| |
| |||||||
Log-Analyse und Auswertung: Bitte mal Logfile prüfen, ist der Trojaner noch da ?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
13.07.2008, 14:50
| #1 |
 |  Bitte mal Logfile prüfen, ist der Trojaner noch da ? Hallo, meine sygate-firewall bringt seit heute die Meldung das der WindowsExplorer eine Verbindung zu "acidisa.com. herstellen möchte. beim ersten Scan mit Spybot wurde ein Virtumonde-Trojaner ( C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\removalfile.bat ) gefunden und gelöscht. Adaware und Spybot haben nach einem Neustart keinen Befall mehr gefunden. Trotzdem taucht immer wieder obige Meldung auf wo der explorer die verbindung herstellen will. Kann es sein das der Trojaner immer noch auf meinem System ist obwohl beide Spywareprogramme nichts finden können ? Ich habe eben ein Protokoll mit Hijack erstellt und poste es hier mit der Bitte das jemand mal überprüft ob mein System sauber ist. Ich habe windows-XP-professional Servicepack 3. Antivir, Sygate Firewall und den Spybot-SD Resident mit Systemstart aktiv. hier also mein logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:26:15, on 13.07.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe C:\WINDOWS\CTHELPER.EXE C:\WINDOWS\system32\CTXFIHLP.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Skype\Phone\Skype.exe C:\WINDOWS\SYSTEM32\CTXFISPI.EXE C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\CTsvcCDA.EXE C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\pctspk.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = w*w.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {62D6DDA7-8FE9-47F1-B8E9-D1D0D3D9FF3A} - C:\WINDOWS\system32\ddcAroLD.dll O4 - HKLM\..\Run: [RCSystem] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll" O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{8656036E-C8AD-4725-88EC-7889913C9F22}: NameServer = 62.109.123.7 213.191.92.86 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: ddcAroLD - C:\WINDOWS\SYSTEM32\ddcAroLD.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 5887 bytes vielen dank im voraus  @GC Sunny: Hoffe ich habe diesmal alles richtig gemacht. Falls nicht bitte um genauere Erklärung... |
|
13.07.2008, 15:12
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Bitte mal Logfile prüfen, ist der Trojaner noch da ? Hallo,
__________________updatemäßig fehlt da noch mindestens der IE7! (Auch wenn man ihn nicht unbedingt nutzen sollte, sollte er aktuell sein.) C:\WINDOWS\system32\ddcAroLD.dll Diese Datei mal bitte bei virustotal.com auswerten lassen und alle Ergebnisse posten. Danach brauchen wir mehr Infos in Form von Logfiles, folge mal daher dem DSS-Link in meiner Signatur und poste die Logfiles (bitte mit Codetags umschlossen).
__________________ |
|
13.07.2008, 15:21
| #3 |
| | Bitte mal Logfile prüfen, ist der Trojaner noch da ? Danke erstmal für die Antwort
__________________hier erstmal das resultat von virus total. ich verstehe es zwar nicht warum wurde aber mehrmals so angezeigt: File has already been analysed: MD5: First received: Date: Results: Permalink: habe ich was falsch gemacht? (Durchsuchen, Datei auswählen, Send File klicken) DSS folgt gleich |
|
13.07.2008, 15:26
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Bitte mal Logfile prüfen, ist der Trojaner noch da ? Nein, das bedeuetet nur, daß diese Datei (mit der gleichen Prüfsumme) schonmal zu Virustotal zum scannen hochgeladen wurde. Da müsste es einen Link geben, um die Datei trotzdem nchmal scannen zu lassen. Mach das mal und poste dann die Resultate.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
13.07.2008, 15:44
| #5 |
| | Bitte mal Logfile prüfen, ist der Trojaner noch da ? hier die logfiles DSS: leider sind sie zu lange da musste ich splitten : MAIN I: Code:
ATTFilter Deckard's System Scanner v20071014.68 Run by Administrator on 2008-07-13 16:22:33 Computer is in Normal Mode. -------------------------------------------------------------------------------- -- System Restore -------------------------------------------------------------- Successfully created a Deckard's System Scanner Restore Point. -- Last 5 Restore Point(s) -- 82: 2008-07-13 14:22:36 UTC - RP82 - Deckard's System Scanner Restore Point 81: 2008-07-13 10:31:50 UTC - RP81 - GameJack 6 wird entfernt 80: 2008-07-13 10:21:56 UTC - RP80 - Universal SCSI Controller wird installiert 79: 2008-07-13 10:19:25 UTC - RP79 - GameJack 6 wird installiert 78: 2008-07-13 10:19:03 UTC - RP78 - Microsoft Visual C++ 2005 Redistributable wird installiert -- First Restore Point -- 1: 2008-06-27 21:23:52 UTC - RP1 - Systemprüfpunkt Backed up registry hives. Performed disk cleanup. -- HijackThis (run as Administrator.exe) --------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:22:56, on 13.07.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe C:\WINDOWS\CTHELPER.EXE C:\WINDOWS\system32\CTXFIHLP.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Skype\Phone\Skype.exe C:\WINDOWS\SYSTEM32\CTXFISPI.EXE C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\CTsvcCDA.EXE C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\pctspk.exe C:\Programme\Sygate\SPF\smc.exe C:\Dokumente und Einstellungen\Administrator\Desktop\dss.exe C:\PROGRA~1\TRENDM~1\HIJACK~1\Administrator.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {62D6DDA7-8FE9-47F1-B8E9-D1D0D3D9FF3A} - C:\WINDOWS\system32\ddcAroLD.dll O4 - HKLM\..\Run: [RCSystem] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll" O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{8656036E-C8AD-4725-88EC-7889913C9F22}: NameServer = 62.109.123.7 213.191.92.86 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: ddcAroLD - C:\WINDOWS\SYSTEM32\ddcAroLD.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 5913 bytes -- File Associations ----------------------------------------------------------- .cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%* .cpl - cplfile - shell\runas\command - rundll32.exe shell32.dll,Control_RunDLLAsUser "%1",%* -- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------- R0 Teefer (Teefer for NT) - c:\windows\system32\drivers\teefer.sys <Not Verified; Sygate Technologies, Inc.; Sygate Teefer Driver> R1 ssmdrv - c:\windows\system32\drivers\ssmdrv.sys <Not Verified; AVIRA GmbH; > R1 wpsdrvnt - c:\windows\system32\drivers\wpsdrvnt.sys <Not Verified; Sygate Technologies, Inc.; wpsdrvnt> R2 wg3n (SyGate for NT, wg3n) - c:\windows\system32\drivers\wg3n.sys <Not Verified; Sygate Technologies, Inc.; Sygate WGXN> R3 ElbyDelay - c:\windows\system32\drivers\elbydelay.sys <Not Verified; Elaborate Bytes AG; CDRTools> R3 uscbs109 - c:\windows\system32\drivers\uscbs109.sys R3 uscsc109 - c:\windows\system32\drivers\uscsc109.sys S3 jbridgep - c:\dokume~1\admini~1\lokale~1\temp\jbridgep.sys (file missing) -- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled -------------------- R2 AntiVirScheduler (Avira AntiVir Personal – Free Antivirus Planer) - "c:\programme\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation> -- Device Manager: Disabled ---------------------------------------------------- No disabled devices found. -- Files created between 2008-06-13 and 2008-07-13 ----------------------------- 2008-07-13 14:27:45 0 d-------- C:\Programme\Trend Micro 2008-07-13 12:31:54 0 d-------- C:\WINDOWS\system32\appmgmt 2008-07-13 12:26:28 32256 --a------ C:\WINDOWS\system32\wvUlLbAS.dll 2008-07-13 12:26:28 32256 --a------ C:\WINDOWS\system32\ddcAroLD.dll 2008-07-12 14:46:53 0 d-------- C:\Programme\Winamp 2008-07-12 12:05:57 11914 --a------ C:\WINDOWS\system32\drivers\wg3n.sys <Not Verified; Sygate Technologies, Inc.; Sygate WGXN> 2008-07-12 12:05:56 18518 --a------ C:\WINDOWS\system32\drivers\wpsdrvnt.sys <Not Verified; Sygate Technologies, Inc.; wpsdrvnt> 2008-07-12 12:05:56 55891 --a------ C:\WINDOWS\system32\drivers\Teefer.sys <Not Verified; Sygate Technologies, Inc.; Sygate Teefer Driver> 2008-07-12 12:05:50 0 d-------- C:\Programme\Sygate 2008-07-07 10:46:43 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat 2008-07-07 10:42:34 0 d-------- C:\Programme\Skype 2008-07-07 10:42:34 0 d-------- C:\Programme\Gemeinsame