| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: setup.exe blockiertWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
03.06.2008, 08:06
| #1 |
 |  setup.exe blockiert hallo zusammen, hab mal mein erstes GROSSES Problem ich hab mir mal eine datei heruntergeladen (über limewire), hab dann auf die vorhandene Setup.exe geklickt, dann stand da "Fehler...." und seitdem wurden meine automatischen updates für mein "Windows XP home editon" abgeschaltet und wenn ich sie wieder anschalten wollte tat sich nichts. auch kann ich keine virendurchsuchung mehr mit meinem Trend micro PC-cillin internet security 2007 durchführen. jede stunde oder so zeigt mir die Internet security an dass ich eine verbindung auf eine gefährliche internetseite herstellen will, obwohl ich keinen einzigen browser gestartet habe, das ist dann irgend so eine seite mit einer ip-adresse am anfang. Ich wollte mir dann einen freeware scanner runterladen, doch den konnte ich erst gar nicht installieren. wo ich dann am nächsten tag meinen pc startete fand meine internet seceurity einen Virus, hat ihn dann auch gleich gelöscht. doch geändert hat sich dadurch nichts. Darauf fand sie noch einen Virus in C:\System Volume Information\ konnte ihn aber nicht löschen sie wies mich darauf an ihn manuel zu löschen doch ich habe auf diesen Ordner keinen zugriff sagt mir das system. es ist zum kotzen, mein PC ist dermaßen lahm ich hoffe ihr könnt mir helfen lg matthias Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 08:18:31, on 03.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\system32\E_S00RP1.EXE C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe C:\WINDOWS\system32\SAgent4.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\igfxtray.exe C:\Programme\KGB\Mpk.exe C:\Programme\Trend Micro\Internet Security 2007\pccguide.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Unlocker\UnlockerAssistant.exe C:\Programme\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEMon.exe C:\WINDOWS\system32\Rundll32.exe C:\Programme\DSL-Manager\DslMgr.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\DSL-Manager\DslMgrSvc.exe C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe C:\WINDOWS\system32\cidaemon.exe C:\WINDOWS\explorer.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Softwin\BitDefender10\vsserv.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe C:\Programme\Softwin\BitDefender10\bdagent.exe C:\Programme\Softwin\BitDefender10\bdmcon.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Mozilla Firefox\firefox.exe C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe C:\Dokumente und Einstellungen\Fuß\Desktop\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.2.1:80 O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: (no name) - {7b3b29e7-3696-45d4-b59c-48f2803b3e36} - (no file) O3 - Toolbar: ImageShack Toolbar - {6932D140-ABC4-4073-A44C-D4A541665E35} - C:\Programme\ImageShackToolbar\ImageShackToolbar.dll O3 - Toolbar: Kwyshell MidpX - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600" O4 - HKLM\..\Run: [_winadm] C:\WINDOWS\system32\winadm.exe O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security 2007\pccguide.exe" O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [94d0754d] rundll32.exe "C:\WINDOWS\system32\rsrvabru.dll",b O4 - HKLM\..\Run: [BM97e346d1] Rundll32.exe "C:\WINDOWS\system32\csjgitae.dll",s O4 - HKLM\..\Run: [Antivirus] C:\Programme\VAV\vav.exe O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender10\bdmcon.exe" /reg O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe" O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /M "Stylus CX3600" /EF "HKCU" O4 - HKCU\..\Run: [OE] "C:\Programme\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEMon.exe" O4 - HKCU\..\Run: [Windows Update] C:\WINDOWS\system32\scvhost.exe O4 - HKCU\..\Run: [Antivirus] C:\Programme\VAV\vav.exe O4 - HKLM\..\Policies\Explorer\Run: [Mpk.exe] C:\Programme\KGB\Mpk.exe O4 - HKUS\S-1-5-21-839522115-1682526488-2147125571-1009\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (User 'Matthias') O4 - HKUS\S-1-5-21-839522115-1682526488-2147125571-1009\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" (User 'Matthias') O4 - HKUS\S-1-5-21-839522115-1682526488-2147125571-1009\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent (User 'Matthias') O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (User 'SYSTEM') O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (User 'Default user') O4 - Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = C:\Programme\VR-NetWorld\VRToolCheckOrder.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Programme\ShoppingReport\Bin\2.0.21\ShoppingReport.dll O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Programme\ShoppingReport\Bin\2.0.21\ShoppingReport.dll O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6932D140-ABC4-4073-A44C-D4A541665E35} (ImageShack Toolbar) - http://toolbar.imageshack.us/toolbar/ImageShackToolbar.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file) O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP1.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe O23 - Service: Trend Micro Spyware-Schutz (PcScnSrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe O23 - Service: Epson Printer Status Agent4 (StatusAgent4) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\SAgent4.exe O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\DSL-Manager\DslMgrSvc.exe O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe O23 - Service: Tor Win32 Service (tor) - Unknown owner - C:\Programme\Vidalia Bundle\Tor\tor.exe O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe O24 - Desktop Component 0: (no name) - -- End of file - 9864 bytes |
|
03.06.2008, 08:29
| #2 | |
  |  setup.exe blockiert Hi,
