|
Plagegeister aller Art und deren Bekämpfung: Backdoor Agent ARK geht nicht wegWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
15.07.2008, 06:19 | #1 |
| Backdoor Agent ARK geht nicht weg Hallo Leute Ich habe ein Problem.... seid einiger zeit habe ich einen großen schädling aufm PC... der öffnet immer wieder iexplorer mit werbung und läst so kurze sound geräuche immer erklingen alle paar min ca. der prozess der das verursacht ist 2Ife6rem.exe im System32 Ordner Spyware Doctor erkennt ihn als Backdoor.Agent.ARK - beseitigt ihn - kommt aber immer wieder... hier mal hijack log : Logfile of HijackThis v1.99.1 Scan saved at 07:15:59, on 15.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\HDDSvc.exe C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\oodag.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Logitech\G-series Software\LGDCore.exe C:\Programme\CyberLink\Shared files\RichVideo.exe C:\Programme\Logitech\G-series Software\LCDMon.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE C:\Programme\UltraMon\UltraMon.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe C:\Programme\UltraMon\UltraMonTaskbar.exe C:\Programme\ICQPlus\vplus.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe C:\PROGRA~1\MICROS~3\rapimgr.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.exe C:\Programme\Logitech\SetPoint\KEM.exe C:\Programme\Logitech\SetPoint\KHALMNPR.EXE C:\Programme\Spyware Doctor\pctsAuxs.exe C:\Programme\Spyware Doctor\pctsSvc.exe C:\Programme\Spyware Doctor\pctsTray.exe C:\Programme\FTPRush\ftprush.exe C:\Dokumente und Einstellungen\**********\Desktop\**********\IRC-ScRiPt-2\mirc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\ICQ\Icq.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\WINDOWS\system32\2Ife6rem.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.koeln.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe" O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800" O4 - HKLM\..\Run: [UltraMon] "C:\Programme\UltraMon\UltraMon.exe" /auto O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKLM\..\Run: [Spy Protector] C:\Programme\Security Task Manager\SpyProtector.exe /autostart O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [SkypeCryptoChat] "C:\Dokumente und Einstellungen\**********\Lokale Einstellungen\Apps\2.0\AQ58NLN7.D2O\XHV9T5MM.PGV\lfcr..tion_5ec75c53587d555c_0001.0000_208fa6fb73ba7a14\LFCryptoChat4Skype.exe" /nostart O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\Icq.exe -trayboot O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe O4 - Global Startup: Pinnacle ShowCenter StreamServer.lnk = ? O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\ONBttnIE.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\REFIEBAR.DLL O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://download.divx.com/webplayer/stage6/windows/DivXBrowserPlugin.