Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojanerfund(e)

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 17.05.2008, 21:16   #1
Buergy
 
Trojanerfund(e) - Standard

Trojanerfund(e)



Guten Abend,

in den letzten Tagen ist mir aufgefallen, dass sich mehrmals täglich selbstständig irgendwelche Firefox-Tabs öffnen in denen irgendwelche Werbung geöffnet wird (genaueres kann ich nicht sagen, da ich es relativ schnell wieder weggeklickt habe). Habe auch keine "Gesetzmäßigkeit feststellen können, wann sie sich öffnen.

Habe heute Antivir durchlaufen lassen, und es wurden auch mehre Sachen gefunden:
Code:
ATTFilter
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0080884.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.3648.1' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0080883.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0080887.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/PrivacySet.A' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0080886.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0080888.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/PrivacySet.A' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0081730.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0081729.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0080889.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.3648.1' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0081755.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0081737.sys'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0081761.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0082317.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0082325.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0082340.exe'
enthielt einen Virus oder unerwünschtes Programm 'DR/Monder.4255232' [dropper].
Die Datei 'C:\WINDOWS\system32\awyymynp.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/PrivacySet.A' [trojan].
Die Datei 'C:\WINDOWS\system32\crypts.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Downloader.Gen' [trojan].
Die Datei 'C:\WINDOWS\system32\ginqjhth.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.3648.1' [trojan].
Die Datei 'C:\WINDOWS\system32\rqrleuml.dll.ren'
enthielt einen Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan].
Die Datei 'C:\WINDOWS\system32\WinNt32.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].
Die Datei 'C:\WINDOWS\Temp\CEE3.tmp'
enthielt einen Virus oder unerwünschtes Programm 'TR/Patched.BR.20' [trojan].
Die Datei 'C:\WINDOWS\Temp\D783.tmp'
enthielt einen Virus oder unerwünschtes Programm 'TR/Patched.BR.20' [trojan].
         
HiJackThis habe ich danach auch laufen lassen:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:03:57, on 17/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
c:\program files\avira\antivir personaledition classic\avcenter.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files\Miranda IM\miranda32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\Documents and Settings\***\Desktop\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [dvd43] C:\Program Files\dvd43\dvd43_tray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EA Link\Core.exe" -silent
O4 - HKCU\..\Run: [Vidalia] "C:\Program Files\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [fli4l] "C:\Documents and Settings\***\Desktop\Imonc2_0_7f\Imonc.exe" /s:10.0.0.1 
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {759AA6A5-76B2-43E2-B940-B0C336C69E01} - h**p://202.106.184.51/download/VodoneActivex.cab
O16 - DPF: {bdbde413-7b1c-4c68-a8ff-c5b2b4090876} (F-Secure Online Scanner 3.3) - h**p://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEF97322-54F2-4EEE-8F20-4B2ECDA4E61B}: NameServer = 10.0.0.1
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (antivirscheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (antivirservice) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

--
End of file - 7411 bytes
         
Ich hoffe, dass ich jetzt alles richtig zusammengetragen habe

Vielen Dank und schöne Grüße,
Buergy

Alt 18.05.2008, 07:47   #2
Vista_User
 
Trojanerfund(e) - Standard

Trojanerfund(e)



Ich würde das System neu aufsetzen.
__________________


Alt 18.05.2008, 08:24   #3
Sunny
Administrator
> Competence Manager
 

Trojanerfund(e) - Standard

Trojanerfund(e)



Zitat:
Zitat von Vista_User Beitrag anzeigen
Ich würde das System neu aufsetzen.
Und, wie kommst du zu dieser Aussage?

Zum einen ist dein Beitrag wenig hilfreich als auch nicht-informativ.
Man sollte solch eine Aussage schon begründen können und müssen.



@Buergy



arbeite zunächst folgendes ab:



Schädlinge im Ordner der Systemwiederherstellung:

(Systemwiederherstellung kann nun wieder aktiviert werden.)




Malwarebytes' Anti-Malware
  • Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:



ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen.