__________________voll erwischt; Wenn schon zweifelhafte Quellen, dann vorher online prüfen lassen! Bitte folgende Files prüfen: Zitat:
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen Poste die Ergebnisse mit Filename, nicht erkannte Files unten rausnehmen (Avenger/HJ)! Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:  2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Mpk.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Windows Update
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Antivirus
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|94d0754d
HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Antivirus
Files to delete:
C:\WINDOWS\system32\scvhost.exe
C:\Programme\VAV\vav.exe
C:\WINDOWS\system32\rsrvabru.dll
C:\WINDOWS\system32\csjgitae.dll
C:\Programme\KGB\Mpk.exe
4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter O24 - Desktop Component 0: (no name) -
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Programme\ShoppingReport\Bin\2.0.21\ShoppingRep ort.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Programme\ShoppingReport\Bin\2.0.21\ShoppingRep ort.dll
O4 - HKCU\..\Run: [Windows Update] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [Antivirus] C:\Programme\VAV\vav.exe
O4 - HKLM\..\Policies\Explorer\Run: [Mpk.exe] C:\Programme\KGB\Mpk.exe
O4 - HKLM\..\Run: [94d0754d] rundll32.exe "C:\WINDOWS\system32\rsrvabru.dll",b
O4 - HKLM\..\Run: [BM97e346d1] Rundll32.exe "C:\WINDOWS\system32\csjgitae.dll",s
O4 - HKLM\..\Run: [Antivirus] C:\Programme\VAV\vav.exe
O3 - Toolbar: (no name) - {7b3b29e7-3696-45d4-b59c-48f2803b3e36} - (no file)
Art
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:Ein Leitfaden und Tutorium zur Nutzung von ComboFix Antimalewarebyte: http://www.trojaner-board.de/51187-a...i-malware.html Poste alle Logs und ein neues HJ-Log... Chris
__________________ |
|
03.06.2008, 09:49
| #3 | |
| | setup.exe blockiertZitat:
ich hab jetzt die Files gescannt jetzt werde ich gleich "The Avenger" starten rsrvabrv.dll: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.30.1 2008.06.03 - AntiVir 7.8.0.26 2008.06.03 - Authentium 5.1.0.4 2008.06.02 - Avast 4.8.1195.0 2008.06.03 - AVG 7.5.0.516 2008.06.03 - BitDefender 7.2 2008.06.03 - CAT-QuickHeal 9.50 2008.06.02 - ClamAV 0.92.1 2008.06.02 - DrWeb 4.44.0.09170 2008.06.03 - eSafe 7.0.15.0 2008.06.02 - eTrust-Vet 31.4.5844 2008.06.03 - Ewido 4.0 2008.06.02 - F-Prot 4.4.4.56 2008.06.02 - F-Secure 6.70.13260.0 2008.06.03 - Fortinet 3.14.0.0 2008.06.03 - GData 2.0.7306.1023 2008.06.03 - Ikarus T3.1.1.26.0 2008.06.03 - Kaspersky 7.0.0.125 2008.06.03 - McAfee 5308 2008.06.02 - Microsoft 1.3604 2008.06.03 - NOD32v2 3153 2008.06.03 Win32/Adware.Virtumonde Norman 5.80.02 2008.06.02 - Panda 9.0.0.4 2008.06.02 - Prevx1 V2 2008.06.03 Fraudulent Security Program Rising 20.47.11.00 2008.06.03 - Sophos 4.29.0 2008.06.03 - Sunbelt 3.0.1143.1 2008.06.03 - Symantec 10 2008.06.03 - TheHacker 6.2.92.332 2008.06.03 - VBA32 3.12.6.7 2008.06.03 - VirusBuster 4.3.26:9 2008.06.02 - Webwasher-Gateway 6.6.2 2008.06.03 Win32.Malware.gen!90 (suspicious) weitere Informationen File size: 95232 bytes MD5...: fea4331b2193221270f890a93e5aec96 SHA1..: ec78827fe262f9320773bead777e541ffe0a8b37 SHA256: 2b2250c00f92621940daffad99121567affdaed348ce90813634955faf77cb22 SHA512: 5173058a01ee1816aa973a6cde2844fbcf4beb71f999687c4cc3def1378098f3 1c70795358612cfe85eee862b2bbe6c57addc259bbd12d3a3c8436a01f12e56f PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x100016b8 timedatestamp.....: 0x42c19298 (Tue Jun 28 18:10:32 2005) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x5000 0x4800 2.54 966495f8964a4d9a43e8022b451c1760 .data 0x6000 0x2c000 0x10400 7.95 cdf0bc94993b83695409c80090437d10 .rdata 0x32000 0x1000 0xc00 6.02 3dc6f3e278f2106c5f96f880bff1182f .rsrc 0x33000 0x1000 0xc00 4.40 7619709af006852fab73382cf8108a4b .reloc 0x34000 0x1000 0xc00 1.40 5a5b1542c6f7be1f6b5baa386783c48a ( 4 imports ) > GDI32.DLL: CreateBitmapIndirect, GetWindowOrgEx, DescribePixelFormat, GdiSetPixelFormat, GetObjectA, GdiConvertAndCheckDC, GetTextFaceW, GdiCreateLocalEnhMetaFile, GetStretchBltMode, GetRgnBox, SetPolyFillMode, ExtEscape, GdiPlayJournal, GdiEntry1, SelectBrushLocal, ChoosePixelFormat, IntersectClipRect, AddFontResourceA, EnumICMProfilesA, GdiReleaseLocalDC, RealizePalette, GetMetaRgn, SetICMProfileW, GetViewportOrgEx, CopyMetaFileA, CopyMetaFileW, PolylineTo, GdiGetBatchLimit, GdiGetCharDimensions, OffsetClipRgn, BitBlt, CopyEnhMetaFileA, SetTextJustification, GdiConvertMetaFilePict, EqualRgn > KERNEL32.DLL: FlushInstructionCache, OpenSemaphoreW, DisconnectNamedPipe, GetConsoleAliasesLengthA, VirtualAlloc, OutputDebugStringW, GetConsoleTitleW, SetProcessWorkingSetSize, GetNamedPipeHandleStateW, WriteConsoleOutputW, ExitProcess, _hread, SetThreadAffinityMask, QueueUserAPC > OLE32.DLL: CoGetObject, OleCreateMenuDescriptor, CreateOleAdviseHolder, HBITMAP_UserMarshal, CreateFileMoniker, WdtpInterfacePointer_UserUnmarshal, OleConvertIStorageToOLESTREAM, CreateILockBytesOnHGlobal, CoTaskMemAlloc, WriteFmtUserTypeStg, CoRegisterMallocSpy, MonikerCommonPrefixWith, IsValidInterface, DoDragDrop, CoGetInterfaceAndReleaseStream, STGMEDIUM_UserUnmarshal, EnableHookObject, CoQueryClientBlanket, CoMarshalInterface, WriteStringStream, CLIPFORMAT_UserUnmarshal, OleCreateStaticFromData, HGLOBAL_UserUnmarshal, UtGetDvtd32Info, WriteClassStg, HPALETTE_UserUnmarshal, OleDuplicateData, OleCreateLink > OLEAUT32.DLL: VARIANT_UserFree, VarUI2FromR4, VarUI2FromR8, VarBoolFromI2, VarR8FromUI4, VarI1FromBool, VarI1FromCy, VarCyFromR4, SafeArrayDestroyData, RevokeActiveObject, VarUI2FromStr, VarDateFromI1, VarI4FromI2, DllGetClassObject, SafeArrayAccessData, VarR8FromDisp, VarR4FromI1, GetErrorInfo, VarDecFromUI1, VarI2FromBool, VarI2FromStr, SafeArrayPutElement, DispGetParam ( 0 exports ) csjgitae.dll: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.30.1 2008.06.03 - AntiVir 7.8.0.26 2008.06.03 - Authentium 5.1.0.4 2008.06.02 - Avast 4.8.1195.0 2008.06.03 - AVG 7.5.0.516 2008.06.03 - BitDefender 7.2 2008.06.03 - CAT-QuickHeal 9.50 2008.06.02 - ClamAV 0.92.1 2008.06.02 - DrWeb 4.44.0.09170 2008.06.03 - eSafe 7.0.15.0 2008.06.02 - eTrust-Vet 