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\GR99D3~1.DLL O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: HDD Information Service (HDDSvc) - AltrixSoft (h**p://www.altrixsoft.com/) - C:\WINDOWS\system32\HDDSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing) O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - C:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing) O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing) O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe (file missing) O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing) hoffe mir kann wer helfen ihn los zu werden |
15.07.2008, 15:25 | #2 |
Administrator > Competence Manager | Backdoor Agent ARK geht nicht weg Hallo badman19 und
__________________Dateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\system32\2Ife6rem.exe C:\Dokumente und Einstellungen\**********\Lokale Einstellungen\Apps\2.0\AQ58NLN7.D2O\XHV9T5MM.PGV\l fcr..tion_5ec75c53587d555c_0001.0000_208fa6fb73ba7 a14\LFCryptoChat4Skype.exe
Malwarebytes' Anti-Malware
Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
__________________ |
15.07.2008, 15:50 | #3 |
| Backdoor Agent ARK geht nicht weg Hallo
__________________Schonmal danke für die Hilfe! nun die scans Datei 2Ife6rem.exe empfangen 2008.07.15 16:38:11 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 20/33 (60.61%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit is zwischen 37 und 53 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.7.11.0 2008.07.15 - AntiVir 7.8.0.64 2008.07.15 TR/Crypt.ULPM.Gen Authentium 5.1.0.4 2008.07.15 - Avast 4.8.1195.0 2008.07.15 Win32:Trojan-gen {Other} AVG 7.5.0.516 2008.07.15 Generic10.BBXO BitDefender 7.2 2008.07.15 GenPack:Trojan.Agent.AJEQ CAT-QuickHeal 9.50 2008.07.14 - ClamAV 0.93.1 2008.07.15 - DrWeb 4.44.0.09170 2008.07.15 - eSafe 7.0.17.0 2008.07.14 Win32.Agent.vyy eTrust-Vet 31.6.5956 2008.07.15 Win32/AdClicker.HF Ewido 4.0 2008.07.15 - F-Prot 4.4.4.56 2008.07.14 - F-Secure 7.60.13501.0 2008.07.15 Trojan-Downloader.Win32.Agent.vyy Fortinet 3.14.0.0 2008.07.15 W32/Agent.VYY!tr.dldr GData 2.0.7306.1023 2008.07.15 Trojan-Downloader.Win32.Agent.vyy Ikarus T3.1.1.26.0 2008.07.15 Trojan.Crypt.ULPM Kaspersky 7.0.0.125 2008.07.15 Trojan-Downloader.Win32.Agent.vyy McAfee 5338 2008.07.14 - Microsoft 1.3704 2008.07.15 Trojan:Win32/Adclicker.KU NOD32v2 3269 2008.07.15 probably unknown NewHeur_PE virus Norman 5.80.02 2008.07.15 W32/Smalltroj.FJKA Panda 9.0.0.4 2008.07.14 Suspicious file Prevx1 V2 2008.07.15 Malicious Software Rising 20.53.12.00 2008.07.15 - Sophos 4.31.0 2008.07.15 Mal/HckPk-A Sunbelt 3.1.1536.1 2008.07.15 Trojan.Crypt.ULPM.Gen Symantec 10 2008.07.15 - TheHacker 6.2.96.379 2008.07.14 - TrendMicro 8.700.0.1004 2008.07.15 TROJ_AGENT.AKGN VBA32 3.12.8.0 2008.07.15 - VirusBuster 4.5.11.0 2008.07.15 - Webwasher-Gateway 6.6.2 2008.07.15 Trojan.Crypt.ULPM.Gen weitere Informationen File size: 35842 bytes MD5...: 864f0d4577cd999eaba97ecdb9eaf10e SHA1..: 