exe
C:\WINDOWS\rundl132.dll
Das sind keine Datei, sondern nur Ordner. Wurde wohl von eScan angelegt und soll eben verhindern, dass die Dateien erstellt werden können.

Zitat:
Zitat von virus Beitrag anzeigen
C:\WINDOWS\Lic.xxx
Code:
ATTFilter
Datei: 	Lic.xxx 
Auslastung: 		0% 	  	  	100% 

Status: 	OK 
Entdeckte Packprogramme: 	-
Bit9 rapportiert: 	File not found 
  
A-Squared 	Keine Viren gefunden
AntiVir 	Keine Viren gefunden
ArcaVir 	Keine Viren gefunden
Avast 	Keine Viren gefunden
AVG Antivirus 	Keine Viren gefunden
BitDefender 	Keine Viren gefunden
ClamAV 	Keine Viren gefunden
CPsecure 	Keine Viren gefunden
Dr.Web 	Keine Viren gefunden
F-Prot Antivirus 	Keine Viren gefunden
F-Secure Anti-Virus 	Keine Viren gefunden
Fortinet 	Keine Viren gefunden
Ikarus 	Keine Viren gefunden
Kaspersky Anti-Virus 	Keine Viren gefunden
NOD32 	Keine Viren gefunden
Norman Virus Control 	Keine Viren gefunden
Panda Antivirus 	Keine Viren gefunden
Rising Antivirus 	Keine Viren gefunden
Sophos Antivirus 	Keine Viren gefunden
VirusBuster 	Keine Viren gefunden
VBA32 	Keine Viren gefunden
Zitat:
Zitat von virus Beitrag anzeigen
C:\WINDOWS\system32\wdapi901.dll
Code:
ATTFilter
Datei: 	wdfapi.dll 
Auslastung: 		0% 	  	  	100% 

Status: 	OK 
Entdeckte Packprogramme: 	-
Bit9 rapportiert: 	No threat detected (more info) 
  
A-Squared 	Keine Viren gefunden
AntiVir 	Keine Viren gefunden
ArcaVir 	Keine Viren gefunden
Avast 	Keine Viren gefunden
AVG Antivirus 	Keine Viren gefunden
BitDefender 	Keine Viren gefunden
ClamAV 	Keine Viren gefunden
CPsecure 	Keine Viren gefunden
Dr.Web 	Keine Viren gefunden
F-Prot Antivirus 	Keine Viren gefunden
F-Secure Anti-Virus 	Keine Viren gefunden
Fortinet 	Keine Viren gefunden
Ikarus 	Keine Viren gefunden
Kaspersky Anti-Virus 	Keine Viren gefunden
NOD32 	Keine Viren gefunden
Norman Virus Control 	Keine Viren gefunden
Panda Antivirus 	Keine Viren gefunden
Rising Antivirus 	Keine Viren gefunden
Sophos Antivirus 	Keine Viren gefunden
VirusBuster 	Keine Viren gefunden
VBA32 	Keine Viren gefunden
Zitat:
Zitat von virus Beitrag anzeigen
C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe
Code:
ATTFilter
Datei: 	ntkrnlpa.exe 
Auslastung: 		0% 	  	  	100% 

Status: 	OK 
Entdeckte Packprogramme: 	-
Bit9 rapportiert: 	No threat detected (more info) 
  
A-Squared 	Keine Viren gefunden
AntiVir 	Keine Viren gefunden
ArcaVir 	Keine Viren gefunden
Avast 	Keine Viren gefunden
AVG Antivirus 	Keine Viren gefunden
BitDefender 	Keine Viren gefunden
ClamAV 	Keine Viren gefunden
CPsecure 	Keine Viren gefunden
Dr.Web 	Keine Viren gefunden
F-Prot Antivirus 	Keine Viren gefunden
F-Secure Anti-Virus 	Keine Viren gefunden
Fortinet 	Keine Viren gefunden
Ikarus 	Keine Viren gefunden
Kaspersky Anti-Virus 	Keine Viren gefunden
NOD32 	Keine Viren gefunden
Norman Virus Control 	Keine Viren gefunden
Panda Antivirus 	Keine Viren gefunden
Rising Antivirus 	Keine Viren gefunden
Sophos Antivirus 	Keine Viren gefunden
VirusBuster 	Keine Viren gefunden
VBA32 	Keine Viren gefunden
Zitat:
Zitat von virus Beitrag anzeigen
C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe
Code:
ATTFilter
Datei: 	ntkrnlpa.exe 
Auslastung: 		0% 	  	  	100% 

Status: 	OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) 
Entdeckte Packprogramme: 	-
Bit9 rapportiert: 	No threat detected (more info) 
  