31.4.5844 2008.06.03 - Ewido 4.0 2008.06.02 - F-Prot 4.4.4.56 2008.06.02 - F-Secure 6.70.13260.0 2008.06.03 - Fortinet 3.14.0.0 2008.06.03 - GData 2.0.7306.1023 2008.06.03 - Ikarus T3.1.1.26.0 2008.06.03 - Kaspersky 7.0.0.125 2008.06.03 - McAfee 5308 2008.06.02 - Microsoft 1.3604 2008.06.03 - NOD32v2 3153 2008.06.03 - Norman 5.80.02 2008.06.02 W32/Virtumonde.WOU Panda 9.0.0.4 2008.06.02 - Prevx1 V2 2008.06.03 Fraudulent Security Program Rising 20.47.11.00 2008.06.03 - Sophos 4.29.0 2008.06.03 - Sunbelt 3.0.1143.1 2008.06.03 - Symantec 10 2008.06.03 - TheHacker 6.2.92.332 2008.06.03 - VBA32 3.12.6.7 2008.06.03 - VirusBuster 4.3.26:9 2008.06.02 - Webwasher-Gateway 6.6.2 2008.06.03 Win32.Malware.gen!90 (suspicious) weitere Informationen File size: 104448 bytes MD5...: 0cd9dc5d7482cac5195857e51c0a7f80 SHA1..: e560ea6317a5ef16ac53473d2ab53a0745b25c2b SHA256: 5d5e98519534ffbabbaf56c971546feb32394587d4b3afd59576499284a2def9 SHA512: 263938443be2ffd7f7f058356fc07a66249f6f2f94c70ba4a432a04dfa6f7fc9 50f266a4f94ec467a60911f049ff822fa2f95356d363c45334c6c680b2f155ad PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10001718 timedatestamp.....: 0x413604db (Wed Sep 01 17:20:27 2004) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x5000 0x4c00 2.01 91f3f42940885c8110c355e875127bee .data 0x6000 0x35000 0x12800 7.96 0a38529b91da0dbd65c8b4bcae6f0b27 .rdata 0x3b000 0x1000 0xc00 4.97 e9bb5f0c867fe874894510cae0fc9753 .rsrc 0x3c000 0x1000 0x1000 4.51 edc0bc96c76b21a08f57e4522c7db024 .reloc 0x3d000 0x1000 0x400 2.62 767a97efc487a97cb1c3385400717dc4 ( 3 imports ) > GDI32.DLL: GetObjectType, GetMetaRgn, GdiComment, GetTextCharset, GdiGetBatchLimit, bInitSystemAndFontsDirectoriesW, PolyPatBlt, PlayEnhMetaFileRecord, ExtTextOutA, GetPath, CreateScalableFontResourceW, SetViewportOrgEx, GetNearestColor, RectInRegion, CreateColorSpaceA, GdiEntry2, CloseFigure, AddFontResourceTracking, GetStockObject, CreateFontW, CreateEnhMetaFileA, GetCharWidthA, SetICMProfileA, GdiGetCharDimensions > KERNEL32.DLL: VirtualLock, SetConsoleTextAttribute, SetConsoleCtrlHandler, ReadFileEx, GetModuleFileNameW, BackupWrite, GetNumberFormatA, GetDateFormatW, SetConsoleDisplayMode, LocalCompact, TryEnterCriticalSection, IsDebuggerPresent, OutputDebugStringA, GetDriveTypeW, RtlFillMemory, SetConsoleNumberOfCommandsW, FatalExit, DebugBreak, WriteConsoleW, EnumTimeFormatsA, PeekNamedPipe, VirtualAlloc, VirtualFreeEx, SetConsoleMenuClose, GetDiskFreeSpaceExW, GlobalReAlloc, AddConsoleAliasA, GetPrivateProfileStringW, OpenProfileUserMapping, SetSystemTime, ExitProcess, WriteFileEx, EnumCalendarInfoA, GlobalAddAtomW, SetLocaleInfoW, QueryPerformanceCounter, EnumResourceTypesA > OLE32.DLL: CoQueryAuthenticationServices, CreateAntiMoniker, CoRegisterPSClsid, SNB_UserFree, CreateILockBytesOnHGlobal, StringFromCLSID, CoLockObjectExternal, HACCEL_UserFree, StgSetTimes, OleCreateFromDataEx, HMETAFILEPICT_UserMarshal, CoCopyProxy, ProgIDFromCLSID, RegisterDragDrop, OleRegGetMiscStatus ( 0 exports ) hab jetzt anvenger gestartet, hier das logfile: ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Platform: Windows XP (build 2600, Service Pack 2) Tue Jun 03 10:52:37 2008 10:52:32: Error: Invalid registry syntax in command: "HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Antivirus" Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program. Skipping line. (Registry value deletion mode) 10:52:37: Error: Execution aborted by user! ////////////////////////////////////////// Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "C:\WINDOWS\system32\scvhost.exe" not found! Deletion of file "C:\WINDOWS\system32\scvhost.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "C:\Programme\VAV\vav.exe" deleted successfully. File "C:\WINDOWS\system32\rsrvabru.dll" deleted successfully. File "C:\WINDOWS\system32\csjgitae.dll" deleted successfully. File "C:\Programme\KGB\Mpk.exe" deleted successfully. Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\SomeBadDriver" not found! Deletion of driver "SomeBadDriver" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Mpk.exe" Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Mpk.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Windows Update" Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Windows Update" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Antivirus" deleted successfully. Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|94d0754d" deleted successfully. Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Antivirus" Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Antivirus" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. Geändert von matthias_90 (03.06.2008 um 10:05 Uhr) |
|
03.06.2008, 10:25
| #4 |
| | setup.exe blockiert Hi, Du musst bei den Scripten aufpassen, dass sich keine Leerzeichen einschleichen, z. B. "HKLM\Software\Microsoft\Windows\CurrentVersion\Ru n|Mpk.exe" (hier bei Ru n); das bitte korregieren und nochmal durchlaufen lassen (das Löschen der Registry-Keys); Leerzeichen werden im Forum absichtlich "dazwischen" geschoben"... Dann weiter verfahren wie angegeben... chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
03.06.2008, 11:02
| #5 |
| | setup.exe blockiert der Registryeintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Antivirus" funktioniert mit Avenger nicht, nur HKEY_LOCAL_MACHINE Geändert von matthias_90 (03.06.2008 um 11:13 Uhr) |
|
03.06.2008, 12:09
| #6 |
| | setup.exe blockiert Hi, ja, isch weis ;o)... Bitte noch fixen mit HJ und combofix.log, sowie AntiMalewareByte... chris
__________________ --> setup.exe blockiert |
|
03.06.2008, 16:30
| #7 |
| | setup.exe blockiert ich hab jetzt das ganze soweit bis combofix erldedigt. jetzt geht wieder alles, nur stellt er immernoch eine Verbindung zu dieser Seite auf. werd jetzt noch antimalware installieren. werd nacher noch das combofix logfile posten achja und nochmal DANKE Geändert von matthias_90 (03.06.2008 um 16:55 Uhr) |
|
03.06.2008, 18:48
| #8 |