__________________
__________________

Alt 18.05.2008, 10:09   #4
Buergy
 
Trojanerfund(e) - Standard

Trojanerfund(e)



Hallo Sunny,

erstmal Danke für deine Hilfe.
Kann das Log leider nichtmehr in das Ausgangspost einfügen, deswegen gibt es es hier.
Code:
ATTFilter
ComboFix 08-05-15.3 - *** 2008-05-18 10:53:36.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1033.18.1638 [GMT 2:00]
Running from: C:\Documents and Settings\***\Desktop\ComboFix.exe
 * Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\awttuvvw.dll
C:\WINDOWS\system32\braskncb.ini
C:\WINDOWS\system32\crypts.dll
C:\WINDOWS\system32\drivers\Osv14.sys
C:\WINDOWS\system32\epfwkhmn.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mhlduvgb.ini
C:\WINDOWS\system32\neemgrps.ini
C:\WINDOWS\system32\PpWvyGgh.ini
C:\WINDOWS\system32\PpWvyGgh.ini2
C:\WINDOWS\system32\WinNt32.dll
C:\WINDOWS\system32\wvvuttwa.ini

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_OSV14
-------\Legacy_tcpsr
-------\Service_Osv14
-------\Service_yzbgqap


(((((((((((((((((((((((((   Files Created from 2008-04-18 to 2008-05-18  )))))))))))))))))))))))))))))))
.

2008-05-18 09:58 . 2008-05-18 09:58	<DIR>	d--------	C:\Program Files\Malwarebytes' Anti-Malware
2008-05-18 09:58 . 2008-05-18 09:58	<DIR>	d--------	C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-18 09:58 . 2008-05-05 20:46	27,048	--a------	C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-18 09:58 . 2008-05-05 20:46	15,864	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-05-17 20:46 . 2008-05-17 20:46	<DIR>	d--------	C:\Program Files\Uniblue
2008-05-17 20:14 . 2008-05-17 20:14	<DIR>	d--------	C:\fsaua.data
2008-05-17 20:08 . 2008-05-17 20:08	<DIR>	d--------	C:\Program Files\CCleaner
2008-05-16 21:26 . 2008-05-16 21:26	<DIR>	d--------	C:\Program Files\Avira
2008-05-16 21:21 . 2008-05-16 21:55	<DIR>	d--------	C:\Program Files\Spyware Terminator
2008-05-16 21:21 . 2008-05-17 04:18	<DIR>	d--------	C:\Documents and Settings\All Users\Application Data\Spyware Terminator
2008-05-16 21:21 . 2008-05-16 21:21	141,312	--a------	C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
2008-05-12 13:10 . 2008-05-12 13:10	<DIR>	d--------	C:\Documents and Settings\LocalService\Application Data\AdobeUM
2008-05-12 01:48 . 2008-05-17 17:33	109,817	--a------	C:\WINDOWS\BMd3484755.xml
2008-05-11 13:39 . 2008-05-11 13:40	2	--a------	C:\-797215642
2008-05-01 18:01 . 2008-05-01 18:01	<DIR>	d--------	C:\Program Files\Advanced GIF Animator
2008-04-26 23:09 . 2008-04-26 23:09	<DIR>	d--------	C:\Documents and Settings\All Users\Application Data\TVU Networks
2008-04-26 02:12 . 2008-04-26 02:34	128	--a------	C:\index.php
2008-04-20 10:41 . 2008-04-20 10:41	290	--a------	C:\config.php
2008-04-19 19:23 . 2008-04-19 19:23	170	--a------	C:\icon_arrow.gif

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-17 19:01	96,256	----a-w	C:\WINDOWS\system32\drivers\sptd2317.sys
2008-05-17 19:00	---------	d-----w	C:\Program Files\Mozilla Thunderbird
2008-05-17 13:53	---------	d-----w	C:\Program Files\FlashGet
2008-05-16 19:26	---------	d-----w	C:\Documents and Settings\All Users\Application Data\Avira
2008-05-16 14:56	---------	d-----w	C:\Program Files\Folder Lock
2008-04-26 21:09	---------	d-----w	C:\Program Files\TVUPlayer
2008-04-09 15:10	---------	d-----w	C:\Program Files\TibiaCam TV Lite
2008-04-08 15:06	---------	d-----w	C:\Program Files\Tibia
2008-03-30 14:04	---------	d-----w	C:\Program Files\SopCast
2008-03-24 20:19	---------	d-----w	C:\Program Files\PictureResizer
2008-03-10 14:00	53,248	----a-w	C:\WINDOWS\system32\suppdll.dll
2008-03-10 14:00	35,363	----a-w	C:\WINDOWS\system32\windrvNT.sys
2006-05-06 16:42	7,260,160	----a-w	C:\Program Files\mozilla firefox\plugins\libvlc.dll
.

