|
Plagegeister aller Art und deren Bekämpfung: Win32:Patched-FF [Trj]Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
14.04.2008, 11:49 | #1 |
| Win32:Patched-FF [Trj] Hallo, wie ich befürchtet habe, ist mein system nicht ganz sauber gewesen, nach dem befall von http://www.trojaner-board.de/51325-w...t-ubx-trj.html zur problematik: mein pc war über nacht im standb. modus. heute morgen hab ich ihn dann gestartet, er ist auch einwandfrei wieder angefahren nur war das desktop eingefrohren. die desktop verküpfungen liesen sich anklicken, nur getan hat sich nichts. die "starttaste" in der taskleiste hat überhaupt nicht reagiert wenn man mit der maus darüber gefahren ist. weil nichts mehr ging hab ich den pc neu gestartet, wobei dann die oben genannten probleme weg waren. außer, dass ich nicht mehr ins internet konnte und auf dem router war auch das licht für "online" aus. selbst nach mehrmaligem neustarten ist es nicht mehr angegangen. folgende maßnahmen hab ich durchgeführt. pc im abesichtern modus gestartet(internet ging auch da nicht) avast laufen lassen. der dann gleich meldung bebracht hat, dass er vor dem booten scannen möchte da er einen virus gefunden hat. scanbericht Code:
ATTFilter 04/14/2008 05:49 Scan aller lokalen Laufwerke Datei C:\Programme\Alwil Software\Avast4\DATA\moved\sens.dll.vir ist infiziert von Win32:Patched-FF [Trj], Reparieren: Fehler 42060, Reparieren: Fehler 42060, In Container verschieben: Fehler 0xC0000034 {Der Objektname wurde nicht gefunden.}, Reparieren: Fehler 42060, Reparieren: Fehler 42060, Reparieren: Fehler 42060, Reparieren: Fehler 42060, Reparieren: Fehler 42060, Reparieren: Fehler 42060, Verschoben Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP7\A0006568.dll ist infiziert von Win32:Patched-FF [Trj], Verschoben Anzahl durchsuchter Ordner: 8284 Anzahl der geprüften Dateien: 98735 Anzahl infizierter Dateien: 2 danach hab ich den pc normal neu gestartet. darauf ließen sich die dateien dann in den container verschieben und ich hab sie dann gelöscht. internet ging immer noch nicht. also pc wieder neu gestarte, avast wieder laufen lassen, der wieder diese dateien gefunden hat. ich hab sie jetzt wieden in den cotainer verfrachtet, wo sie jetzt noch sind. smitfraud hab ich im abgesichtern modus laufen lassen hier ist der log Code:
ATTFilter SmitFraudFix v2.309 Scan done at 11:48:24,98, 14.04.2008 Run from D:\virensucher\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process (ich habe die hosts weg gelassen) VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files Problem while deleting C:\WINDOWS\system32\Delete_Me_Dummy_systems.txt »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» DNS »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Reboot Problem while deleting C:\WINDOWS\system32\Delete_Me_Dummy_systems.txt Problem while deleting C:\WINDOWS\system32\systems.txt »»»»»»»»»»»»»»»»»»»»»»»» End wie soll ich jetzt weiter vor gehen? wäre schön wenn sich mir einer an nimmt, der aber auch am ball bleibt, danke. hijackthis und malwarebyets logs folgen noch. gruß |
14.04.2008, 11:57 | #2 |
| Win32:Patched-FF [Trj]Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:34:54, on 14.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\a-squared Anti-Dialer\a2service.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Acer\Acer eConsole\MediaServerService.exe C:\Acer\Empowering Technology\eRecovery\Monitor.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Acer\Acer eMode Management\AspireService.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE C:\Programme\a-squared Anti-Dialer\a2adguard.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\System32\alg.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\Alwil Software\Avast4\ashSimpl.exe C:\Programme\Alwil Software\Avast4\ashChest.exe D:\virensucher\09.04hithis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Burn4Free Toolbar Helper - {D187A56B-A33F-4CBE-9D77-459FC0BAE012} - C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: Burn4Free Toolbar - {4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [ntiMUI] c:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AspireService] C:\Programme\Acer\Acer eMode Management\AspireService.exe O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200" O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Dialer\a2adguard.exe" O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programme\a-squared Anti-Dialer\a2adguard.exe" /d=60 O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1150666801812 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: a-squared Anti-Dialer Service (a2AntiDialer) - Emsi Software GmbH - C:\Programme\a-squared Anti-Dialer\a2service.exe O23 - Service: Acer Media Server - Acer Inc. - C:\Programme\Acer\Acer eConsole\MediaServerService.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing) O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 8514 bytes |