A-Squared 	Keine Viren gefunden
AntiVir 	Keine Viren gefunden
ArcaVir 	Keine Viren gefunden
Avast 	Keine Viren gefunden
AVG Antivirus 	Keine Viren gefunden
BitDefender 	Keine Viren gefunden
ClamAV 	Keine Viren gefunden
CPsecure 	Keine Viren gefunden
Dr.Web 	Keine Viren gefunden
F-Prot Antivirus 	Keine Viren gefunden
F-Secure Anti-Virus 	Keine Viren gefunden
Fortinet 	Keine Viren gefunden
Ikarus 	Keine Viren gefunden
Kaspersky Anti-Virus 	Keine Viren gefunden
NOD32 	Keine Viren gefunden
Norman Virus Control 	Keine Viren gefunden
Panda Antivirus 	Keine Viren gefunden
Rising Antivirus 	Keine Viren gefunden
Sophos Antivirus 	Keine Viren gefunden
VirusBuster 	Keine Viren gefunden
VBA32 	Keine Viren gefunden

Alt 12.04.2008, 12:42   #7
d4m1
 
Escan findet wieder "backdoor (ircbot) trojans" - Standard

Escan findet wieder "backdoor (ircbot) trojans"


Hmm, kann keiner mehr helfen?
Ich würde ja nochmal neu aufsetzen, wenn ich wüsste, dass der unliebsame Gast sich dann auch verabschiedet :-\

Alt 12.04.2008, 13:26   #8
virus
Gast
 
Escan findet wieder "backdoor (ircbot) trojans" - Standard

Escan findet wieder "backdoor (ircbot) trojans"


Hi

C:\WINDOWS\zts2.exe
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\logo1_.exe
C:\WINDOWS\rundl132.dll

Das sind sehrwohl Dateien Wie kommst du darauf dass das keine Dateien sind
Wenn du einmal Google benutzt hättest, wärst du z.B. auf diese Seite gestossen!! Schau dort einmal unter "weitere Informationen"

Bitte lass diese Dateien nun hier oder hier online scannen und poste den Report, danke

Lade bitte einmal folgende Dateien hier hoch:

C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe
C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe

Du wirst per Mail in wenigen Tagen informiert werden was sich hinter den Dateien verbirgt und ob sie Schadcode enthällt.

Alt 12.04.2008, 14:43   #9
raman
 
Escan findet wieder "backdoor (ircbot) trojans" - Standard

Escan findet wieder "backdoor (ircbot) trojans"


Wie kommst du darauf, das das Dateien sind? Es sind schon Ordner wie d4m1 vermutet und sie werden auch von Escan erstellt. Ein Grund fuer mich, Escan nicht zu nutzen.

Achte auf den Combofix Eintraege:

2008-04-07 21:01 . 2008-04-07 21:01 <DIR> d-a------ C:\WINDOWS\zts2.exe

<DIR> bedeutet halt directory.
Auch die Dateien
r.com
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

werden von Escan erzeugt

Die Datei ntkrnlpa.exe aus der sigcheck sektion ist genauso vertrauenswuerdig wie die dort aufgefuehrte C:\WINDOWS\explorer.exe. Davon wuerde mich ein VT Scan mehr interessieren.
__________________
MfG Ralf

Alt 12.04.2008, 17:15   #10
d4m1
 
Escan findet wieder "backdoor (ircbot) trojans" - Standard

Escan findet wieder "backdoor (ircbot) trojans"


Hey,

also hier nochmal die geforderten Ergebnisse:

Zuerst die C:\Windows\explorer.exe bei VT (bin mal davon ausgegangen, dass VirusTotal gemeint ist):
Code:
ATTFilter
Datei explorer.exe empfangen 2008.04.12 18:05:32 (CET)
Status:     Beendet 
Ergebnis: 0/31 (0%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2008.4.12.0	2008.04.11	-
AntiVir	7.6.0.85	2008.04.11	-
Authentium	4.93.8	2008.04.11	-
Avast	4.8.1169.0	2008.04.12	-
AVG	7.5.0.516	2008.04.12	-
BitDefender	7.2	2008.04.12	-
CAT-QuickHeal	9.50	2008.04.12	-
ClamAV	0.92.1	2008.04.12	-
DrWeb	4.44.0.09170	2008.04.12	-
eSafe	7.0.15.0	2008.04.09	-
eTrust-Vet	31.3.5692	2008.04.11	-
Ewido	4.0	2008.04.12	-
F-Prot	4.4.2.54	2008.04.11	-
F-Secure	6.70.13260.0	2008.04.11	-
FileAdvisor	1	2008.04.12	-
Fortinet	3.14.0.0	2008.04.12	-
Ikarus	T3.1.1.26	2008.04.12	-
Kaspersky	7.0.0.125	2008.04.12	-
McAfee	5272	2008.04.11	-
Microsoft	1.3408	2008.04.12	-
NOD32v2	3020	2008.04.11	-
Norman	5.80.02	2008.04.12	-
Panda	9.0.0.4	2008.04.12	-
Prevx1	V2	2008.04.12	-
Rising	20.39.52.00	2008.04.12	-
Sophos	4.28.0	2008.04.12	-
Sunbelt	3.0.1041.0	2008.04.12	-
Symantec	10	2008.04.12	-
TheHacker	6.2.92.275	2008.04.12	-
VirusBuster	4.3.26:9	2008.04.12	-
Webwasher-Gateway	6.6.2	2008.04.11	-
Und hier die beiden anderen Dateien bei Avira:
C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe
Code:
ATTFilter
Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:Datei ID	 Dateiname	 Größe (Byte)	Ergebnis
958493	 ntkrnlpa.exe	 1.97 MB	 KNOWN CLEAN



Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt: Dateiname	Ergebnis
 ntkrnlpa.exe	 KNOWN CLEAN


Die Datei 'ntkrnlpa.exe' wurde als 'KNOWN CLEAN' eingestuft. Dies bedeutet, dass wir keine gefährlichen Inhalte finden konnten. Weiterhin haben wir festgestellt, dass diese Datei ein Bestandteil von 'Microsoft Windows XP (KB931784)' ist.
C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe
Code:
ATTFilter
Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:Datei ID	 Dateiname	 Größe (Byte)	Ergebnis
121404	 ntkrnlpa.exe	 1.96 MB	 KNOWN CLEAN



Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt: Dateiname	Ergebnis
 ntkrnlpa.exe	 KNOWN CLEAN


Die Datei 'ntkrnlpa.exe' wurde als 'KNOWN CLEAN' eingestuft. Dies bedeutet, dass wir keine gefährlichen Inhalte finden konnten. Weiterhin haben wir festgestellt, dass diese Datei ein Bestandteil von 'Microsoft (KB890859)' ist.

Alt 13.04.2008, 08:09   #11
raman
 
Escan findet wieder "backdoor (ircbot) trojans" - Standard

Escan findet wieder "backdoor (ircbot) trojans"


Ich sehe keine Malware in deinen Reporten und Listen. Was nicht bedeuten soll, das wirklich keine da ist

Wenn du einen Kontrollscan machen moechtest, solltest du drweb CureIT http://freedrweb.com/ oder Ewido http://downloads.ewido.net/ewido_micro.exe nutzen, da Escan die Kav engine nutzt, die du selber bereits installiert hast.
__________________
MfG Ralf

Alt 13.04.2008, 20:51   #12
d4m1
 
Escan findet wieder "backdoor (ircbot) trojans" - Standard

Escan findet wieder "backdoor (ircbot) trojans"


Zitat:
Zitat von raman Beitrag anzeigen
Ich sehe keine Malware in deinen Reporten und Listen.
Das ist gut!


Zitat:
Zitat von raman Beitrag anzeigen
Was nicht bedeuten soll, das wirklich keine da ist
Das ist schlecht!

Zitat:
Zitat von raman Beitrag anzeigen
Wenn du einen Kontrollscan machen moechtest, solltest du drweb cureit Dr.Web CureIt! – download free anti-virus! Cure viruses, Best free anti-virus scanner! oder Ewido http://downloads.ewido.net/ewido_micro.exe nutzen...
Die Scans werden ich morgen mal nachholen und die Ergebnisse mal posten. Das Problem ist ja einfach, dass der Plagegeist eben mein Grund zum Formatieren war. Damals hatte ich aber die Datei gelöscht, die das wohl ausgelöst hat. Ich meine auch, dass nach dem Formatieren nichts mehr davon aufgetaucht ist beim eScan-Scan. Naja, schaun wir morgen mal weiter!
Vielen Dank soweit für die Hilfe!

Alt 13.04.2008, 21:36   #13
d4m1
 
Escan findet wieder "backdoor (ircbot) trojans" - Standard

Escan findet wieder "backdoor (ircbot) trojans"


Habe die Scans doch mal eben vorgezogen...

Also beide finden nichts im abgesicherten Modus, wobei ich bei Dr. Web CureIt nur die "schnelle Überprüfung" machen konnte, allerdings ist er bei der "Kompletten Überprüfung" direkt nach Betätigen des Buttons abgeschmiert.