------- Sigcheck -------

2007-05-29 20:25  360576  1dd47b236399bd231e0f0d1017febe8a	C:\WINDOWS\system32\dllcache\TCPIP.SYS
2007-05-29 20:25  360576  1dd47b236399bd231e0f0d1017febe8a	C:\WINDOWS\system32\drivers\TCPIP.SYS
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:56 15360]
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-06-26 11:36 67128]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2006-07-19 22:17 1694208]
"EA Core"="C:\Program Files\Electronic Arts\EA Link\Core.exe" [2007-04-17 07:59 2887680]
"Vidalia"="C:\Program Files\Vidalia Bundle\Vidalia\vidalia.exe" [2007-06-02 05:27 12112384]
"fli4l"="C:\Documents and Settings\***\Desktop\Imonc2_0_7f\Imonc.exe" [ ]
"Uniblue RegistryBooster 2"="C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe" [2007-09-06 15:27 1910040]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-07-27 17:01 68096 C:\WINDOWS\SOUNDMAN.EXE]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-02-14 05:05 7557120]
"nwiz"="nwiz.exe" [2006-02-14 05:05 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-02-14 05:05 86016]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00 132496]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2005-12-10 16:57 133016]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2006-06-21 19:14 35328]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-10-15 16:00 155648]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-05-10 10:48 94208 C:\WINDOWS\KHALMNPR.Exe]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 21:24 32768]
"dvd43"="C:\Program Files\dvd43\dvd43_tray.exe" [2006-05-22 13:26 694272]
"TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" [2007-11-05 23:32 185632]
"Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-11-24 02:06 487424]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 21:33 57344]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:56 15360]

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Adobe Reader - Schnellstart.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 04:44:06 29696]
Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2007-06-26 11:36:50 67128]
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2007-02-28 11:30:14 593920]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqrleuml]
rqRLEUml.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= DivXa32.acm
"msacm.l3codec"= L3codecp.acm
"vidc.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\PPLive\\PPLive.exe"=
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"C:\\Program Files\\PPMate\\ppmate.exe"=
"C:\\Program Files\\PPMate\\ppamnet.exe"=
"C:\\Program Files\\SopCast\\SopCast.exe"=
"C:\\Program Files\\Tibia\\Tibia.exe"=
"C:\\Program Files\\Miranda IM\\miranda32.exe"=
"C:\\Program Files\\Azureus\\Azureus.exe"=
"C:\\Program Files\\Last.fm\\LastFM.exe"=
"C:\\Program Files\\TVAnts\\Tvants.exe"=
"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Program Files\\X-Chat 2\\xchat.exe"=
"C:\\Program Files\\TVUPlayer\\TVUPlayer.exe"=
"C:\\Program Files\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"=
"C:\\Program Files\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"=

R0 uliagpkx;ULi AGP Bus Filter Driver;C:\WINDOWS\system32\DRIVERS\agpkx.sys [2005-05-03 17:31]
R1 SSHDRV76;SSHDRV76;C:\WINDOWS\system32\drivers\SSHDRV76.sys [2006-08-28 18:19]
R2 ACEDRV06;ACEDRV06;C:\WINDOWS\system32\drivers\ACEDRV06.sys [2006-08-23 14:21]
R2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys [2006-06-30 01:53]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;C:\WINDOWS\system32\DRIVERS\ULILAN51.SYS [2005-03-22 20:36]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-05-18 10:58:52
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ... 

scanning hidden autostart entries ...

scanning hidden files ... 


disk error: C:\WINDOWS\system32\drivers\
disk error: C:\DOCUME~1\***\LOCALS~1\Temp\
disk error: C:\WINDOWS\TEMP\
disk error: C:\WINDOWS\system32\
disk error: C:\WINDOWS\
disk error: C:\WINDOWS\system32\wbem\
disk error: C:\Program Files\Common Files\
disk error: C:\Documents and Settings\***\Application Data\
disk error: C:\WINDOWS\Downloaded Program Files\
disk error: C:\
disk error: C:\Documents and Settings\***\Local Settings\Application Data\
disk error: C:\WINDOWS\Fonts\
disk error: C:\Program Files\
disk error: C:\Documents and Settings\***\Start Menu\Programs\Startup\
disk error: C:\Documents and Settings\All Users\Start Menu\Programs\Startup\

scan completed successfully
hidden files: 