| | setup.exe blockiert Hi, mach das; Wenn wir den Ursprung der Verbindung nicht finden, probieren wir erst DSS aus und danach TCPView... DSS: Folge dieser Anleitung und poste die zwei Logs... Anleitung zu Deckard’s System Scanner - Forum - CHIP Online chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
05.06.2008, 14:14
| #9 |
| | setup.exe blockiert hatte gestern und vorgestern keine zeit, mein keller lief voll wasser  hab hier mal die beiden logs gepostet: antimalewarebyte: Malwarebytes' Anti-Malware 1.14 Datenbank Version: 818 15:06:09 04.06.2008 mbam-log-6-4-2008 (15-05-59).txt Scan Art: Komplett Scan (C:\|D:\|F:\|G:\|H:\|I:\|J:\|) Objekte gescannt: 169940 Scan Dauer: 21 hour(s), 23 minute(s), 29 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 1 Infizierte Registrierungsschlüssel: 10 Infizierte Registrierungswerte: 3 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 22 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: C:\WINDOWS\system32\nnnnMDUM.dll (Trojan.Vundo) -> Unloaded module successfully. Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{100eb1fd-d03e-47fd-81f3-ee91287f9465} (Adware.Shopping.Report) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\ShoppingReport (Adware.Shopping.Report) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\The Weather Channel (Adware.Hotbar) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Weather Services (Adware.Hotbar) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\94d0754d (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BM97e346d1 (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cpls\wxfw.dll (Adware.Hotbar) -> Quarantined and deleted successfully. Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\ctfmon.exe (Malware.Tool) -> Quarantined and deleted successfully. C:\msconfig.exe (Malware.Tool) -> Quarantined and deleted successfully. C:\Programme\Mozilla Firefox\regxpcom.exe (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\csrss.exe.vir (Trojan.DownLoader) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\kl.exe.vir (Malware.Tool) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\svchost.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\ljJDTNDU.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\oltfclay.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\pofntnju.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{045689BA-8F3B-4CC9-BE01-3F9D948A6A04}\RP524\A0105077.exe (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{045689BA-8F3B-4CC9-BE01-3F9D948A6A04}\RP590\A0128976.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{045689BA-8F3B-4CC9-BE01-3F9D948A6A04}\RP590\A0129020.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{045689BA-8F3B-4CC9-BE01-3F9D948A6A04}\RP592\A0130262.exe (Malware.Tool) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{045689BA-8F3B-4CC9-BE01-3F9D948A6A04}\RP592\A0130263.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{045689BA-8F3B-4CC9-BE01-3F9D948A6A04}\RP592\A0130266.exe (Trojan.DownLoader) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{045689BA-8F3B-4CC9-BE01-3F9D948A6A04}\RP592\A0130271.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{045689BA-8F3B-4CC9-BE01-3F9D948A6A04}\RP592\A0130272.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{045689BA-8F3B-4CC9-BE01-3F9D948A6A04}\RP592\A0130273.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\mrofinu1188.exe (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\system32\nnnnMDUM.dll (Trojan.Vundo) -> Delete on reboot. C:\WINDOWS\system32\sefcntqw.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\fuskqxyg.dll (Trojan.Agent) -> Quarantined and deleted successfully. |
|
05.06.2008, 14:16
| #10 |
| | setup.exe blockiert und hier der combofix log: combofix: ComboFix 08-06-01.6 - Fuß 2008-06-03 13:05:33.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.672 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Fuß\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\csrss.exe C:\Dokumente und Einstellungen\Fuß\Anwendungsdaten\ShoppingReport C:\Dokumente und Einstellungen\Fuß\Anwendungsdaten\ShoppingReport\cs\Config.xml C:\Dokumente und Einstellungen\Fuß\Anwendungsdaten\ShoppingReport\cs\db\Aliases.dbs C:\Dokumente und Einstellungen\Fuß\Anwendungsdaten\ShoppingReport\cs\db\Sites.dbs C:\Dokumente und Einstellungen\Fuß\Anwendungsdaten\ShoppingReport\cs\dwld\WhiteList.xip C:\Dokumente und Einstellungen\Fuß\Anwendungsdaten\ShoppingReport\cs\persist.dbs C:\Dokumente und Einstellungen\Fuß\Anwendungsdaten\ShoppingReport\cs\report\aggr_storage.xml C:\Dokumente und Einstellungen\Fuß\Anwendungsdaten\ShoppingReport\cs\report\send_storage.xml C:\Dokumente und Einstellungen\Fuß\Anwendungsdaten\ShoppingReport\cs\res1\WhiteList.dbs C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\ShoppingReport C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\ShoppingReport\cs\Config.xml C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\ShoppingReport\cs\db\Aliases.dbs C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\ShoppingReport\cs\db\Sites.dbs C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\ShoppingReport\cs\dwld\WhiteList.xip C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\ShoppingReport\cs\persist.dbs C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\ShoppingReport\cs\report\aggr_storage.xml C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\ShoppingReport\cs\report\send_storage.xml C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\ShoppingReport\cs\res1\WhiteList.dbs C:\kl.exe C:\Programme\ShoppingReport C:\Programme\ShoppingReport\cs\persist.dbs C:\Programme\ShoppingReport\Uninst.exe C:\services.exe C:\svchost.exe C:\WINDOWS\BM97e346d1.xml C:\WINDOWS\cookies.ini C:\WINDOWS\Fonts\svchost.exe C:\WINDOWS\pskt.ini C:\WINDOWS\system32\28463 C:\WINDOWS\system32\28463\HHVN.001 C:\WINDOWS\system32\28463\HHVN.006 C:\WINDOWS\system32\28463\HHVN.007 C:\WINDOWS\system32\28463\HHVN.exe C:\WINDOWS\system32\fjbovsyg.ini C:\WINDOWS\system32\gjelfbkq.ini C:\WINDOWS\system32\jwudkdsh.dll C:\WINDOWS\system32\ljJDTNDU.dll C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\MSINET.oca C:\WINDOWS\system32\MUDMnnnn.ini C:\WINDOWS\system32\MUDMnnnn.ini2 C:\WINDOWS\system32\oltfclay.dll C:\WINDOWS\system32\pofntnju.dll C:\WINDOWS\system32\ujntnfop.ini C:\WINDOWS\system32\urbavrsr.ini C:\WINDOWS\system32\yalcftlo.ini C:\WINDOWS\system32\yalcftlo.ini2 D:\Autorun.inf . ((((((((((((((((((((((( Dateien erstellt von 2008-05-03 bis 2008-06-03 )))))))))))))))))))))))))))))) . 