60fd8207303048309ad5ada2cf3a9f823cc07c82 SHA256: ec9e2589d4b6c58c600a61a2d0948db2e59108ad1a1f9399da811c72c7a8f80e SHA512: 03c265e9434a77f06e3b5e34935a5ef63c7df466cc9db1d24cd9fed53fa17330 d48100ad66f7500f06ba8586c6455433bac8a3ef072e9fda49d9b144bca8e9b6 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4141f9 timedatestamp.....: 0x4877a369 (Fri Jul 11 18:16:09 2008) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0xb000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0xc000 0x9000 0x8400 7.98 2b99c4cb98f3455ab2349ca9fa649b29 UPX2 0x15000 0x1000 0x400 2.73 af8114c7acc7de4abf32e98010e97503 ( 9 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess > ADVAPI32.dll: RegCloseKey > NETAPI32.dll: NetScheduleJobAdd > ole32.dll: CoInitialize > OLEAUT32.dll: - > SHELL32.dll: StrChrA > SHLWAPI.dll: StrDupA > USER32.dll: wsprintfA > WININET.dll: InternetOpenA ( 0 exports ) Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=ED1D8D4E02FBC4108CC3006981F6B20011108E66 und die 2 datei kann ich net uploaden den pfad gibt es nicht (mehr?) nur bis: C:\Dokumente und Einstellungen\USHMSSJ\Lokale Einstellungen\Apps\2.0\AQ58NLN7.D2O\XHV9T5MM.PGV und dann ist dort ein manifests ordner der jedoch leer ist falls ich das nur chekcen soll weill dus nicht kennst es ist ein Crypt Prog für Skype damit alles verschlüsselt geschieht in skype habe es aber vorgestern oder so wieder deinstalled.... Ich Poste das hier schonmal.... Makware läuft noch kann was dauern pladde net mehr die neuste |
15.07.2008, 16:46 | #4 |
| Backdoor Agent ARK geht nicht weg sooo nun malware log Malwarebytes' Anti-Malware 1.20 Datenbank Version: 951 Windows 5.1.2600 Service Pack 2 17:44:32 15.07.2008 mbam-log-7-15-2008 (17-44-32).txt Scan Art: Komplett Scan (C:\|) Objekte gescannt: 115316 Scan Dauer: 49 minute(s), 10 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine Malware Objekte gefunden) Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\USHMSSJ\Lokale Einstellungen\Temp\CmdLineExt02.dll (Trojan.Agent) -> Quarantined and deleted successfully. und filelist: Verzeichnis von C:\ 14.07.2008 17:12 1.610.612.736 pagefile.sys 11.07.2008 00:42 31.287 automation3-scripts-r421.zip 26.06.2008 16:08 212.954 MSDELog.log 30.03.2008 15:05 1.393.959 ProgEdit_1.111.rar 30.03.2008 14:07 34 ProgDVB.ini 07.03.2008 21:42 223 boot.ini Verzeichnis von C:\WINDOWS\system32 15.07.2008 02:29 35.842 2Ife6rem.exe 14.07.2008 17:59 448.248 perfh009.dat 14.07.2008 17:59 82.490 perfc009.dat 14.07.2008 17:59 451.460 perfh007.dat 14.07.2008 17:59 90.494 perfc007.dat 14.07.2008 17:59 1.087.456 PerfStringBackup.INI 14.07.2008 17:11 31.137 OODBS.lor 13.07.2008 19:19 2.206 wpa.dbl 12.07.2008 14:09 382.424 FNTCACHE.DAT 11.07.2008 14:40 29.760 Qrfno8w7.exe 26.06.2008 16:08 2.214.094 MSDELog.log 20.06.2008 06:40 351.744 avisynth.dll 07.06.2008 11:18 9.282 Pvt.tmp 07.06.2008 11:18 34.308 Chip.dll 16.05.2008 11:58 12.632 lsdelete.exe 07.03.2008 20:48 138.558 