Dateien\Skype 2008-07-07 00:58:22 0 d-------- C:\Programme\SlySoft 2008-07-03 23:06:12 0 d-------- C:\Programme\Gemeinsame Dateien\Adobe AIR 2008-07-03 23:00:27 0 d-------- C:\WINDOWS\SxsCaPendDel 2008-07-03 22:54:23 0 d-------- C:\Programme\NOS 2008-07-03 11:07:31 0 d-------- C:\Programme\Gemeinsame Dateien\Adobe 2008-07-01 23:39:47 0 d-------- C:\Programme\Mp3tag 2008-06-30 16:35:18 0 d-------- C:\CloneDVDTemp 2008-06-30 15:12:11 0 d-------- C:\Programme\Elaborate Bytes 2008-06-29 22:27:26 0 d-------- C:\Programme\Google 2008-06-28 17:05:20 0 d-------- C:\Programme\Lavasoft 2008-06-28 16:40:55 0 d-------- C:\Programme\Gemeinsame Dateien\xing shared 2008-06-28 16:40:39 0 d-------- C:\Program Files 2008-06-28 16:40:37 0 d-------- C:\Programme\Gemeinsame Dateien\Real 2008-06-28 16:26:00 0 d-------- C:\Programme\Visions 2008-06-28 13:26:49 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll 2008-06-28 13:11:24 139264 --a------ C:\WINDOWS\system32\eax.dll <Not Verified; Creative Technology Ltd; EAX Unified> 2008-06-28 13:03:29 0 d-------- C:\Programme\Mafia 2008-06-28 13:03:16 233472 -ra------ C:\WINDOWS\system32\MafiaSetup.exe <Not Verified; ; MafiaInstallShield Application> 2008-06-28 12:23:20 0 d-------- C:\Programme\Gemeinsame Dateien\Nero 2008-06-28 12:22:09 0 d-------- C:\Programme\Gemeinsame Dateien\LightScribe 2008-06-28 12:17:54 106496 --a------ C:\WINDOWS\system32\TwnLib20.dll <Not Verified; Pegasus Software; TWNLIB20> 2008-06-28 12:17:49 471040 -----n--- C:\WINDOWS\system32\ImagXRA7.dll <Not Verified; Pegasus Imaging Corp.; ImagXpress7> 2008-06-28 12:17:49 262144 -----n--- C:\WINDOWS\system32\ImagXR7.dll <Not Verified; Pegasus Imaging Corp.; ImagXpress7> 2008-06-28 12:17:49 1568768 -----n--- C:\WINDOWS\system32\ImagX7.dll <Not Verified; Pegasus Imaging Corp.; ImagXpress7> 2008-06-28 12:17:48 155648 --a------ C:\WINDOWS\system32\NeroCheck.exe <Not Verified; Ahead Software Gmbh; Ahead Software Gmbh NeroCheck> 2008-06-28 12:17:44 0 d-------- C:\Programme\Gemeinsame Dateien\Ahead 2008-06-28 12:17:43 0 d-------- C:\Programme\Ahead 2008-06-28 03:59:28 0 d-------- C:\WINDOWS\Prefetch 2008-06-28 03:53:58 0 d-------- C:\WINDOWS\system32\de-de 2008-06-28 03:53:56 0 d-------- C:\WINDOWS\system32\de 2008-06-28 03:53:56 0 d-------- C:\WINDOWS\l2schemas 2008-06-28 03:53:55 0 d-------- C:\WINDOWS\system32\bits 2008-06-28 03:50:39 0 d-------- C:\WINDOWS\ServicePackFiles 2008-06-28 03:48:41 0 d-------- C:\WINDOWS\network diagnostic 2008-06-28 03:31:36 0 d--h----- C:\WINDOWS\$hf_mig$ 2008-06-28 02:22:38 0 d-------- C:\Programme\GUILD WARS 2008-06-28 01:26:48 21840 --a-----t C:\WINDOWS\system32\SIntfNT.dll 2008-06-28 01:26:48 17212 --a-----t C:\WINDOWS\system32\SIntf32.dll 2008-06-28 01:26:48 12067 --a-----t C:\WINDOWS\system32\SIntf16.dll 2008-06-28 01:21:26 33288 --a------ C:\WINDOWS\DIIUnin.dat 2008-06-28 01:21:24 2829 --a------ C:\WINDOWS\DIIUnin.pif 2008-06-28 01:21:24 102400 --a------ C:\WINDOWS\DIIUnin.exe <Not Verified; Blizzard Entertainment; DIABLO II-Deinstallationsprogramm> 2008-06-28 01:15:13 0 d-------- C:\Programme\Diablo II 2008-06-28 01:06:05 0 d-------- C:\WINDOWS\nview 2008-06-28 01:05:36 0 d-------- C:\NVIDIA 2008-06-28 00:59:48 0 d-------- C:\WINDOWS\OemDir 2008-06-28 00:59:39 0 d-------- C:\WINDOWS 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\WinSxS 2008-06-28 00:59:39 0 dr------- C:\WINDOWS\Web 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\twain_32 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\system32 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\system32\wins 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\system32\wbem 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\system32\usmt 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\system32\spool 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\system32\ShellExt 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\system32\Setup 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\system32\ras 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\system32\oobe 