14.04.2008, 12:17 | #3 |
Gast | Win32:Patched-FF [Trj] Hi Urmel
__________________Schön hört man wieder einmal von dir Also dein Logfile sieht ok aus aber von PartyPoker würde ich dir abraten Noch ne frage: "D:\virensucher\09.04hithis.exe" sollte das HijackThis sein? Bitte deaktiviere einmal die Systemwiederherstellung und boote nochmals neu, danchach kannst du sie wieder aktivieren. Dafür gehst du auf den Arbeitsplatz mit rechtsklick gehst nun auf Eigenschaften und dann Systemwiederherstellung und machst ein häcklein. Nun sollte eigentlich "C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP7\A0006568.dll" nicht mehr gemeldet werden Lass diese Datei hier online scannen und poste bitte den Report: C:\Programme\Alwil Software\Avast4\DATA\moved\sens.dll Bitte lass einmal ComboFix laufen und poste den Report Bitte schalte für den Scan von ComboFix deinen Guard ab, da es sein kann dass er ComboFix als Malware erkennt. |
14.04.2008, 12:27 | #4 | |||
| Win32:Patched-FF [Trj] hi, so schnell gehts wa! Zitat:
Zitat:
soll ich die dateien im container löschen oder stehen lassen? Zitat:
|
14.04.2008, 12:34 | #5 |
Gast | Win32:Patched-FF [Trj] PartyPoker und PokerStars und all dieses Zeug is nicht sehr Vertrauenswürdig Ich spreche aus Erfahrung Hatte auch lange Zeit PokerStars und das mir ganz schön viel böses Zeug geholt... Aber nun zu deinem Problem also die Dateien kannst du vorerst dort drin behalten....versuch doch mal sie mit KillBox (Link in meinem Anhang) zu löschen. Und bevor du ComboFix laufen lässt CCleaner benutzen. |
14.04.2008, 23:59 | #6 | |||
| Win32:Patched-FF [Trj] hi, Zitat:
ich hab die dateien über avast gelöscht. Zitat:
Zitat:
combofix hat erst bei zweiten anlauf geklappt. beim ersten mal ist es durchgelaufen und dann hängengelieben wenn es wieder auf den desktop springt, so dass nur das hintergrundbild gezeigt wurde. musste dann denn stecker vom pc ziehen, da sich nichts mehr getan hat. Code:
ATTFilter ComboFix 08-04-13.3 - Andreas 2008-04-15 0:39:30.6 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1075 [GMT 2:00] ausgeführt von:: D:\Download\ComboFix.exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . ((((((((((((((((((((((( Dateien erstellt von 2008-03-14 bis 2008-04-14 )))))))))))))))))))))))))))))) . 2008-04-14 05:39 . 2008-04-14 05:39 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software 2008-04-10 14:46 . 2005-11-30 10:55 <DIR> d-------- C:\Dokumente und Einstellungen\Internet\Vorlagen 2008-04-10 14:46 . 2005-11-30 10:55 <DIR> dr------- C:\Dokumente und Einstellungen\Internet\Startmenü 2008-04-10 14:46 . 2005-12-16 05:18 <DIR> d--h----- C:\Dokumente und Einstellungen\Internet\Netzwerkumgebung 2008-04-10 14:46 . 2005-11-30 10:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Internet\Lokale Einstellungen 2008-04-10 14:46 . 2008-04-10 14:46 <DIR> dr------- C:\Dokumente und Einstellungen\Internet\Favoriten 2008-04-10 14:46 . 2008-04-10 15:21 <DIR> dr------- C:\Dokumente und Einstellungen\Internet\Eigene Dateien 2008-04-10 14:46 . 2005-12-16 05:18 <DIR> d--h----- C:\Dokumente und Einstellungen\Internet\Druckumgebung 2008-04-10 14:46 . 2005-11-30 04:41 <DIR> d-------- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\You've Got Pictures Screensaver 2008-04-10 14:46 . 2005-12-16 05:36 <DIR> d-------- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\Symantec 2008-04-10 14:46 . 2008-04-10 14:46 <DIR> d-------- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\ATI 2008-04-10 14:46 . 2006-06-27 18:36 <DIR> d-------- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\AOL 2008-04-10 14:46 . 2008-04-10 14:46 <DIR> dr-h----- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten 2008-04-10 14:46 . 2008-04-10 14:46 <DIR> d-------- C:\Dokumente und Einstellungen\Internet 2008-04-09 23:34 . 2008-04-14 07:18 <DIR> d-------- C:\Programme\TuneUp Utilities 2008 2008-04-09 23:34 . 2008-04-09 23:34 <DIR> d-------- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\TuneUp Software 2008-04-09 23:34 . 2008-04-09 23:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software 2008-04-09 23:34 . 2008-04-09 23:34 307,968 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe 2008-04-09 23:34 . 2008-02-27 13:15 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll 2008-04-09 23:29 . 