TZLog.log 31.01.2008 16:38 34.308 BASSMOD.dll Verzeichnis von C:\WINDOWS\Prefetch 15.07.2008 17:47 82.952 NOTEPAD.EXE-2F2D61E1.pf 15.07.2008 17:47 110.294 WINRAR.EXE-1A0EFB18.pf 15.07.2008 17:47 16.818 CMD.EXE-034B0549.pf 15.07.2008 17:47 19.218 VERCLSID.EXE-28F52AD2.pf 15.07.2008 17:47 128.926 VLC.EXE-2584CE07.pf 15.07.2008 17:16 82.764 FIREFOX.EXE-28BE8AE1.pf 15.07.2008 17:11 24.010 TASKMGR.EXE-06144C13.pf 15.07.2008 17:11 64.592 IEXPLORE.EXE-360BBB5C.pf 15.07.2008 17:11 21.672 DRWTSN32.EXE-01DDCF15.pf 15.07.2008 17:00 23.536 QRFNO8W7.EXE-3B783162.pf 15.07.2008 17:00 10.954 2IFE6REM.EXE-34195B3C.pf 15.07.2008 07:15 54.570 HIJACKTHIS.EXE-32795687.pf 15.07.2008 07:13 90.406 SKYPEPM.EXE-1D416A14.pf 15.07.2008 07:11 45.218 WMIPRVSE.EXE-0D449B4F.pf 15.07.2008 07:11 84.012 SKYPE.EXE-0D322358.pf 15.07.2008 07:09 41.576 PAMELAPCR.EXE-1847D9CD.pf 15.07.2008 02:30 38.394 WLLOGINPROXY.EXE-037D8997.pf 15.07.2008 01:34 39.680 MSCONFIG.EXE-1EF1EA0F.pf 15.07.2008 01:15 141.208 WMPLAYER.EXE-017735B3.pf 15.07.2008 00:58 37.448 NFOVIEWER.EXE-079EF178.pf 15.07.2008 00:57 65.568 PROGDVB.EXE-19A93FDD.pf 15.07.2008 00:15 59.018 EXPLORER.EXE-02121B1A.pf 14.07.2008 23:52 15.886 RUNDLL32.EXE-6E8D4657.pf 14.07.2008 23:24 36.116 RUNDLL32.EXE-3C500167.pf 14.07.2008 21:43 86.652 MPLAYERC.EXE-2358BB3A.pf 14.07.2008 17:55 68.188 CLEANMGR.EXE-31B430FE.pf 14.07.2008 17:38 79.868 USNSVC.EXE-250F009C.pf 14.07.2008 17:37 71.666 MSNMSGR.EXE-19DA9081.pf 14.07.2008 17:37 65.710 ICQ.EXE-12D03E8D.pf 14.07.2008 17:26 62.312 MIRC.EXE-20220265.pf 14.07.2008 17:26 14.494 AGENTSVR.EXE-260B72BD.pf 14.07.2008 17:25 69.752 FTPRUSH.EXE-114B177E.pf 14.07.2008 17:15 26.614 WMIAPSRV.EXE-02740A4B.pf 14.07.2008 17:15 24.252 CSC.EXE-08AD7008.pf 14.07.2008 17:15 8.968 CVTRES.EXE-1404C725.pf 14.07.2008 17:14 52.574 CSC.EXE-22F6101C.pf 14.07.2008 17:14 4.822 CVTRES.EXE-16681F8A.pf 14.07.2008 17:14 61.628 CLI.EXE-124F2D43.pf 14.07.2008 17:14 15.426 KHALMNPR.EXE-38F17899.pf 14.07.2008 17:14 33.286 STRMSERVER.EXE-1E5E0310.pf 14.07.2008 17:14 23.928 RAPIMGR.EXE-23D77446.pf 14.07.2008 17:14 17.812 KEM.EXE-2281F148.pf 14.07.2008 17:14 32.168 PMSHOST.EXE-0EEAEDDB.pf 14.07.2008 16:46 25.156 WCESCOMM.EXE-1136DA72.pf 14.07.2008 16:46 17.650 CTFMON.EXE-05E57A5E.pf 14.07.2008 16:46 24.018 TEATIMER.EXE-08FD41B0.pf 14.07.2008 16:46 21.104 ULTRAMONTASKBAR.EXE-082D8782.pf 14.07.2008 16:46 7.850 VPLUS.EXE-1B157ECB.pf 14.07.2008 16:46 17.922 LANGUAGE.EXE-0C543E78.pf 14.07.2008 16:46 8.284 CLONECDTRAY.EXE-3351FC4F.pf 14.07.2008 16:46 20.690 ULTRAMONDESKTOP.EXE-264AC690.pf 14.07.2008 16:46 17.724 ULTRAMON.EXE-3255C822.pf 14.07.2008 16:46 8.826 E_FATIACE.EXE-363C0927.pf 14.07.2008 16:46 13.964 G15NETSPEED.EXE-0517EB80.pf 14.07.2008 16:46 20.712 LCDCLOCK.EXE-0EFDF953.pf 14.07.2008 16:46 5.644 KHALMNPR.EXE-39603A2C.pf 14.07.2008 16:46 17.750 LCDMON.EXE-01D74F95.pf 14.07.2008 16:46 21.818 LGDCORE.EXE-3B7A1B10.pf 14.07.2008 16:46 12.834 SOUNDMAN.EXE-2979F3F4.pf 