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\system32\npp 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\system32\mui 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\system32\inetsrv 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\system32\IME 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\system32\icsxml 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\system32\ias 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\system32\export 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\system32\drivers 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\system32\drivers\etc 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\system32\drivers\disdn 2008-06-28 00:59:39 0 dr-hs--c- C:\WINDOWS\system32\dllcache 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\system32\dhcp 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\system32\config 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\system32\3com_dmi 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\system32\3076 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\system32\2052 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\system32\1054 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\system32\1042 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\system32\1041 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\system32\1037 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\system32\1033 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\system32\1031 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\system32\1028 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\system32\1025 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\system 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\security 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\Resources 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\repair 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\Provisioning 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\PeerNet 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\pchealth 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\mui 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\msapps 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\msagent 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\Media 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\java 2008-06-28 00:59:39 0 d--h----- C:\WINDOWS\inf 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\ime 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\Help 2008-06-28 00:59:39 0 dr--s---- C:\WINDOWS\Fonts 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\ehome 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\Driver Cache 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\Debug 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\Cursors 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\Connection Wizard 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\Config 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\AppPatch 2008-06-28 00:59:39 0 d-------- C:\WINDOWS\addins 2008-06-28 00:41:35 0 d-------- C:\Programme\VIA 2008-06-28 00:40:49 306688 --a------ C:\WINDOWS\IsUninst.exe <Not Verified; InstallShield Software Corporation; InstallShield® unInstaller> 2008-06-28 00:40:19 5824 --a------ C:\WINDOWS\system32\drivers\ASUSHWIO.SYS 2008-06-28 00:13:10 0 d-------- C:\Programme\TuneUp Utilities 2008 2008-06-28 00:12:45 0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-06-28 00:10:06 0 d-------- C:\Programme\Avira 2008-06-28 00:09:17 0 d-------- C:\Programme\Yahoo! 