2008-04-09 23:29 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-04-09 23:13 . 2008-03-29 19:45 1,146,232 --a------ C:\WINDOWS\system32\aswBoot.exe 2008-04-09 23:13 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx 2008-04-09 23:13 . 2008-03-29 19:23 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr 2008-04-09 23:13 . 2008-03-29 19:35 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2008-04-09 23:13 . 2008-01-17 17:34 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2008-04-09 23:13 . 2008-03-29 19:31 75,856 --a------ C:\WINDOWS\system32\drivers\aswSP.sys 2008-04-09 23:13 . 2008-03-29 19:27 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2008-04-09 23:13 . 2008-03-29 19:26 26,944 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2008-04-09 23:13 . 2008-03-29 19:29 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2008-04-09 23:13 . 2008-03-29 19:35 20,560 --a------ C:\WINDOWS\system32\drivers\aswFsBlk.sys 2008-04-09 23:11 . 2006-09-02 20:33 6,144 --a------ C:\WINDOWS\system32\msmmas.dll 2008-04-08 15:30 . 2008-04-08 15:30 3,968 --a------ C:\WINDOWS\system32\drivers\MS1000.sys 2008-04-05 22:50 . 2008-04-05 22:50 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-04-05 22:50 . 2008-04-05 22:50 1,409 --a------ C:\WINDOWS\QTFont.for 2008-04-05 15:53 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-04-05 15:53 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-04-05 15:53 . 2008-03-28 23:19 86,528 --a------ C:\WINDOWS\system32\VACFix.exe 2008-04-05 15:53 . 2008-03-26 08:50 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-04-05 15:53 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-04-05 15:53 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-04-05 15:53 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-04-05 15:47 . 2008-04-14 11:49 3,720 --a------ C:\WINDOWS\system32\tmp.reg 2008-04-05 00:23 . 2008-04-05 00:23 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2008-04-04 19:40 . 2008-04-08 20:36 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-04-04 19:40 . 2008-04-04 19:40 <DIR> d-------- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Malwarebytes 2008-04-04 19:40 . 2008-04-04 19:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-04-04 15:18 . 2008-04-04 15:18 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Lavasoft 2008-03-29 03:21 . 2008-03-29 03:21 <DIR> d-------- C:\Programme\PC Inspector File Recovery 2008-03-29 03:21 . 2002-02-18 19:40 6,200 --a------ C:\WINDOWS\system32\INT13EXT.VXD . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-12 18:58 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-04-12 18:57 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2008-04-10 00:16 --------- d-----w C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Skype 2008-04-08 14:57 --------- d-----w C:\Programme\Google 2008-04-04 12:34 --------- d-----w C:\Programme\a-squared Anti-Dialer 2008-03-29 01:21 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-03-29 01:06 --------- d-----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\ATI 2008-03-28 22:12 --------- d-----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\teamspeak2 2008-03-28 12:33 --------- d-----w C:\Programme\Winamp 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\dllcache\win32k.sys 2008-03-11 21:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI 2008-03-11 21:23 --------- d-----w C:\Programme\ATI Technologies 2008-03-09 23:04 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-03-09 23:03 --------- d-----w C:\Programme\Spybot - Search & Destroy 2008-03-09 22:56 691,545 ----a-w C:\WINDOWS\unins000.exe 2008-03-05 07:29 --------- d-----w C:\Programme\Java 2008-03-03 03:12 --------- d-----w C:\Programme\Lavalys 2008-03-03 01:14 --------- d-----w C:\Programme\Driver Cleaner Pro 2008-03-01 16:24 3,591,680 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll 2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll 2008-03-01 12:54 671,232 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll 2008-03-01 12:54 478,208 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll 2008-03-01 12:54 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll 2008-03-01 12:54 233,472 ----a-w C:\WINDOWS\system32\dllcache\webcheck.dll 2008-03-01 12:54 193,024 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll 2008-03-01 12:54 105,984 ----a-w C:\WINDOWS\system32\dllcache\url.dll 2008-03-01 12:54 102,912 ----a-w C:\WINDOWS\system32\dllcache\occache.dll 2008-03-01 12:54 1,159,680 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll 2008-02-29 08:55 625,664 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe 2008-02-29 08:54 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe 2008-02-29 00:24 --------- d-----w C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\SystemXXL 2008-02-26 05:51 2,863,616 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys 2008-02-26 05:51 2,863,616 ----a-w C:\WINDOWS\system32\dllcache\ati2mtag.sys 2008-02-26 03:12 372,736 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll 2008-02-26 03:10 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll 2008-02-26 03:10 299,520 ----a-w C:\WINDOWS\system32\ati2dvag.dll 2008-02-26 03:10 299,520 ----a-w C:\WINDOWS\system32\ati2dvag(2)(2).dll 2008-02-26 03:02 172,032 ----a-w C:\WINDOWS\system32\atipdlxx.dll 2008-02-26 03:02 126,976 ----a-w C:\WINDOWS\system32\Oemdspif.dll 2008-02-26 03:01 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll 2008-02-26 03:01 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe 2008-02-26 03:01 126,976 ----a-w C:\WINDOWS\system32\ati2evxx.dll 2008-02-26 03:01 126,976 ----a-w C:\WINDOWS\system32\ati2evxx(2)(2).dll 2008-02-26 03:00 520,192 ----a-w C:\WINDOWS\system32\ati2evxx.exe 2008-02-26 02:59 9,797,632 ----a-w C:\WINDOWS\system32\atioglx2.dll 2008-02-26 02:58 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL 2008-02-26 02:49 3,176,480 ----a-w C:\WINDOWS\system32\ati3duag.dll 2008-02-26 02:49 3,176,480 ----a-w C:\WINDOWS\system32\ati3duag(2)(2).dll 2008-02-26 02:41 1,755,264 ----a-w C:\WINDOWS\system32\ativvaxx.dll 2008-02-26 02:41 1,755,264 ----a-w C:\WINDOWS\system32\ativvaxx(2)(2).dll 2008-02-26 02:29 46,080 ----a-w C:\WINDOWS\system32\amdpcom32.dll 2008-02-26 02:25 393,216 ----a-w C:\WINDOWS\system32\atikvmag.dll 2008-02-26 02:25 393,216 ----a-w C:\WINDOWS\system32\atikvmag(2)(2).dll 2008-02-26 02:23 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll 2008-02-26 02:22 49,152 ----a-w C:\WINDOWS\system32\drivers\ati2erec.dll 2008-02-26 02:19 167,936 ----a-w C:\WINDOWS\system32\atiok3x2.dll 2008-02-26 02:19 167,936 ----a-w C:\WINDOWS\system32\atiok3x2(2)(2).dll 2008-02-26 02:16 520,192 ----a-w C:\WINDOWS\system32\ati2cqag.dll 2008-02-26 02:16 520,192 ----a-w C:\WINDOWS\system32\ati2cqag(2)(2).dll 2008-02-25 20:05 593,920 ------w C:\WINDOWS\system32\ati2sgag.exe 2008-02-22 10:00 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe 2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll 2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\dllcache\gdi32.dll 2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll 2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dllcache\dnsrslvr.dll 2008-02-20 05:33 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll 2008-02-15 05:44 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll 2007-09-29 22:40 22,328 ----a-w C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\PnkBstrK.sys 2006-10-07 17:50 0 ----a-w C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\wklnhst.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D187A56B-A33F-4CBE-9D77-459FC0BAE012}] 2007-12-31 18:58 806912 --a------ C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{4F11ACBB-393F-4C86-A214-FF3D0D155CC3}"= "C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll" [2007-12-31 18:58 806912] [HKEY_CLASSES_ROOT\clsid\{4f11acbb-393f-4c86-a214-ff3d0d155cc3}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{4F11ACBB-393F-4C86-A214-FF3D0D155CC3}"= C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll [2007-12-31 18:58 806912] [HKEY_CLASSES_ROOT\clsid\{4f11acbb-393f-4c86-a214-ff3d0d155cc3}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 06:00 15360] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LaunchApp"="Alaunch" [] "High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 18:07 61952 C:\WINDOWS\system32\HdAShCut.exe] "RTHDCPL"="RTHDCPL.EXE" [2005-09-22 14:36 14854144 C:\WINDOWS\RTHDCPL.exe] "ntiMUI"="c:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 19:15 45056] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784] "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 06:00 208952] "MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 06:00 59392] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 06:00 455168] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 06:00 455168] "eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\Monitor.exe" [2005-11-16 18:00 397312] "AGRSMMSG"="AGRSMMSG.exe" [2004-04-13 01:49 88363 C:\WINDOWS\AGRSMMSG.exe] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-11-30 04:41 98304] "AspireService"="C:\Programme\Acer\Acer eMode Management\AspireService.exe" [2005-09-29 16:07 114688] "EPSON Stylus DX4200 