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.bin
C:\Program Files\Common Files\Logitech\KhalShared\KHALMNPR.exe
C:\Program Files\Common Files\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
.
**************************************************************************
.
Completion time: 2008-05-18 11:02:47 - machine was rebooted
ComboFix-quarantined-files.txt  2008-05-18 09:02:44

Pre-Run: 255,451,451,392 bytes free
Post-Run: 256,281,038,848 bytes free

186
         

Alt 18.05.2008, 10:15   #5
Sunny
Administrator
> Competence Manager
 

Trojanerfund(e) - Standard

Trojanerfund(e)



Suche auf deinem Systemlaufwerk (c:\) folgende Datei:


---> rqRLEUml.dll


wenn du sie gefunden hast:



Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Zitat:
c:\.....\rqRLEUml.dll
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 18.05.2008, 10:33   #6
Buergy
 
Trojanerfund(e) - Standard

Trojanerfund(e)



Hallo Sunny,

die Windows-Suche findet diese Datei leider nicht.
Habe auch in System- und versteckten Ordern gesucht, hat aber nichts gefunden.

Schöne Grüße,
Buergy

Alt 18.05.2008, 10:37   #7
Sunny
Administrator
> Competence Manager
 

Trojanerfund(e) - Standard

Trojanerfund(e)



Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:
ATTFilter
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqrleuml]

FILE::
C:\WINDOWS\system32\rqrleuml.dll
         
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann






Combofix Deinstallieren


Klick auf Start -> Ausführen -> eintippen combofix /U

Damit ist Combofix und alle weiteren Programme entfernt wurden.
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 18.05.2008, 12:36   #8
Buergy
 
Trojanerfund(e) - Standard

Trojanerfund(e)



So hab das mal umgesetzt, irgendwie läuft mein PC jetzt auch eine Ecke schneller.

Hier ist das aktuelle Log:
Code:
ATTFilter
ComboFix 08-05-15.3 - *** 2008-05-18 13:23:38.4 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1033.18.1697 [GMT 2:00]
Running from: C:\Documents and Settings\***\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((   Files Created from 2008-04-18 to 2008-05-18  )))))))))))))))))))))))))))))))
.

2008-05-18 11:02 . 	<DIR>		C:\Documents and Settings\***
2008-05-18 09:58 . 2008-05-18 09:58	<DIR>	d--------	C:\Program Files\Malwarebytes' Anti-Malware
2008-05-18 09:58 . 2008-05-18 09:58	<DIR>	d--------	C:\Documents and Settings\***\Application Data\Malwarebytes
2008-05-18 09:58 . 2008-05-18 09:58	<DIR>	d--------	C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-18 09:58 . 2008-05-05 20:46	27,048	--a------	C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-18 09:58 . 2008-05-05 20:46	15,864	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-05-17 20:46 . 2008-05-17 20:46	<DIR>	d--------	C:\Program Files\Uniblue
2008-05-17 20:46 . 2008-05-17 20:46	<DIR>	d--------	C:\Documents and Settings\***\Application Data\Uniblue
2008-05-17 20:14 . 2008-05-17 20:14	<DIR>	d--------	C:\fsaua.data
2008-05-17 20:08 . 2008-05-17 20:08	<DIR>	d--------	C:\Program Files\CCleaner
2008-05-16 21:26 . 2008-05-16 21:26	<DIR>	d--------	C:\Program Files\Avira
2008-05-16 21:21 . 2008-05-16 21:55	<DIR>	d--------	C:\Program Files\Spyware Terminator
2008-05-16 21:21 . 2008-05-16 21:55	<DIR>	d--------	C:\Documents and Settings\***\Application Data\Spyware Terminator
2008-05-16 21:21 . 2008-05-17 04:18	<DIR>	d--------	C:\Documents and Settings\All Users\Application Data\Spyware Terminator
2008-05-16 21:21 . 2008-05-16 21:21	141,312	--a------	C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
2008-05-12 13:10 . 2008-05-12 13:10	<DIR>	d--------	C:\Documents and Settings\LocalService\Application Data\AdobeUM
2008-05-12 01:48 . 2008-05-17 17:33	109,817	--a------	C:\WINDOWS\BMd3484755.xml
2008-05-11 13:39 . 2008-05-11 13:40	2	--a------	C:\-797215642
2008-05-01 18:01 . 2008-05-01 18:01	<DIR>	d--------	C:\Program Files\Advanced GIF Animator
2008-04-26 23:09 . 2008-04-26 23:09	<DIR>	d--------	C:\Documents and Settings\***\LocalLow
2008-04-26 23:09 . 2008-04-26 23:09	<DIR>	d--------	C:\Documents and Settings\***\LocalLow
2008-04-26 23:09 . 2008-04-26 23:09	<DIR>	d--------	C:\Documents and Settings\All Users\Application Data\TVU Networks
2008-04-26 02:12 . 2008-04-26 02:34	128	--a------	C:\index.php
2008-04-20 10:41 . 2008-04-20 10:41	290	--a------	C:\config.php
2008-04-19 19:23 . 2008-04-19 19:23	170	--a------	C:\icon_arrow.gif