2008-06-28 00:09:12 0 d-------- C:\Programme\CCleaner 2008-06-28 00:07:09 1536 --a------ C:\WINDOWS\system32\TrueSoft.dat 2008-06-28 00:07:07 456 --a------ C:\WINDOWS\system32\pthsp.dat 2008-06-28 00:06:04 0 d--hs---- C:\WINDOWS\Installer 2008-06-28 00:06:04 0 d-------- C:\Programme\Gemeinsame Dateien\ODBC 2008-06-28 00:06:02 0 dr------- C:\Programme 2008-06-28 00:06:02 0 d-------- C:\Programme\Gemeinsame Dateien 2008-06-28 00:06:02 0 d-------- C:\Programme\Gemeinsame Dateien\SpeechEngines 2008-06-28 00:05:36 0 d-------- C:\WINDOWS\system32\CatRoot2 2008-06-28 00:05:36 0 d-------- C:\WINDOWS\system32\CatRoot 2008-06-28 00:05:16 0 d-------- C:\Dokumente und Einstellungen 2008-06-28 00:05:15 0 d--hs---- C:\System Volume Information 2008-06-28 00:02:46 0 d-------- C:\WINDOWS\system32\ReinstallBackups 2008-06-28 00:01:44 0 d-------- C:\Programme\VideoLAN 2008-06-28 00:00:19 4212 ---h----- C:\WINDOWS\system32\zllictbl.dat 2008-06-28 00:00:16 11264 --a------ C:\WINDOWS\system32\SpOrder.dll <Not Verified; Microsoft Corporation; Microsoft(R) Windows NT(TM) Operating System> 2008-06-27 23:59:31 0 d-------- C:\WINDOWS\Internet Logs 2008-06-27 23:49:10 0 --a------ C:\WINDOWS\nsreg.dat 2008-06-27 23:37:07 41984 -----n--- C:\WINDOWS\Ctregrun.exe <Not Verified; Creative Technology Ltd; Creative On-line Registration System> 2008-06-27 23:36:38 25088 -----n--- C:\WINDOWS\system32\CTSVCCTL.EXE <Not Verified; Creative Technology Ltd; Creative Service Control> 2008-06-27 23:36:38 44032 -----n--- C:\WINDOWS\system32\CTSVCCDA.EXE <Not Verified; Creative Technology Ltd; Creative Service for CDROM Access> 2008-06-27 23:35:35 233472 --a------ C:\WINDOWS\system32\wrap_oal.dll <Not Verified; Creative Labs; Creative Labs OpenAL32> 2008-06-27 23:34:47 0 d-------- C:\WINDOWS\system32\Data 2008-06-27 23:34:47 24576 --a------ C:\WINDOWS\CTXFIGER.DLL <Not Verified; ; CTxfiRes Dynamic Link Library> 2008-06-27 23:34:47 11264 --a------ C:\WINDOWS\CTDCRGER.DLL <Not Verified; Creative Technology Ltd; Creative Audio Product> 2008-06-27 23:33:14 77824 -----n--- C:\WINDOWS\system32\ctdvda32.dll <Not Verified; Creative Technology Ltd; Creative DVD-Audio Product> 2008-06-27 23:32:18 0 d-------- C:\WINDOWS\RegisteredPackages 2008-06-27 23:32:13 0 d-------- C:\Programme\Creative 2008-06-27 23:31:07 0 d--h----- C:\Programme\InstallShield Installation Information 2008-06-27 23:31:05 0 d-------- C:\Programme\Gemeinsame Dateien\InstallShield 2008-06-27 23:23:28 0 d-------- C:\WINDOWS\SoftwareDistribution 2008-06-27 23:22:16 0 d---s---- C:\WINDOWS\system32\Microsoft 2008-06-27 23:13:53 0 d-------- C:\WINDOWS\system32\xircom 2008-06-27 23:13:53 0 d-------- C:\Programme\microsoft frontpage 2008-06-27 23:13:31 0 -rahs---- C:\MSDOS.SYS 2008-06-27 23:13:31 0 -rahs---- C:\IO.SYS 2008-06-27 23:13:31 0 --a------ C:\CONFIG.SYS 2008-06-27 23:13:31 0 --a------ C:\AUTOEXEC.BAT 2008-06-27 23:12:40 0 dr------- C:\WINDOWS\Offline Web Pages 2008-06-27 23:12:40 0 d---s---- C:\WINDOWS\Downloaded Program Files 2008-06-27 23:12:34 0 d--h----- C:\Programme\WindowsUpdate 2008-06-27 23:12:33 0 d-------- C:\Programme\Online-Dienste 2008-06-27 23:12:23 0 d-------- C:\WINDOWS\system32\DirectX 2008-06-27 23:12:01 0 d-------- C:\Programme\Gemeinsame Dateien\Dienste 2008-06-27 23:11:59 0 d---s---- C:\WINDOWS\Tasks 2008-06-27 23:11:59 0 d-------- C:\Programme\Gemeinsame Dateien\MSSoap 2008-06-27 23:11:56 0 d-------- C:\WINDOWS\system32\Macromed 2008-06-27 23:11:56 0 d-------- C:\WINDOWS\srchasst 2008-06-27 23:11:51 0 d-------- C:\Programme\Movie Maker 2008-06-27 23:11:45 0 d-------- C:\WINDOWS\system32\Restore 2008-06-27 23:11:13 21740 --a------ C:\WINDOWS\system32\emptyregdb.dat 2008-06-27 23:11:10 0 d-------- C:\WINDOWS\Registration 2008-06-27 23:11:09 0 d-------- C:\Programme\Online Services 2008-06-27 23:11:06 0 d-------- C:\Programme\Messenger 2008-06-27 23:11:03 0 d-------- C:\Programme\MSN Gaming Zone 2008-06-27 23:10:38 0 d-------- C:\Programme\Windows NT 2008-06-27 23:10:37 44544 --a------ C:\WINDOWS\system32\tscupgrd.exe <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®> 2008-06-27 23:10:36 0 d-------- C:\WINDOWS\system32\MsDtc 2008-06-27 23:10:35 0 d-------- C:\WINDOWS\system32\Com -- Find3M Report --------------------------------------------------------------- 2008-07-13 16:20:37 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype 2008-07-13 13:12:08 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\skypePM 2008-07-13 12:20:48 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Engelmann Media 2008-07-12 14:51:32 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Winamp 2008-07-10 11:58:59 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Smart Recorder 2008-07-08 20:18:08 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dvdcss 2008-07-03 23:07:50 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\com.adobe.mauby.