2008-06-02 22:23 . 2008-06-03 13:15 81,984 --a------ C:\WINDOWS\system32\bdod.bin 2008-06-02 22:15 . 2008-06-02 22:15 <DIR> d-------- C:\Programme\Softwin 2008-06-02 22:15 . 2008-06-02 22:18 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BitDefender 2008-06-02 22:10 . 2008-06-02 22:16 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Softwin 2008-06-02 21:43 . 2008-06-03 10:55 <DIR> d-------- C:\Programme\VAV 2008-06-02 21:43 . 2008-05-28 09:10 45,056 --a------ C:\WINDOWS\system32\vav.cpl 2008-06-02 19:37 . 2008-06-02 19:37 <DIR> d-------- C:\Programme\XPCD 2008-06-02 17:32 . 2008-06-02 20:19 <DIR> d-------- C:\pebuilder3110a 2008-06-01 13:55 . 2008-06-01 13:56 275,456 --------- C:\WINDOWS\system32\nnnnMDUM.dll 2008-06-01 13:51 . 2008-06-01 13:51 70,656 --a------ C:\ctfmon.exe 2008-06-01 13:51 . 2008-06-01 13:51 41,984 --a------ C:\WINDOWS\mrofinu1188.exe 2008-06-01 13:50 . 2008-06-01 13:50 70,656 --a------ C:\msconfig.exe 2008-06-01 13:13 . 2008-06-01 15:43 <DIR> d-------- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\LimeWire 2008-06-01 13:09 . 2008-06-01 13:10 <DIR> d-------- C:\Programme\LimeWire 2008-06-01 12:44 . 2008-06-02 23:02 <DIR> d-------- C:\Programme\CopyKiller 2008-06-01 12:44 . 2006-08-13 22:37 198,848 --a------ C:\WINDOWS\system32\MCI32.OCX 2008-06-01 12:44 . 2006-08-13 22:44 4,608 --a------ C:\WINDOWS\system32\W95INF32.DLL 2008-06-01 12:44 . 2006-08-13 22:44 2,272 --a------ C:\WINDOWS\system32\W95INF16.DLL 2008-05-31 16:09 . 2008-05-31 16:09 <DIR> d-------- C:\Programme\Audacity 2008-05-26 14:37 . 2008-05-26 14:37 <DIR> d--hs---- C:\found.000 2008-05-25 13:01 . 2008-05-25 13:05 <DIR> d-------- C:\Programme\Ashampoo 2008-05-22 13:22 . 2008-05-22 13:24 <DIR> d-------- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Vso 2008-05-22 13:22 . 2008-05-22 13:22 87,608 --a------ C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\inst.exe 2008-05-22 13:22 . 2008-05-22 13:22 47,360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys 2008-05-22 13:22 . 2008-05-22 13:22 47,360 --a------ C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\pcouffin.sys 2008-05-22 13:21 . 2008-05-22 13:21 <DIR> d-------- C:\Programme\VSO 2008-05-21 21:31 . 2008-05-21 21:31 <DIR> d-------- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\concept design 2008-05-21 16:49 . 2008-05-21 16:49 <DIR> d-------- C:\Programme\k700 Remote Profiler 2008-05-21 16:29 . 2008-05-21 16:30 <DIR> d-------- C:\Programme\BTcntrl 2008-05-21 13:32 . 2008-05-21 13:32 <DIR> d-------- C:\Programme\Sony 2008-05-21 11:13 . 2008-05-21 11:13 <DIR> d-------- C:\Programme\Smart PC Solutions 2008-05-21 10:52 . 2008-05-21 10:52 <DIR> d-------- C:\Programme\Zattoo 2008-05-20 22:06 . 2008-05-21 11:30 <DIR> d-------- C:\backups 2008-05-20 21:38 . 2008-05-20 22:02 <DIR> d-------- C:\Dokumente und Einstellungen\Matthias\alles 2008-05-20 21:18 . 2008-05-20 21:18 <DIR> d-------- C:\Programme\MAIET 2008-05-20 17:51 . 2008-05-20 17:51 <DIR> d-------- C:\test 2008-05-19 16:07 . 2008-06-02 15:07 <DIR> d-------- C:\Programme\Steam 2008-05-18 16:23 . 2008-05-18 16:23 <DIR> d-------- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Ahead 2008-05-17 15:35 . 2003-12-27 23:24 45,312 --a------ C:\WINDOWS\system32\drivers\PVR5910.sys 2008-05-16 15:56 . 2008-05-16 16:52 <DIR> d--h----- C:\MyS2GApp 2008-05-12 17:06 . 2008-05-12 17:14 <DIR> d-------- C:\Programme\XMedia Recode 2008-05-12 16:55 . 2004-02-22 10:11 719,872 --a------ C:\WINDOWS\system32\devil.dll 2008-05-12 16:55 . 2006-10-07 17:43 502,784 --a------ C:\WINDOWS\x2.64.exe 2008-05-12 16:55 . 2008-02-07 16:15 408,576 --a------ C:\WINDOWS\system32\Smab.dll 2008-05-12 16:55 . 2007-05-17 17:30 318,976 --a------ C:\WINDOWS\system32\avisynth.dll 2008-05-12 16:55 . 2005-02-28 13:16 240,128 --a------ C:\WINDOWS\system32\x.264.exe 2008-05-12 16:55 . 2006-04-12 09:47 217,073 --a------ C:\WINDOWS\meta4.exe 2008-05-12 16:55 . 2004-01-25 00:00 70,656 --a------ C:\WINDOWS\system32\yv12vfw.dll 2008-05-12 16:55 . 2004-01-25 00:00 70,656 --a------ C:\WINDOWS\system32\i420vfw.dll 2008-05-12 16:55 . 2006-04-05 08:09 66,560 --a------ C:\WINDOWS\MOTA113.exe 2008-05-12 16:55 . 2005-07-14 12:31 27,648 --a------ C:\WINDOWS\system32\AVSredirect.dll 2008-05-12 16:53 . 2008-05-12 16:53 <DIR> d-------- C:\Programme\eRightSoft 2008-05-12 15:37 . 2008-05-17 16:26 <DIR> d-------- C:\Dokumente und Einstellungen\Matthias\dwhelper 2008-05-11 14:50 . 2008-05-11 14:50 552 --a------ C:\WINDOWS\system32\d3d8caps.dat 2008-05-10 19:25 . 2008-05-11 16:06 <DIR> d-------- C:\Programme\Punch! 2008-05-10 17:04 . 2008-05-21 19:49 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-05-10 17:04 . 2008-05-10 17:04 1,409 --a------ C:\WINDOWS\QTFont.for 2008-05-10 12:51 . 2008-05-25 13:37 <DIR> d-------- C:\Programme\StealthNet 2008-05-10 12:17 . 2008-05-10 12:17 <DIR> d-------- C:\Programme\Sonavis 2008-05-10 12:17 . 2008-05-10 12:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Sonavis 2008-05-10 12:17 . 2008-05-10 12:17 <DIR> d-------- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Sonavis 2008-05-10 12:17 . 2008-05-10 12:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sonavis 2008-05-08 16:46 . 2008-05-08 16:46 <DIR> d-------- C:\Programme\PhotoRescue PC v3.1.4.10864 2008-05-08 12:44 . 2008-05-08 12:44 <DIR> d-------- C:\Programme\jv16 PowerTools 2008-05-08 12:40 . 2008-05-19 08:46 <DIR> d-------- C:\Programme\Unlocker 2008-05-06 18:30 . 