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-18 11:07	---------	d-----w	C:\Documents and Settings\***\Application Data\Vidalia
2008-05-18 11:07	---------	d-----w	C:\Documents and Settings\***\Application Data\OpenOffice.org2
2008-05-17 19:01	96,256	----a-w	C:\WINDOWS\system32\drivers\sptd2317.sys
2008-05-17 19:00	---------	d-----w	C:\Program Files\Mozilla Thunderbird
2008-05-17 18:51	---------	d-----w	C:\Documents and Settings\***\Application Data\Azureus
2008-05-17 13:53	---------	d-----w	C:\Program Files\FlashGet
2008-05-16 19:26	---------	d-----w	C:\Documents and Settings\All Users\Application Data\Avira
2008-05-16 14:56	---------	d-----w	C:\Program Files\Folder Lock
2008-05-09 12:19	---------	d-----w	C:\Documents and Settings\***\Application Data\Tibia
2008-04-26 21:09	---------	d-----w	C:\Program Files\TVUPlayer
2008-04-09 15:10	---------	d-----w	C:\Program Files\TibiaCam TV Lite
2008-04-08 15:06	---------	d-----w	C:\Program Files\Tibia
2008-03-30 14:04	---------	d-----w	C:\Program Files\SopCast
2008-03-24 20:19	---------	d-----w	C:\Program Files\PictureResizer
2008-03-10 14:00	53,248	----a-w	C:\WINDOWS\system32\suppdll.dll
2008-03-10 14:00	35,363	----a-w	C:\WINDOWS\system32\windrvNT.sys
2008-02-27 16:10	21,560	----a-w	C:\Documents and Settings\***\Application Data\GDIPFONTCACHEV1.DAT
2006-05-06 16:42	7,260,160	----a-w	C:\Program Files\mozilla firefox\plugins\libvlc.dll
.

------- Sigcheck -------

2007-05-29 20:25  360576  1dd47b236399bd231e0f0d1017febe8a	C:\WINDOWS\system32\dllcache\TCPIP.SYS
2007-05-29 20:25  360576  1dd47b236399bd231e0f0d1017febe8a	C:\WINDOWS\system32\drivers\TCPIP.SYS
.
(((((((((((((((((((((((((((((   snapshot@2008-05-18_11.02.34.78   )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-18 08:58:03	2,048	--s-a-w	C:\WINDOWS\bootstat.dat
+ 2008-05-18 11:19:19	2,048	--s-a-w	C:\WINDOWS\bootstat.dat
- 2008-05-18 08:45:05	58,800	----a-w	C:\WINDOWS\system32\perfc009.dat
+ 2008-05-18 11:23:43	58,800	----a-w	C:\WINDOWS\system32\perfc009.dat
- 2008-05-18 08:45:05	392,626	----a-w	C:\WINDOWS\system32\perfh009.dat
+ 2008-05-18 11:23:44	392,626	----a-w	C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:56 15360]
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-06-26 11:36 67128]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2006-07-19 22:17 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-07-27 17:01 68096 C:\WINDOWS\SOUNDMAN.EXE]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-02-14 05:05 7557120]
"nwiz"="nwiz.exe" [2006-02-14 05:05 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-02-14 05:05 86016]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00 132496]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2005-12-10 16:57 133016]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-10-15 16:00 155648]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-05-10 10:48 94208 C:\WINDOWS\KHALMNPR.Exe]
"TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" [2007-11-05 23:32 185632]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 21:33 57344]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"MSConfig"="C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.exe" [2006-07-19 22:16 169984]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:56 15360]