Alt 15.04.2008, 21:01   #14
d4m1
 
Escan findet wieder "backdoor (ircbot) trojans" - Standard

Escan findet wieder "backdoor (ircbot) trojans"


Also, nur um nochmal sicher zugehen.
Den eScan-Fund kann ich also nun mehr oder weniger ignorieren, aber zur Sicherheit sollte ich dennoch mal formatieren, oder?

Sobald die neue Ubuntuversion raus ist, werde ich mich mal dran probieren.
Wollte das ohnehin mal wieder draufmachen und dann kann man direkt mal Windows etwas beschneiden.

Antwort

Themen zu Escan findet wieder "backdoor (ircbot) trojans"
antivirus, appinit_dlls, backdoor, bho, browser, cdburnerxp, computer, dateien gelöscht, dateisystem, desktop, drivers, failed, fehlalarm, free download, helfen, help, hijackthis, hkus\s-1-5-18, internet, internet explorer, internet security, kaspersky, launch, logfile, maßnahme, mozilla, mozilla thunderbird, neu aufgesetzt, office 2007, prozesse, registrierungsdatenbank, regsvr32, rundll, senden, software, spyware, system, urlsearchhook, vielen dank, virus, windows, windows script host, windows xp, windows\system32\drivers


« Brauche eine Info.Bitte | hTML/Infected.WebPage.Gen »


Ähnliche Themen: Escan findet wieder "backdoor (ircbot) trojans"


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. Windows 8: Malwarebyte findet "Backdoor.Bot"
    Log-Analyse und Auswertung - 16.09.2014 (9)
  3. Windows 8.1: Avira findet "TR/Swrort.A.10259" in "C:\Program Files (x86)\Google\Chrome\Application\old_chrome.exe"
    Plagegeister aller Art und deren Bekämpfung - 23.07.2014 (3)
  4. Win 7 32 Bit - Avira findet immer wieder diesen Virus "HTML/Malicious.Flash.Gen"
    Log-Analyse und Auswertung - 05.10.2013 (12)
  5. Malwarebytes findet "Trojan.Agent" - dieser ist aber nach löschen jedesmal wieder da
    Plagegeister aller Art und deren Bekämpfung - 01.01.2013 (14)
  6. Avira findet Malware "TR/ATRAPS.Gen", kann nicht gelöscht werden, kommt immer wieder?
    Plagegeister aller Art und deren Bekämpfung - 28.06.2012 (3)
  7. Bundespolizei Ukash Trojaner ; "Xubuntu 12.04" findet Laufwerk "C" nicht.
    Plagegeister aller Art und deren Bekämpfung - 15.06.2012 (1)
  8. Avira findet "TR.Swizzor.aafj" "TR.Swisyn.aiwd.1"
    Log-Analyse und Auswertung - 22.08.2011 (4)
  9. Malwarereinigung: "TR/Kazy.25747.40", "Trojan.Downloader..." und "Backdoor: Win32Cycbot.B"
    Log-Analyse und Auswertung - 09.06.2011 (1)
  10. Trojaner "Backdoor.Bifrose" ,Fund durch "Spyware Doctor"
    Plagegeister aller Art und deren Bekämpfung - 27.01.2010 (9)
  11. Fehlalarme bei Escan - betreffend "gain.gator" und "SmitFraud Browser Hijacker"
    Log-Analyse und Auswertung - 16.12.2008 (2)
  12. Backdoor "TR/DelSelf.H" und "TR/Dldr.FraudL.vahk"
    Log-Analyse und Auswertung - 21.10.2008 (14)
  13. Schon wieder "copy of mbr" Backdoor von Profis installiert?
    Log-Analyse und Auswertung - 18.10.2008 (1)
  14. WORM/ircBot.857088 frisst sich durch "System Volume Information" !!!!!
    Plagegeister aller Art und deren Bekämpfung - 06.02.2007 (2)
  15. AntiVir findet und löscht "TR/Dldr.Small.ayl.0" -Der Trojaner kommt aber immer wieder
    Log-Analyse und Auswertung - 24.02.2006 (9)
  16. "whenu.savnow" & "cydoor.topicks.a" von escan entdeckt
    Plagegeister aller Art und deren Bekämpfung - 14.02.2006 (3)
  17. HILFE "Auto:Blank" und "Best of" machen mich fertig, hier mein Escan!!
    Log-Analyse und Auswertung - 09.04.2005 (5)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Escan findet wieder "backdoor (ircbot) trojans" - Hey Leute, habe mal wieder ein Virenproblem. Hatte meinen Rechner vor ein paar Monaten neu aufgesetzt und ihn anscheinend nicht 100% abgesichert. Das Problem ist, dass Escan genau den netten - Escan findet wieder "backdoor (ircbot) trojans"...
Archiv
Du betrachtest: Escan findet wieder "backdoor (ircbot) trojans" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55