2008-05-06 19:50 <DIR> d-------- C:\Dokumente und Einstellungen\Matthias\.themescreator 2008-05-06 17:25 . 2008-05-06 17:25 <DIR> d-------- C:\Programme\Bertelsmann DAS PHOTO DigitalPhotoService 2008-05-06 16:07 . 2008-05-06 16:08 16 --a------ C:\WINDOWS\xp_unpack.bat 2008-05-03 10:10 . 2008-05-03 10:10 <DIR> d-------- C:\Programme\Passware . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-03 08:55 --------- d-sh--w C:\Programme\KGB 2008-06-03 05:34 --------- d-sh--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MPK 2008-06-02 21:34 --------- d-----w C:\Programme\SuperScan 2008-06-02 19:34 --------- d-----w C:\Programme\Mozilla Firefox 3 Beta 2 2008-05-25 11:37 --------- d-----w C:\Programme\DivX 2008-05-23 07:45 --------- d-----w C:\Programme\Thoosje Sidebar V2.3 2008-05-21 11:32 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-05-17 08:55 --------- d-----w C:\Programme\GratisSMS 2008-05-11 09:10 --------- d-----w C:\Programme\Gemeinsame Dateien\Elecard 2008-05-06 14:36 --------- d-----w C:\Programme\Sony Ericsson 2008-05-03 17:59 --------- d-----w C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\MyPhoneExplorer 2008-05-02 14:22 205,328 ----a-w C:\WINDOWS\system32\drivers\tmxpflt.sys 2008-05-02 14:21 36,368 ----a-w C:\WINDOWS\system32\drivers\tmpreflt.sys 2008-05-02 14:17 1,169,240 ----a-w C:\WINDOWS\system32\drivers\vsapint.sys 2008-04-28 16:40 --------- d-----w C:\Programme\CDopen 2008-04-28 12:10 159,744 ----a-w C:\WINDOWS\LgxSetup.exe 2008-04-28 12:10 --------- d-----w C:\Programme\Gemeinsame Dateien\Logox.4.0 2008-04-28 12:07 --------- d-----w C:\Programme\Gemeinsame Dateien\WebSpeech.4.0 2008-04-26 18:31 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\tor 2008-04-26 11:48 --------- d-----w C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Browzar 2008-04-26 11:29 --------- d-----w C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Tor 2008-04-26 11:27 --------- d-----w C:\Programme\Vidalia Bundle 2008-04-26 09:53 0 ---ha-w C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf 2008-04-26 09:53 0 ---ha-w C:\WINDOWS\system32\drivers\Msft_Kernel_ggsemc_01005.Wdf 2008-04-26 08:50 20,520 ----a-w C:\WINDOWS\system32\drivers\ggsemc.sys 2008-04-26 08:50 13,352 ----a-w C:\WINDOWS\system32\drivers\ggflt.sys 2008-04-26 08:50 1,419,232 ----a-w C:\WINDOWS\system32\wdfcoinstaller01005.dll 2008-04-26 08:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson 2008-04-25 15:05 15,211 ----a-w C:\WINDOWS\system32\Data_1.bin 2008-04-25 14:02 --------- d-----w C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\ArcSoft 2008-04-25 14:00 --------- d-----w C:\Programme\PhotoScape 2008-04-24 18:08 --------- d-----w C:\Programme\Logon Loader 2008-04-24 17:10 2,324,736 ----a-w C:\WINDOWS\system32\ntoskrnl.exe 2008-04-24 17:10 2,324,736 ----a-w C:\WINDOWS\system32\LOGOOS.EXE 2008-04-23 16:53 --------- d-----w C:\Programme\BootXP2 2008-04-23 15:36 --------- d-----w C:\Programme\TaskSwitchXP 2008-04-23 14:24 --------- d-----w C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\ViStart 2008-04-23 13:53 --------- d-----w C:\Programme\TopDesk Trial 2008-04-21 14:24 --------- d-----w C:\Programme\Jowood 2008-04-15 15:02 --------- d-----w C:\Programme\Ateksoft 2008-04-14 13:40 --------- d-----w C:\Programme\Classroom Spy Pro 2008-04-14 12:02 --------- d-----w C:\Programme\HideWizard 2008-04-13 16:56 --------- d-----w C:\Programme\VR-NetWorld 2008-04-13 11:42 --------- d-----w C:\Programme\Windows Media-Komponenten 2008-04-13 09:14 --------- d-----w C:\Programme\Bluetooth Remote Control 2008-04-12 14:07 --------- d-----w C:\Programme\WHidePro 2008-04-04 14:01 --------- d-----w C:\Programme\Java 2008-04-04 11:27 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll 2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll 2008-03-20 07:56 1,846,016 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-17 13:16 126,976 ----a-w C:\WINDOWS\sleep.exe 2008-03-15 10:35 36,728 ----a-w C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2007-11-23 11:02 11,671 ----a-w C:\Programme\cpuz-readme.txt 2007-09-04 12:57 147 ----a-w C:\Programme\cpuz.ini 2006-11-29 13:03 44,111 ----a-w C:\Programme\Piranha.RPT 2005-03-25 16:08 49,152 ----a-w C:\Programme\latency.exe 2005-02-13 19:07 251,663 ------w C:\Programme\minirt24.gz 2005-01-16 08:40 1,944 ------r C:\Programme\syslinux.cfg 2004-08-22 08:55 24,398 ------r C:\Programme\logo.16 2004-06-04 07:43 7,836 ------r C:\Programme\ldlinux.sys 2004-06-03 09:00 85 ------r C:\Programme\boot.msg 2004-06-03 08:59 256 ------r C:\Programme\german.kbd 2002-10-19 02:41 295,715 ----a-w C:\Programme\hip_en.exe 2002-10-19 01:51 403,183 ----a-w C:\Programme\winhip_en.exe 2002-10-19 01:36 29,139 ----a-w C:\Programme\hip.htm 2002-10-19 01:36 28,194 ----a-w C:\Programme\hip.txt 2001-02-08 12:52 24,576 --sha-w C:\WINDOWS\system32\comsysh.exe 2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll 2007-02-21 11:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll 2007-12-17 13:43 27,648 --sh--w C:\WINDOWS\system32\Smab0.dll . ------- Sigcheck ------- 2005-01-04 22:06 2181888 6cc1b14e5a791cdf0b78f1ff6969e125 C:\WINDOWS\$NtUninstallKB890859$\ntoskrnl.exe 2004-08-04 14:00 2183296 dc888c9c4ca0eea7a3cb7e6b610f75c7 C:\WINDOWS\$NtUninstallKB891070$\ntoskrnl.exe 2005-03-02 20:11 2181888 eb5538a452e0e99169e2b6cdb62ff9d2 C:\WINDOWS\$NtUninstallKB929338$\ntoskrnl.exe 2006-12-19 20:43 2184320 00c476049fecf1d3a05c783015b9b518 C:\WINDOWS\$NtUninstallKB931784$\ntoskrnl.exe 2007-02-28 18:06 2184448 e1de7a10d46959560c3b617227d95c19 C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe 2008-04-24 19:10 2324736 ffd71a700185d87156f5585176c94673 C:\WINDOWS\system32\ntoskrnl.exe 2007-02-28 18:06 2184448 e1de7a10d46959560c3b617227d95c19 C:\WINDOWS\system32\dllcache\ntoskrnl.exe 2008-02-13 15:18 23552 1ea6f0ab57ce0e11a8721073491f575f C:\WINDOWS\system32\ctfmon.exe 2008-02-13 15:18 23552 1ea6f0ab57ce0e11a8721073491f575f C:\WINDOWS\system32\dllcache\ctfmon.