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.exe" [2005-03-08 06:00 98304] "a-squared"="C:\Programme\a-squared Anti-Dialer\a2adguard.exe" [2008-04-03 22:57 1335952] "StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 13:17 61440] "a-squared Anti-Dialer"="C:\Programme\a-squared Anti-Dialer\a2adguard.exe" [2008-04-03 22:57 1335952] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 19:37 79224] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 06:00 15360] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader] --a------ 2005-06-07 00:46 57344 C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EA Core] --a------ 2007-12-04 06:57 2494464 C:\Programme\Electronic Arts\EADM\Core.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite] --a------ 2006-07-11 12:15 3144800 C:\Programme\ICQLite\ICQLite.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediaSync] --a------ 2005-09-21 13:48 425984 C:\Programme\Acer\Acer eConsole\MediaSync.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray] --a------ 2005-11-30 04:40 26112 C:\Programme\Real\RealPlayer\RealPlay.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --a------ 2004-11-02 21:24 32768 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] --a------ 2007-02-09 16:00 25388584 C:\Programme\Skype\Phone\Skype.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] --a------ 2007-10-10 07:28 36352 C:\Programme\Winamp\winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\ICQLite\\ICQLite.exe"= "C:\\WINDOWS\\system32\\PnkBstrA.exe"= "C:\\WINDOWS\\system32\\PnkBstrB.exe"= "C:\\Programme\\Electronic Arts\\Battlefield 2142 Server\\BF2142VoipServer_w32ded.exe"= "C:\\Programme\\Electronic Arts\\Battlefield 2142\\BF2142.exe"= "C:\\Programme\\Ubisoft\\DIE SIEDLER - Aufstieg eines Königreichs\\base\\bin\\Settlers6.exe"= "C:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"= "C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= R0 m5287;m5287;C:\WINDOWS\system32\drivers\m5287.sys [2005-02-05 08:00] R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31] R2 a2AntiDialer;a-squared Anti-Dialer Service;"C:\Programme\a-squared Anti-Dialer\a2service.exe" [2008-04-03 22:56] R2 ACEDRV08;ACEDRV08;C:\WINDOWS\system32\drivers\ACEDRV08.sys [2007-11-11 12:29] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35] R2 int15.sys;int15.sys;C:\Acer\Empowering Technology\eRecovery\int15.sys [2005-01-13 15:46] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 06:00] S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-04-09 23:34] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners "2008-04-14 22:33:31 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-15 00:41:07 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-04-15 0:41:27 ComboFix-quarantined-files.txt 2008-04-14 22:41:25 22 Verzeichnis(se), 70,432,256,000 Bytes frei 24 Verzeichnis(se), 70,430,130,176 Bytes frei . 2008-04-09 18:30:28 --- E O F --- |
15.04.2008, 08:04 | #7 |
| Win32:Patched-FF [Trj] moin, ich hab nochmal folgende programme über den pc geschickt. Code:
ATTFilter Malwarebytes' Anti-Malware 1.11 Datenbank Version: 629 Scan Art: Komplett Scan (C:\|D:\|G:\|H:\|I:\|J:\|) Objekte gescannt: 140186 Scan Dauer: 1 hour(s), 32 minute(s), 21 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine Malware Objekte gefunden) Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: (Keine Malware Objekte gefunden) avast war sauber. Code:
ATTFilter ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.4.4 Sprache: German Virus-Datenbank Datum: 4/14/2008 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "kazaa Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with mirar Spyware/Adware (hklm\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\Programme\Mozilla Firefox\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File D:\virensucher\Download_mbam-setup.exe markiert als "not-a-virus:Downloader.Win32.WinFixer.fs". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File D:\virensucher\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File D:\virensucher\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: d:\Dokumente und Einstellungen\Andreas\Eigene Dateien\battlefield 2\logocache\www.darkclan.co.uk\nip ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKCU\Software\kazaa !!! Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Executable Command Found in E\Shell\AutoRun\command: E:\Autorun.exe ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\WINDOWS\system32\msmmas.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\WINDOWS\system32\msmmas.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Eigene Bilder\msmmas.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\wichtige programme\cpu-z-144.1.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 154682 Gefundene Viren: 10 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 16 Dauer des Scans bisher: 02:49:41 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 5:46:07,87 Batchende: 5:46:26,03 Kazaa, gator.com und net-nucleus.com habe ich schonmal in der registry gelöscht, und jetzt sind sie wieder da. gruß |