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1 2008-07-03 23:07:49 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Adobe 2008-07-01 23:40:10 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mp3tag 2008-06-29 22:29:04 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Google 2008-06-29 13:02:03 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Macromedia 2008-06-28 16:43:11 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Real 2008-06-28 04:01:47 316594 --a------ C:\WINDOWS\system32\perfh007.dat 2008-06-28 04:01:47 48156 --a------ C:\WINDOWS\system32\perfc007.dat 2008-06-28 02:22:24 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\WinRAR 2008-06-28 00:37:54 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Creative 2008-06-28 00:13:23 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software 2008-06-28 00:05:47 62 --ahs---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\desktop.ini 2008-06-28 00:02:03 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\vlc 2008-06-27 23:49:09 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla 2008-06-27 23:23:44 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Identities -- Registry Dump --------------------------------------------------------------- |
|
13.07.2008, 15:45
| #6 |
| | Bitte mal Logfile prüfen, ist der Trojaner noch da ? MAIN II: Code:
ATTFilter
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
11.06.2008 22:33 75128 --a------ C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{62D6DDA7-8FE9-47F1-B8E9-D1D0D3D9FF3A}]
13.07.2008 12:26 32256 --a------ C:\WINDOWS\system32\ddcAroLD.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RCSystem"="C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" [16.06.2005 18:25]
"AudioDrvEmulator"="C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" [16.06.2005 18:25]
"VolPanel"="C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" [11.07.2005 11:34]
"CTHelper"="CTHELPER.EXE" [08.08.2005 08:10 C:\WINDOWS\CTHELPER.EXE]
"CTxfiHlp"="CTXFIHLP.EXE" [08.08.2005 08:10 C:\WINDOWS\system32\CTXFIHLP.EXE]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [12.02.2008 10:06]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [17.03.2006 09:31]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [17.03.2006 09:31]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [24.02.2004 16:35]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [01.04.2008 20:49]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [14.04.2008 07:52]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [28.01.2008 11:43]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [30.05.2008 15:54]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=1 (0x1)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{62D6DDA7-8FE9-47F1-B8E9-D1D0D3D9FF3A}"= C:\WINDOWS\system32\ddcAroLD.dll [13.07.2008 12:26 32256]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcAroLD]
ddcAroLD.dll 13.07.2008 12:26 32256 C:\WINDOWS\system32\ddcAroLD.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy]
C:\WINDOWS\System32\dimsntfy.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Creative Detector"=C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CTDVDDET"="C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE"
"UpdReg"=C:\WINDOWS\UpdReg.EXE
"nwiz"=nwiz.exe /install
"Adobe Photo Downloader"="C:\Programme\Adobe\Adobe Photoshop Lightroom\apdproxy.exe"
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
eapsvcs eaphost
dot3svc dot3svc
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
napagent
hkmsvc
-- Hosts -----------------------------------------------------------------------
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
8756 more entries in hosts file.