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2725A388-0691-4138-839D-518A872C22B7}] 2008-06-01 13:56 275456 --------- C:\WINDOWS\system32\nnnnMDUM.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoResolveTrack"= 1 (0x1) "NoFileAssociate"= 0 (0x0) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoWinKeys"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"="%windir%\\Resources\\LogonUI\\black-vistaII\\logonui.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit] LMIinit.dll 2007-11-15 19:46 87352 C:\WINDOWS\system32\LMIinit.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=sockspy.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.I420"= i420vfw.dll "vidc.iv41"= ir41_32.dll "vidc.yv12"= yv12vfw.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^LUMIX Simple Viewer.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\LUMIX Simple Viewer.lnk backup=C:\WINDOWS\pss\LUMIX Simple Viewer.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Ulead Kalendar Checker 4.0 SE.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Ulead Kalendar Checker 4.0 SE.lnk backup=C:\WINDOWS\pss\Ulead Kalendar Checker 4.0 SE.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Fuß^Startmenü^Programme^Autostart^hamachi.lnk] path=C:\Dokumente und Einstellungen\Fuß\Startmenü\Programme\Autostart\hamachi.lnk backup=C:\WINDOWS\pss\hamachi.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!xSpeed] C:\Dokumente und Einstellungen\Fuß\Desktop\Ordner Spiele\CS-Hack\!xSpeedPro.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "WinVNC4"=2 (0x2) "navapsvc"=2 (0x2) "LogMeIn"=2 (0x2) "LMIMaint"=2 (0x2) [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "00Hotkeys"="C:\Programme\Qliner Hotkeys\HotKeys.exe" "HHVN Agent"=C:\WINDOWS\system32\28463\HHVN.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Sony Ericsson\\Update Service\\Update Service.exe"= "C:\\Programme\\Zattoo\\zattood.exe"= "C:\\Programme\\Steam\\SteamApps\\metzelmathe\\source dedicated server\\srcds.exe"= "C:\\Programme\\Steam\\SteamApps\\metzelmathe\\half-life 2 deathmatch\\hl2.exe"= "C:\\Programme\\Steam\\SteamApps\\metzelmathe\\counter-strike source\\hl2.exe"= "C:\\Programme\\Steam\\SteamApps\\metzelmathe\\day of defeat source\\hl2.exe"= "C:\\Programme\\LimeWire\\LimeWire.exe"= "C:\\Programme\\MAIET\\Gunz\\GunzLauncher.exe"= R0 DiMaint;Eicon-Wartungstreiber;C:\WINDOWS\system32\DRIVERS\DISDN\dimaint.sys [2001-08-17 13:13] R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2007-03-06 21:26] R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2007-03-03 09:16] R2 DiCapi;Eicon CAPI 2.0-Treiber;C:\WINDOWS\system32\DRIVERS\DISDN\capi20.sys [2001-08-17 13:13] R2 LMIRfsDriver;LogMeIn Remote File System Driver;C:\WINDOWS\system32\drivers\LMIRfsDriver.sys [2007-09-12 11:20] R3 AN983;ADMtek AN983/AN985/ADM951X 10/100Mbps Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys [2005-01-13 10:28] R3 AteksoftAudio;WebCamera Plus Audio;C:\WINDOWS\system32\drivers\ateksoftaudio.sys [2007-12-25 11:06] R3 DiWan;Eicon-Treiber für alle DIVA-PnP-Karten;C:\WINDOWS\system32\DRIVERS\DISDN\Diwan.sys [2001-08-17 13:14] R3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [2007-06-26 12:53] S2 tor;Tor Win32 Service;"C:\Programme\Vidalia Bundle\Tor\tor.exe" --nt-service -f "C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Vidalia\torrc" ControlPort 9051 [] S3 cpuz128;cpuz128;C:\DOKUME~1\Matthias\Lokale Einstellungen\Temp\cpuz_x32.sys [] S3 DFE528TX;D-Link DFE-528TX PCI Adapter;C:\WINDOWS\system32\DRIVERS\DLKRTL.SYS [2002-06-24 06:30] S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\dsltestSp5.sys [2007-09-12 18:24] S3 ggflt;SEMC USB Flash Driver Filter;C:\WINDOWS\system32\DRIVERS\ggflt.sys [2008-04-26 10:50] S3 ntportio;ntportio;C:\Dokumente und Einstellungen\Fuß\Desktop\semc_v8.4_free\semc_v8.4_free\semc_v8.4_free\ntportio.sys [] S3 PVR5910;PVR 5910;C:\WINDOWS\system32\Drivers\PVR5910.sys [2003-12-27 23:24] S3 TDslMgrService;DSL-Manager;"C:\Programme\DSL-Manager\DslMgrSvc.exe" [2007-11-26 15:50] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{621FCD24-4498-4324-A81E-07D331376EDF}] C:\Programme\PixiePack Codec Pack\InstallerHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{A03ADE2D-E0E7-E855-C000-B500A94E60E5}] C:\WINDOWS\system32\scvhost.exe . Inhalt des "geplante Tasks" Ordners "2008-06-03 11:18:21 C:\WINDOWS\Tasks\ViStart.job" - C:\Dokumente und Einstellungen\Matthias\Desktop\XP to Vista\vistart_2721_english_skin_default\ViStart.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-03 13:19:02 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... folder error: C:\DOKUME~1\FUA328~1\LOKALE~1\Temp\ Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\system32\E_S00RP1.EXE C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe C:\WINDOWS\system32\SAgent4.exe C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe C:\Programme\Softwin\BitDefender10\vsserv.exe C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Trend Micro\Internet Security 2007\pccguide.exe C:\WINDOWS\system32\cidaemon.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-06-03 13:26:14 - machine was rebooted ComboFix-quarantined-files.txt 2008-06-03 11:26:03 39 Verzeichnis(se), 57,315,016,704 Bytes frei 44 Verzeichnis(se), 57,337,573,376 Bytes frei 334 --- E O F --- 2008-05-29 11:24:30 mein Antiviren tool hat die nnnnMDUM.dll auch schon öfters dabei erwischt wo sie gerade plugins für den i-explorer installieren wollte. ich hoff jetzt mal dass sie unten ist |
|
05.06.2008, 15:30
| #11 | |
| | setup.exe blockiert Hi, Bitte folgende Files prüfen: Zitat:
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen Poste die Ergebnisse mit Filename! Falls was nicht erkannt wurde, aus dem Avengerscript rausnehmen! Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Files to delete:
C:\WINDOWS\QTFont.qfn
C:\WINDOWS\QTFont.for
C:\WINDOWS\system32\nnnnMDUM.dll
C:\ctfmon.exe
C:\WINDOWS\mrofinu1188.exe
C:\msconfig.exe