15.04.2008, 20:14 | #8 |
Gast | Win32:Patched-FF [Trj] Hi Folgende Datein bitte online scannen: C:\WINDOWS\system32\aswBoot.exe C:\WINDOWS\system32\msmmas.dll C:\WINDOWS\system32\Process.exe C:\WINDOWS\system32\dumphive.exe C:\WINDOWS\system32\WS2Fix.exe C:\WINDOWS\system32\dllcache\iexplore.exe Die von escan gefundenen löschen ausser den 2ten roten Block mit Smitfraudfix drin. |
16.04.2008, 00:18 | #9 |
| Win32:Patched-FF [Trj] so alles gelöscht und nun folgen die auswertungen C:\WINDOWS\system32\aswBoot.exe Code:
ATTFilter Datei aswBoot.exe empfangen 2008.04.16 00:38:06 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit is zwischen 38 und 55 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.4.15.1 2008.04.15 - AntiVir 7.6.0.85 2008.04.15 - Authentium 4.93.8 2008.04.16 - Avast 4.8.1169.0 2008.04.15 - AVG 7.5.0.516 2008.04.15 - BitDefender 7.2 2008.04.15 - CAT-QuickHeal 9.50 2008.04.14 - ClamAV 0.92.1 2008.04.16 - DrWeb 4.44.0.09170 2008.04.15 - eSafe 7.0.15.0 2008.04.09 - eTrust-Vet 31.3.5702 2008.04.16 - Ewido 4.0 2008.04.15 - F-Prot 4.4.2.54 2008.04.15 - F-Secure 6.70.13260.0 2008.04.16 - FileAdvisor 1 2008.04.16 - Fortinet 3.14.0.0 2008.04.15 - Ikarus T3.1.1.26 2008.04.15 - Kaspersky 7.0.0.125 2008.04.16 - McAfee 5274 2008.04.15 - Microsoft 1.3408 2008.04.14 - NOD32v2 3029 2008.04.15 - Norman 5.80.02 2008.04.15 - Panda 9.0.0.4 2008.04.16 - Prevx1 V2 2008.04.16 - Rising 20.40.11.00 2008.04.15 - Sophos 4.28.0 2008.04.15 - Sunbelt 3.0.1041.0 2008.04.12 - Symantec 10 2008.04.16 - TheHacker 6.2.92.278 2008.04.15 - VBA32 3.12.6.4 2008.04.14 - VirusBuster 4.3.26:9 2008.04.15 - Webwasher-Gateway 6.6.2 2008.04.15 - weitere Informationen File size: 1146232 bytes MD5...: 4108ed9980f581f502c1d72c0d7f77da SHA1..: b4894fa11ebddb41ab5c61f5aba731a07fa17efe SHA256: 768fafa656e91c7c6896f37f9a4470f4a9ea55291f886d6e2c8ae958f6894aab SHA512: b3f0295c4a9f12c7d7800e74990ce50cf2903873fece68c1c50fbd1dccbc6e44 4e3f393a4e25bb6262d7d2aa9b0843141963dcecc1efafc86fd15950182d6d14 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1034420 timedatestamp.....: 0x47ed9274 (Sat Mar 29 00:51:00 2008) machinetype.......: 0x14c (I386) C:\WINDOWS\system32\Process.exe Code:
ATTFilter Datei Process.exe empfangen 2008.04.16 00:38:19 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 7/32 (21.88%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit is zwischen 38 und 55 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.4.15.1 2008.04.15 Win-AppCare/PrcViewer.53248 AntiVir 7.6.0.85 2008.04.15 - Authentium 4.93.8 2008.04.16 - Avast 4.8.1169.0 2008.04.15 - AVG 7.5.0.516 2008.04.15 - BitDefender 7.2 2008.04.15 - CAT-QuickHeal 9.50 2008.04.14 - ClamAV 0.92.1 2008.04.16 - DrWeb 4.44.0.09170 2008.04.15 Tool.Prockill eSafe 7.0.15.0 2008.04.09 - eTrust-Vet 31.3.5702 2008.04.16 - Ewido 4.0 2008.04.15 - F-Prot 4.4.2.54 2008.04.15 - F-Secure 6.70.13260.0 2008.04.16 - FileAdvisor 1 2008.04.16 - Fortinet 3.14.0.0 2008.04.15 Misc/PrcViewer Ikarus T3.1.1.26 2008.04.15 - Kaspersky 7.0.0.125 2008.04.16 - McAfee 5274 2008.04.15 potentially unwanted program PrcViewer Microsoft 1.3408 2008.04.14 - NOD32v2 3029 2008.04.15 Win32/PrcView Norman 5.80.02 2008.04.15 - Panda 9.0.0.4 2008.04.16 Application/Processor Prevx1 V2 2008.04.16 - Rising 20.40.11.00 2008.04.15 - Sophos 4.28.0 2008.04.15 - Sunbelt 3.0.1041.0 2008.04.12 - Symantec 10 2008.04.16 - TheHacker 6.2.92.278 2008.04.15 Aplicacion/Processor.20 VBA32 3.12.6.4 2008.04.14 - VirusBuster 4.3.26:9 2008.04.15 - Webwasher-Gateway 6.6.2 2008.04.15 - weitere Informationen File size: 53248 bytes MD5...: 7397f6ee4a9601a123b645c0cd428017 SHA1..: 890368473ecbc404dcd42ff0c6c38397102f59c0 SHA256: 5aaf73ef89f0efab963abb170bc9b7cd7d4d5bd7a691cd83137b4cc39cd120de SHA512: 8c9f85b64d8c1c43a11e654609d357fffdada311422cc02e5efbf1243b4d35fc 20f4a58b1a663f85717d8a626c3db8f59af62d7044ed02974cd3d2b107f08784 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x402b42 timedatestamp.....: 0x3edf2cf1 (Thu Jun 05 11:43:45 2003) machinetype.......: 0x14c (I386) C:\WINDOWS\system32\dumphive.exe Code:
ATTFilter Datei dumphive.exe empfangen 2008.04.16 00:39:29 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit is zwischen 38 und 55 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.4.15.1 2008.04.15 - AntiVir 7.6.0.85 2008.04.15 - Authentium 4.93.8 2008.04.16 - Avast 4.8.1169.0 2008.04.15 - AVG 7.5.0.516 2008.04.15 - BitDefender 7.2 2008.04.15 - CAT-QuickHeal 9.50 2008.04.14 - ClamAV 0.92.1 2008.04.16 - DrWeb 4.44.0.09170 2008.04.15 - eSafe 7.0.15.0 2008.04.09 - eTrust-Vet 31.3.5702 2008.04.16 - Ewido 4.0 2008.04.15 - F-Prot 4.4.2.54 2008.04.15 - F-Secure 6.70.13260.0 2008.04.16 - FileAdvisor 1 2008.04.16 - Fortinet 3.14.0.0 2008.04.15 - Ikarus T3.1.1.26 2008.04.15 - Kaspersky 7.0.0.125 2008.04.16 - McAfee 5274 2008.04.15 - Microsoft 1.3408 2008.04.14 - NOD32v2 3029 2008.04.15 - Norman 5.80.02 2008.04.15 - Panda 9.0.0.4 2008.04.16 - Prevx1 V2 2008.04.16 - Rising 20.40.11.00 2008.04.15 - Sophos 4.28.0 2008.04.15 - Sunbelt 3.0.1041.0 2008.04.12 - Symantec 10 2008.04.16 - TheHacker 6.2.92.278 2008.04.15 - VBA32 3.12.6.4 2008.04.14 - VirusBuster 4.3.26:9 2008.04.15 - Webwasher-Gateway 6.6.2 2008.04.15 - weitere Informationen File size: 51200 bytes MD5...: 21868b2d22c726d94d98f15825d4134b SHA1..: b8ecd21f17fdd3845e0eb3c52496a1353a856523 SHA256: 4a0202e069e3c1029ecb1f72639a7e35ccca28e1a81a7ca08d5f9206b4dc9363 SHA512: a9de3cab356ed8db4ebd2e85dcc750cd5407bc2ba71485ebf0caca030997a73e 60b0006922d1e1cec434ca41e2b4dfcf98a0703098eaa5182f1b68860601a460 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x40b950 timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992) machinetype.......: 0x14c (I386) C:\WINDOWS\system32\WS2Fix.exe Code:
ATTFilter Datei WS2Fix.exe empfangen 2008.04.16 00:41:49 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 1/32 (3.13%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 5. Geschätzte Startzeit is zwischen 52 und 75 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.4.15.1 2008.04.15 - AntiVir 7.6.0.85 2008.04.15 - Authentium 4.93.8 2008.04.16 - Avast 4.8.1169.0 2008.04.15 - AVG 7.5.0.516 2008.04.15 - BitDefender 7.2 2008.04.15 - CAT-QuickHeal 9.50 2008.04.14 - ClamAV 0.92.1 2008.04.16 - DrWeb 4.44.0.09170 2008.04.15 - eSafe 7.0.15.0 2008.04.09 suspicious Trojan/Worm eTrust-Vet 31.3.5702 2008.04.16 - Ewido 4.0 2008.04.15 - F-Prot 4.4.2.54 2008.04.15 - F-Secure 6.70.13260.0 2008.04.16 - FileAdvisor 1 2008.04.16 - Fortinet 3.14.0.0 2008.04.15 - Ikarus T3.1.1.26 2008.04.15 - Kaspersky 7.0.0.125 2008.04.16 - McAfee 5274 2008.04.15 - Microsoft 1.3408 2008.04.14 - NOD32v2 3029 2008.04.15 - Norman 5.80.02 2008.04.15 - Panda 9.0.0.4 2008.04.16 - Prevx1 V2 2008.04.16 - Rising 20.40.11.00 2008.04.15 - Sophos 4.28.0 2008.04.15 - Sunbelt 3.0.1041.0 2008.04.12 - Symantec 10 2008.04.16 - TheHacker 6.2.92.278 2008.04.15 - VBA32 3.12.6.4 2008.04.14 - VirusBuster 4.3.26:9 2008.04.15 - Webwasher-Gateway 6.6.2 2008.04.15 - weitere Informationen File size: 25600 bytes MD5...: 49b5595b1824bea6d850e0ed08b53e43 SHA1..: 5e2b90a2e34bb130b76517890877cb273f5f37b2 SHA256: 8d38a9bf06dbfa27be241d8d342e6d4116a5b70ac79fc67623616485967a0a02 SHA512: bfa8156a8a2c19c885412a92958102fc03cc3a7a20a56fb6baa41c7697825830 1848dc10af611caec1272970df4f7c853d18f9cd665dc041150a62427c9e15db PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x411a90 timedatestamp.....: 0x4704197e (Wed Oct 03 22:36:46 2007) machinetype.......: 0x14c (I386) C:\WINDOWS\system32\dllcache\iexplore.exe Code:
ATTFilter Datei iexplore.exe empfangen 2008.04.16 00:54:36 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 4. Geschätzte Startzeit is zwischen 49 und 70 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.4.15.1 2008.04.15 - AntiVir 7.6.0.85 2008.04.15 - Authentium 4.93.8 2008.04.16 - Avast 4.8.1169.0 2008.04.15 - AVG 7.5.0.516 2008.04.15 - BitDefender 7.2 2008.04.15 - CAT-QuickHeal 9.50 2008.04.14 - ClamAV 0.92.1 2008.04.16 - DrWeb 4.44.0.09170 2008.04.15 - eSafe 7.0.15.0 2008.04.09 - eTrust-Vet 31.3.5702 2008.04.16 - Ewido 4.0 2008.04.15 - F-Prot 4.4.2.54 2008.04.15 - F-Secure 6.70.13260.0 2008.04.16 - FileAdvisor 1 2008.04.16 - Fortinet 3.14.0.0 2008.04.15 - Ikarus T3.1.1.26 2008.04.15 - Kaspersky 7.0.0.125 2008.04.16 - McAfee 5274 2008.04.15 - Microsoft 1.3408 2008.04.14 - NOD32v2 3029 2008.04.15 - Norman 5.80.02 2008.04.15 - Panda 9.0.0.4 2008.04.16 - Prevx1 V2 2008.04.16 - Rising 20.40.11.00 2008.04.15 - Sophos 4.28.0 2008.04.15 - Sunbelt 3.0.1041.0 2008.04.12 - Symantec 10 2008.04.16 - TheHacker 6.2.92.278 2008.04.15 - VBA32 3.12.6.4 2008.04.14 - VirusBuster 4.3.26:9 2008.04.15 - Webwasher-Gateway 6.6.2 2008.04.15 - weitere Informationen File size: 625664 bytes MD5...: 2d0e5592ab5a46c27daf7ccaff4f5b59 SHA1..: 