-- End of Deckard's System Scanner: finished at 2008-07-13 16:25:43 ------------
|
|
13.07.2008, 16:47
| #7 |
| | Bitte mal Logfile prüfen, ist der Trojaner noch da ? MAIN II: Code:
ATTFilter -- Find3M Report ---------------------------------------------------------------
2008-07-13 17:41:36 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2008-07-13 17:17:00 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-07-13 16:00:47 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\skypePM
2008-07-13 12:20:48 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Engelmann Media
2008-07-12 14:51:32 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Winamp
2008-07-10 11:58:59 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Smart Recorder
2008-07-08 20:18:08 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dvdcss
2008-07-03 23:07:50 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\com.adobe.mauby.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1
2008-07-03 23:07:49 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Adobe
2008-07-01 23:40:10 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mp3tag
2008-06-29 22:29:04 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Google
2008-06-29 13:02:03 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Macromedia
2008-06-28 16:43:11 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Real
2008-06-28 04:01:47 316594 --a------ C:\WINDOWS\system32\perfh007.dat
2008-06-28 04:01:47 48156 --a------ C:\WINDOWS\system32\perfc007.dat
2008-06-28 02:22:24 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\WinRAR
2008-06-28 00:37:54 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Creative
2008-06-28 00:13:23 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software
2008-06-28 00:05:47 62 --ahs---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\desktop.ini
2008-06-28 00:02:03 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\vlc
2008-06-27 23:49:09 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla
2008-06-27 23:23:44 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Identities
-- Registry Dump ---------------------------------------------------------------
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
11.06.2008 22:33 75128 --a------ C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RCSystem"="C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" [16.06.2005 18:25]
"AudioDrvEmulator"="C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" [16.06.2005 18:25]
"VolPanel"="C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" [11.07.2005 11:34]
"CTHelper"="CTHELPER.EXE" [08.08.2005 08:10 C:\WINDOWS\CTHELPER.EXE]
"CTxfiHlp"="CTXFIHLP.EXE" [08.08.2005 08:10 C:\WINDOWS\system32\CTXFIHLP.EXE]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [12.02.2008 10:06]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [17.03.2006 09:31]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [17.03.2006 09:31]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [24.02.2004 16:35]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [01.04.2008 20:49]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [14.04.2008 07:52]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [28.01.2008 11:43]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [30.05.2008 15:54]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy]
C:\WINDOWS\System32\dimsntfy.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Creative Detector"=C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CTDVDDET"="C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE"
"UpdReg"=C:\WINDOWS\UpdReg.EXE
"nwiz"=nwiz.exe /install
"Adobe Photo Downloader"="C:\Programme\Adobe\Adobe Photoshop Lightroom\apdproxy.exe"
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
eapsvcs eaphost
dot3svc dot3svc
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
napagent
hkmsvc
-- End of Deckard's System Scanner: finished at 2008-07-13 17:44:34 ------------
|
|
13.07.2008, 16:50
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ |  Bitte mal Logfile prüfen, ist der Trojaner noch da ? Ähm moment, Du solltest mit Malwarebytes eigentlich einen vollen und keinen schnellen Scan machen. Hol das bitte nach!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
13.07.2008, 16:52
| #9 |
| | Bitte mal Logfile prüfen, ist der Trojaner noch da ? Das mach ich dann morgen muss jetzt leider zur Arbeit  ich poste dann das Ergebnis von Malwarebyte morgen früh. Nochmals vielen Dank für deine Hilfe und schönen Sonntag noch. Viele Grüße |
|
13.07.2008, 23:40
| #10 |
| | Bitte mal Logfile prüfen, ist der Trojaner noch da ? Also, Malwarebyte hat bei einem Vollscan nichts gefunden. Ich hoffe das Problem hat sich damit erledigt. Vielen Dank für die kompente Unterstützung und viele Grüße nochmal. :aplaus: |
|
| Themen zu Bitte mal Logfile prüfen, ist der Trojaner noch da ? |
| ad-aware, administrator, adobe, antivirus, avg, avira, bho, dll, einstellungen, hijack, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, logfile, neustart, nvidia, pop-up-blocker, prüfen, rundll, scan, software, system, temp, trojaner, tuneup.defrag, urlsearchhook, windows xp, windows xp sp3, xp sp3, yahoo |
Hybrid-Darstellung