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2007-06-26 11:36:50 67128]
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2007-02-28 11:30:14 593920]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= DivXa32.acm
"msacm.l3codec"= L3codecp.acm
"vidc.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Reader - Schnellstart.lnk]
path=C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^***^Start Menu^Programs^Startup^OpenOffice.org 2.2.lnk]
path=C:\Documents and Settings\***\Start Menu\Programs\Startup\OpenOffice.org 2.2.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.2.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dvd43]
--a------ 2006-05-22 13:26 694272 C:\Program Files\dvd43\dvd43_tray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EA Core]
--a------ 2007-04-17 07:59 2887680 C:\Program Files\Electronic Arts\EA Link\Core.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\fli4l]
--a------ 2004-08-25 22:44 2031616 C:\Documents and Settings\***\Desktop\Imonc2_0_7f\Imonc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 12:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-11-02 21:24 32768 C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2006-11-24 02:06 487424 C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster 2]
--a------ 2007-09-06 15:27 1910040 C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Vidalia]
--a------ 2007-06-02 05:27 12112384 C:\Program Files\Vidalia Bundle\Vidalia\vidalia.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2006-06-21 19:14 35328 C:\Program Files\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\PPLive\\PPLive.exe"=
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"C:\\Program Files\\PPMate\\ppmate.exe"=
"C:\\Program Files\\PPMate\\ppamnet.exe"=
"C:\\Program Files\\SopCast\\SopCast.exe"=
"C:\\Program Files\\Tibia\\Tibia.exe"=
"C:\\Program Files\\Miranda IM\\miranda32.exe"=
"C:\\Program Files\\Azureus\\Azureus.exe"=
"C:\\Program Files\\Last.fm\\LastFM.exe"=
"C:\\Program Files\\TVAnts\\Tvants.exe"=
"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Program Files\\X-Chat 2\\xchat.exe"=
"C:\\Program Files\\TVUPlayer\\TVUPlayer.exe"=
"C:\\Program Files\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"=
"C:\\Program Files\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"=

R0 uliagpkx;ULi AGP Bus Filter Driver;C:\WINDOWS\system32\DRIVERS\agpkx.sys [2005-05-03 17:31]
R1 SSHDRV76;SSHDRV76;C:\WINDOWS\system32\drivers\SSHDRV76.sys [2006-08-28 18:19]
R2 ACEDRV06;ACEDRV06;C:\WINDOWS\system32\drivers\ACEDRV06.sys [2006-08-23 14:21]
R2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys [2006-06-30 01:53]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;C:\WINDOWS\system32\DRIVERS\ULILAN51.SYS [2005-03-22 20:36]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-05-18 13:26:51
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ... 

scanning hidden autostart entries ...

scanning hidden files ... 


disk error: C:\WINDOWS\system32\drivers\
disk error: C:\DOCUME~1\***\LOCALS~1\Temp\
disk error: C:\WINDOWS\TEMP\
disk error: C:\WINDOWS\
disk error: C:\WINDOWS\system32\wbem\
disk error: C:\Program Files\Common Files\
disk error: C:\Documents and Settings\***\Application Data\
disk error: C:\
disk error: C:\Program Files\
disk error: C:\Documents and Settings\***\Local Settings\Application Data\
disk error: C:\Documents and Settings\***\Start Menu\Programs\Startup\
disk error: C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
disk error: C:\WINDOWS\Downloaded Program Files\
disk error: C:\WINDOWS\Fonts\
disk error: C:\WINDOWS\system32\

scan completed successfully
hidden files: 

**************************************************************************
.
Completion time: 2008-05-18 13:27:13
ComboFix-quarantined-files.txt  2008-05-18 11:27:12
ComboFix2.txt  2008-05-18 11:14:08
ComboFix3.txt  2008-05-18 11:03:43
ComboFix4.txt  2008-05-18 09:02:48

Pre-Run: 256,214,228,992 bytes free
Post-Run: 256,201,601,024 bytes free

185
         

Alt 18.05.2008, 14:48   #9
Sunny
Administrator
> Competence Manager
 

Trojanerfund(e) - Standard

Trojanerfund(e)



Ich kann aus der combofix.txt keine Infizierungen mehr erkennen, wenn es deinerseits auch keine Probleme mehr gibt würde ich sagen "du bist entlassen"..

Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 18.05.2008, 16:06   #10
Buergy
 
Trojanerfund(e) - Standard

Trojanerfund(e)



So habe gerade nochmals Antivir laufen lassen und es wurde nichts gefunden

Ich möchte mich hiermit bei dir, Sunny, herzlichst bedanken für die Hilfe.
Spitzen Arbeit, die Respekt verdient :aplaus:
Danke nochmals!

Ein schönes Restwochende wünscht,
Buergy

Alt 18.05.2008, 16:07   #11
Sunny
Administrator
> Competence Manager
 

Trojanerfund(e) - Standard

Trojanerfund(e)



Zitat:
Zitat von Buergy Beitrag anzeigen
Ein schönes Restwochende wünscht,
Dankeschön, dir auch ..
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Antwort

Themen zu Trojanerfund(e)
adobe, antivir, antivirus, application, avira, c.exe, c:\windows\temp, desktop, excel, f-secure, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla, mozilla firefox, photoshop, programm, rundll, software, spyware, spyware terminator, system, temp, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/crypt.xpack.gen', tr/privacyset.a, tr/vundo.gen, trojan, trojanerfund, virus, werbung, windows, windows xp, windows\temp




Ähnliche Themen: Trojanerfund(e)


  1. Windows XP: Trojanerfund
    Log-Analyse und Auswertung - 26.02.2015 (5)
  2. Trojanerfund nach LAN-Party
    Log-Analyse und Auswertung - 19.11.2013 (11)
  3. Hilfe....Trojanerfund
    Plagegeister aller Art und deren Bekämpfung - 06.11.2013 (7)
  4. Trojanerfund
    Log-Analyse und Auswertung - 23.07.2013 (12)
  5. Trojanerfund auf Mac
    Alles rund um Mac OSX & Linux - 22.02.2013 (3)
  6. Trojanerfund JavaHH und Java DI-FC
    Plagegeister aller Art und deren Bekämpfung - 15.08.2012 (3)
  7. Trojanerfund TR/Ezula.AL.515 / OTL-Log Analyse
    Log-Analyse und Auswertung - 18.05.2012 (1)
  8. Trojanerfund + 80 Leerlaufprozesse
    Log-Analyse und Auswertung - 29.02.2012 (22)
  9. Trojanerfund, nun Antivierenprogramme blockiert
    Plagegeister aller Art und deren Bekämpfung - 23.12.2009 (1)
  10. Trojanerfund
    Log-Analyse und Auswertung - 17.10.2009 (5)
  11. Trojanerfund
    Plagegeister aller Art und deren Bekämpfung - 13.10.2009 (5)
  12. Trojanerfund tr/dropper.gen
    Plagegeister aller Art und deren Bekämpfung - 20.08.2009 (17)
  13. Trojanerfund Spy.Gen
    Log-Analyse und Auswertung - 19.05.2008 (13)
  14. Trojanerfund TR/Vundo.DWB
    Plagegeister aller Art und deren Bekämpfung - 18.01.2008 (0)
  15. !!!!!!Trojanerfund von Anti-Vir!!!!!!
    Log-Analyse und Auswertung - 29.09.2007 (7)
  16. Trojanerfund bei Navigationsgerät
    Plagegeister aller Art und deren Bekämpfung - 09.12.2006 (1)
  17. Trojanerfund
    Plagegeister aller Art und deren Bekämpfung - 26.03.2003 (16)

Zum Thema Trojanerfund(e) - Guten Abend, in den letzten Tagen ist mir aufgefallen, dass sich mehrmals täglich selbstständig irgendwelche Firefox-Tabs öffnen in denen irgendwelche Werbung geöffnet wird (genaueres kann ich nicht sagen, da ich - Trojanerfund(e)...
Archiv
Du betrachtest: Trojanerfund(e) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.