0295a76d62f9bfe208fcea3655b12dfa60682d6a SHA256: 728fb2f407ce3d5e96ff56e69f94b361e4ea6e9cd650768e738d0ad73bafa91c SHA512: d1a0a4c93dbd98aebefedfb2e7bc9fa68133fdffd6378887e7a9d06cf8d98a51 cae6ec608c8f4f218e3685b8dd60d891bdbe8fdd424f38dcc75b9d5220be16ec PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x402e45 timedatestamp.....: 0x47b3b968 (Thu Feb 14 03:45:44 2008) machinetype.......: 0x14c (I386) ich habe dies datei bewusst zum schluss gescannt, da wir sie im anderen thread siehe link(http://www.trojaner-board.de/51325-w...tml#post332540) auch scannen haben lassen, mit der gleichen meldung. ich habe die datei gepackt und zu avast geschickt um sie prüfen zu lassen mit dem ergebniss siehe link(http://www.trojaner-board.de/51325-w...tml#post332761) C:\WINDOWS\system32\msmmas.dll Code:
ATTFilter Datei msmmas.dll empfangen 2008.04.16 00:59:09 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 2/32 (6.25%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit is zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.4.15.1 2008.04.15 - AntiVir 7.6.0.85 2008.04.15 - Authentium 4.93.8 2008.04.16 - Avast 4.8.1169.0 2008.04.15 - AVG 7.5.0.516 2008.04.15 - BitDefender 7.2 2008.04.15 - CAT-QuickHeal 9.50 2008.04.14 - ClamAV 0.92.1 2008.04.16 - DrWeb 4.44.0.09170 2008.04.15 - eSafe 7.0.15.0 2008.04.09 - eTrust-Vet 31.3.5702 2008.04.16 - Ewido 4.0 2008.04.15 - F-Prot 4.4.2.54 2008.04.15 - F-Secure 6.70.13260.0 2008.04.16 - FileAdvisor 1 2008.04.16 - Fortinet 3.14.0.0 2008.04.15 - Ikarus T3.1.1.26 2008.04.15 - Kaspersky 7.0.0.125 2008.04.16 - McAfee 5274 2008.04.15 - Microsoft 1.3408 2008.04.14 - NOD32v2 3029 2008.04.15 - Norman 5.80.02 2008.04.15 - Panda 9.0.0.4 2008.04.16 - Prevx1 V2 2008.04.16 - Rising 20.40.11.00 2008.04.15 - Sophos 4.28.0 2008.04.15 - Sunbelt 3.0.1041.0 2008.04.12 VIPRE.Suspicious Symantec 10 2008.04.16 - TheHacker 6.2.92.278 2008.04.15 - VBA32 3.12.6.4 2008.04.14 - VirusBuster 4.3.26:9 2008.04.15 - Webwasher-Gateway 6.6.2 2008.04.15 Win32.Malware.dam (suspicious) weitere Informationen File size: 6144 bytes MD5...: 850ba7cda87e4f5a52364427e0e1303a SHA1..: fbbb50adc57855559440c4db62e15944da2b8207 SHA256: 58adbb849a320a43ebb30136e18dfd40b5d0788228fb0d6b9083645264b495ba SHA512: af94a465a99b9ef96a21cb636fde6fe4129df730aa6561ab73f6cd0028cfb707 f33e39150ac49645512a865f75dc116a5bdfcb5ae5dd9909a845ad1665c27d39 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x77af3399 timedatestamp.....: 0x411096af (Wed Aug 04 07:56:31 2004) machinetype.......: 0x14c (I386) ( 4 sections ) |
16.04.2008, 00:31 | #10 | |
> MalwareDB | Win32:Patched-FF [Trj]Zitat:
Oder besser: Was suchst Du? |
16.04.2008, 00:44 | #11 |
| Win32:Patched-FF [Trj] öhm ich weis nicht was für ein problem du hast, aber wenn du weiter oben nachliest siehst du was ich gelöscht habe, bzw. da steht meine frage was ich alles löschen darf. |
16.04.2008, 10:32 | #12 |
> MalwareDB | Win32:Patched-FF [Trj] Ein Avast Scan hat eine Datei gefunden, diese wurde gelöscht, auch in der Systemwiederherstellung. Dann kommen - Smitfraudfix, nichts gefunden - HJT, nichts auffälliges - Malwarebytes, nichts auffälliges - Combofix, nichts gefunden - Malwarebytes noch mal, nichts auffälliges - Escan, reden wir nicht drüber, nichts auffälliges So, sag mir doch mal, was Ihr sucht? Ich kann Dir noch eine Reihe von Tools nennen, die weiß der Teufel losscannen und Dir Reporte generienen. Aber bis auf Fehlalarme, was Deine sens.dll wohl auch ist, wird wohl nichts bei rumkommen. Bata |
16.04.2008, 11:20 | #13 | |
| Win32:Patched-FF [Trj]Zitat:
mich würde interessieren ob mein system wieder sauber/sicher ist? und da sind wir dabei das raus zu finden. |
16.04.2008, 11:41 | #14 | |
> MalwareDB | Win32:Patched-FF [Trj] Wohl dem, der eingestreute Ironie versteht, liebster Argan. Zitat:
Viel Spaß im Netz. Bata |
16.04.2008, 11:50 | #15 |
Gast | Win32:Patched-FF [Trj] Hi Was meint denn der OberGuru zu diesen Dateien?: C:\WINDOWS\system32\Process.exe C:\WINDOWS\system32\WS2Fix.exe C:\WINDOWS\system32\msmmas.dll Anstatt überall deinen Komentar abzugeben was alles falsch gemacht wird und wie dämlich alle anderen sind im Vergleich zu dir, würdest du dich besser einmal um deine Sachen kümmern... Ps. bis jetzt konnte ich dort wo ich gepostet habe helfen (auch ohne dich) |
Themen zu Win32:Patched-FF [Trj] |
0xc0000034, analysis, attention, avast, booten, desktop, fehler, fraud, generic, infected, infiziert, internet, malware, maus, maßnahme, microsoft, moved, neu, ordner, pc normal, programme, registry, router, scan, software, system, system volume information, taskleiste, temp, virus, virus gefunden, windows, windows xp |