4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Systemwiederherstellung löschen Deaktivieren der Systemwiederherstellung und Start in den abgesicherten Modus Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen Bitte nochmal ein HJ-Log erstellen und scanne mit PrevX (Log posten): Prevx CSI - FREE Malware Scanner chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
05.06.2008, 16:46
| #12 |
| | setup.exe blockiert Hi, lass bitte noch zusätzlich folgende Files bei Virustotal prüfen: C:\WINDOWS\system32\ntoskrnl.exe C:\WINDOWS\system32\ctfmon.exe Poste auch hier das Ergebniss mit Filename... Rest von unten weiter durchführen, nimm aber unbedingt die C:\msconfig.exe C:\ctfmon.exe bei Avenger raus, wenn sie nicht erkannt werden (ev. sind das ja die "richtigen" Dateien, wenn die anderen verändert/verseucht wurden). chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
06.06.2008, 15:34
| #13 |
| | setup.exe blockiert ok, werd sie prüfen Geändert von matthias_90 (06.06.2008 um 15:45 Uhr) |
|
09.06.2008, 15:13
| #14 |
| | setup.exe blockiert hab mit Prevx CSI gescannt die software fand (leider): "C:\Windows\system32\hrfosbfv.dll" als Cloak Malware "C:\Windows\system32\mjkorrft.dll" als Fraudulent Security Program "C:\Windows\system32\tfrwdnvx.dll" als Fraudulent Security Program "C:\Windows\system32\thtatfcl.dll" als Fraudulent Security Program ich hab darauf gleich alle dateien mit virustotal gescannt und hier die ergebnise: hrfosbfv.dll: Panda 9.0.0.4 2008.06.08 Spyware/Virtumonde Prevx1 V2 2008.06.09 Cloaked Malware ebwasher-Gateway 6.6.2 2008.06.09 Win32.Malware.gen!90 (suspicious) mjkorrft.dll: AntiVir 7.8.0.55 2008.06.09 TR/Vundo.enl.3 Avast 4.8.1195.0 2008.06.09 Win32:Rootkit-gen AVG 7.5.0.516 2008.06.09 Generic10.AJXV BitDefender 7.2 2008.06.09 MemScan:Trojan.Vundo.ENL F-Secure 6.70.13260.0 2008.06.09 Trojan.Win32.Mondera.gen Fortinet 3.14.0.0 2008.06.09 W32/Mondera!tr GData 2.0.7306.1023 2008.06.09 Trojan.Win32.Mondera.gen Kaspersky 7.0.0.125 2008.06.09 Trojan.Win32.Mondera.gen Microsoft 1.3604 2008.06.09 Trojan:Win32/Vundo.BM Norman 5.80.02 2008.06.06 W32/Virtumonde.WTN Panda 9.0.0.4 2008.06.08 Generic Trojan Prevx1 V2 2008.06.09 Fraudulent Security Program Sophos 4.30.0 2008.06.09 Mal/Generic-A VBA32 3.12.6.7 2008.06.09 Trojan.Win32.Mondera.gen Webwasher-Gateway 6.6.2 2008.06.09 Trojan.Vundo.enl.3 tfrwdnvx.dll: AntiVir 7.8.0.55 2008.06.09 TR/Vundo.enl.3 Avast 4.8.1195.0 2008.06.09 Win32:Rootkit-gen AVG 7.5.0.516 2008.06.09 Generic10.AJXV BitDefender 7.2 2008.06.09 MemScan:Trojan.Vundo.ENL ClamAV 0.92.1 2008.06.09 Trojan.Vundo-3642 F-Secure 6.70.13260.0 2008.06.09 Trojan.Win32.Mondera.gen Fortinet 3.14.0.0 2008.06.09 W32/Mondera!tr GData 2.0.7306.1023 2008.06.09 Trojan.Win32.Mondera.gen Kaspersky 7.0.0.125 2008.06.09 Trojan.Win32.Mondera.gen Microsoft 1.3604 2008.06.09 Trojan:Win32/Vundo.BM Norman 5.80.02 2008.06.06 W32/Virtumonde.WTN Panda 9.0.0.4 2008.06.08 Generic Trojan Prevx1 V2 2008.06.09 Fraudulent Security Program Sophos 4.30.0 2008.06.09 Mal/Generic-A VBA32 3.12.6.7 2008.06.09 Trojan.Win32.Mondera.gen Webwasher-Gateway 6.6.2 2008.06.09 Trojan.Vundo.enl.3 thtatfcl.dll: ClamAV 0.92.1 2008.06.09 Trojan.Vundo-3555 F-Prot 4.4.4.56 2008.06.08 W32/Virtumonde.Z.gen!Eldorado F-Secure 6.70.13260.0 2008.06.09 Trojan.Win32.Mondera.gen Fortinet 3.14.0.0 2008.06.09 W32/Mondera!tr GData 2.0.7306.1023 2008.06.09 Trojan.Win32.Mondera.gen Kaspersky 7.0.0.125 2008.06.09 Trojan.Win32.Mondera.gen Norman 5.80.02 2008.06.06 W32/Virtumonde.WTO Panda 9.0.0.4 2008.06.08 Spyware/Virtumonde Prevx1 V2 2008.06.09 Fraudulent Security Program VBA32 3.12.6.7 2008.06.09 Trojan.Win32.Mondera.gen Webwasher-Gateway 6.6.2 2008.06.09 Win32.Malware.gen!90 (suspicious) ich hab nach diesem scan erst einmal einen schock bekommen und wollte die Dateien in die Quarantäne meiner antivirensoftware hinzufügen (denn für Prevx CSI brauch ich eine Lizenz um die dateien zu löschen), nur lies sich die hrfosbfv.dll nicht in die Quarantäne verschieben Hab die datei dann mit "unlockerassistant" (eine Software welche den Prozess herausfindet und blockiert der die Datei sperrt) erst einmal in den Papierkorb verschoben zumindest findet Prevx CSI jetzt keine Viren, Maleware, Spyware,.... Geändert von matthias_90 (09.06.2008 um 15:18 Uhr) |
|
09.06.2008, 15:44
| #15 | |
| | setup.exe blockiert Hi, bitte unbedingt die Dateien noch Online prüfen lassen: Zitat:
Oder hast Du sie per Avenger bereits ins Jenseits geschickt (habe kein entsprechendes Log gesehen...) So, bitte alle angegebenen Tools neue runterladen und dann offline gehen (damit sich die Viecher nicht wieder unter neuem Zufallsnamen nachladen); Combofix alte Version deinstallieren (wird täglich neu gebunden); Start->Ausführen->combofix /u Danach neu downloaden: http://download.bleepingcomputer.com/sUBs/ComboFix.exe Vundofix: Vundofix VirtmundoToBeGone http://secured2k.home.comcast.net/to...undoBeGone.exe Datfind runterladen Datfindbat Offline gehen! Alle Logs zwischenspeichern und nach dem Durchlauf posten; 1. Combofix starten und reinigen lassen, Log speichern 2. Vundofix starten * Doppelklick VundoFix.exe * Klicke "Scan" --> Vundo button. * Nach dem Scannen, klicke den "Remove" Vundo button. * Man wird nun gefragt, ob man "remove" will --> klicke YES * Danach werden alle Desktop-Symbole verschwinden * Dann wird man gefragt, ob der PC neustarten soll --> klicke OK. 3. VirtmundoToBeGone im abgesicherten Modus ausführen...! Nach dem Lauf von VTG bitte das Log (findest Du auf dem Desktop) posten! 4. neues HJ-Log 5. Datfindbat ausführen und nur die letzten 3 Monate jeweils posten... Dann wieder online gehen und die Logs posten... chris chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
| Themen zu setup.exe blockiert |
| antivirus, blockiert, browser, central, compare, desktop, drivers, firefox, google, hijack, hijackthis, home, internet, internet explorer, internet security, ip-adresse, limewire, locker, manuel, mozilla, mozilla firefox, rundll, scan, security, server, software, system, updates, usb, virus, windows, windows xp |
Linear-Darstellung