14.07.2008 16:41 79.984 INTEGRATOR.EXE-1B6EF261.pf 14.07.2008 16:37 37.328 MSIEXEC.EXE-330626DC.pf 14.07.2008 16:33 25.330 WUAUCLT.EXE-1360D60A.pf 14.07.2008 08:06 118.364 VIRTUA~1.EXE-21387CF7.pf 14.07.2008 01:37 110.252 BESWEET.EXE-22AC334A.pf 13.07.2008 22:58 74.108 PREIT!.EXE-0D689D9C.pf 13.07.2008 21:59 38.308 AVICODEC.EXE-151B161F.pf 13.07.2008 20:23 47.482 VIRTUALDUBMOD.EXE-10117B2A.pf 13.07.2008 20:19 57.586 UNINSTALL.EXE-2C8717CF.pf 13.07.2008 20:12 4.028 CLHELPER.EXE-087EBDCB.pf 13.07.2008 20:12 9.108 OLRSTATECHECK.EXE-2ACB7E03.pf 13.07.2008 20:12 65.474 POWERDVD.EXE-28BB77AA.pf 13.07.2008 20:12 7.326 CLDRVCHK.EXE-16E0D625.pf 13.07.2008 20:08 68.132 WINSTYLER.EXE-21145BAF.pf 13.07.2008 20:03 54.588 RUNDLL32.EXE-46633572.pf 13.07.2008 20:00 23.220 DVDDECRYPTER.EXE-18CE5ABF.pf 13.07.2008 19:42 44.712 VLC-0.8.6D-WIN32.EXE-02166C75.pf 13.07.2008 19:39 22.666 LFCRYPTOCHAT4SKYPE.EXE-1C6B985A.pf 13.07.2008 19:34 44.226 WCESMGR.EXE-02A417D3.pf 13.07.2008 19:23 31.744 RUNDLL32.EXE-640707C1.pf 13.07.2008 19:02 29.746 CLONEDVD2.EXE-1770EAD2.pf 13.07.2008 17:53 26.428 RUNDLL32.EXE-6ACB22ED.pf 13.07.2008 17:18 26.348 RUNDLL32.EXE-3C8DC3ED.pf 13.07.2008 15:33 30.856 RUNDLL32.EXE-6A3854AD.pf 13.07.2008 15:29 31.134 RUNDLL32.EXE-7246E04A.pf 13.07.2008 15:24 71.724 DISKCLEANER.EXE-091A7684.pf 13.07.2008 12:45 47.958 PHP.EXE-3792CBD3.pf 13.07.2008 03:02 31.246 RUNDLL32.EXE-6F8C5367.pf 12.07.2008 19:45 31.246 RUNDLL32.EXE-7418FE7A.pf 12.07.2008 19:42 31.246 RUNDLL32.EXE-4324B528.pf 12.07.2008 19:14 31.444 RUNDLL32.EXE-6861295B.pf 12.07.2008 19:14 38.034 LK7Y45SV.EXE-29D74B8F.pf 12.07.2008 17:15 55.830 TS_WINLIRC.EXE-1C613351.pf 12.07.2008 17:15 55.974 DVBVIEWER.EXE-07E9CCC2.pf 12.07.2008 17:14 31.564 RUNDLL32.EXE-67F8C23A.pf 12.07.2008 17:14 37.678 6V6OFVVI.EXE-2304265A.pf 12.07.2008 17:13 174.748 ICQSRP.EXE-10AD24C1.pf 12.07.2008 16:42 45.212 RUNDLL32.EXE-671A46AE.pf 12.07.2008 15:20 59.320 SHREDDER.EXE-0F11A438.pf 12.07.2008 15:13 31.444 RUNDLL32.EXE-43EACADE.pf 12.07.2008 15:13 38.194 JR4IJSJM.EXE-2A08FD73.pf 12.07.2008 14:16 28.166 ACROBATINFO.EXE-05DAD044.pf 12.07.2008 14:14 31.724 RUNDLL32.EXE-747D5E61.pf 12.07.2008 14:12 17.248 RUNDLL32.EXE-4F631A9D.pf 12.07.2008 13:53 12.992 THREATWORK.EXE-00C9F0E5.pf 12.07.2008 13:24 31.496 RUNDLL32.EXE-73DD0D55.pf 12.07.2008 13:23 36.878 DW20.EXE-0515B312.pf 12.07.2008 13:10 30.872 AD-AWARE.EXE-22291502.pf 12.07.2008 13:10 42.024 AAWSERVICE.EXE-03154300.pf 12.07.2008 13:09 62.758 LSUPDATEMANAGER.EXE-1E75670C.pf 12.07.2008 13:09 24.414 AAWLIC.EXE-060397F0.pf 12.07.2008 13:07 15.144 AAW2008_10.EXE-0D9B5A23.pf 12.07.2008 13:00 28.876 RUNDLL32.EXE-464B4040.pf 12.07.2008 12:57 27.418 SQLSERVR.EXE-27696FD7.pf 12.07.2008 12:56 64.806 VEGAS60.EXE-13B08EA1.pf 12.07.2008 12:27 31.830 RUNDLL32.EXE-70700D75.pf 12.07.2008 12:00 28.868 RUNDLL32.EXE-48FB7385.pf 12.07.2008 10:03 40.438 DFRGNTFS.EXE-38C3807C.pf 12.07.2008 10:03 20.778 DEFRAG.EXE-2858C7E2.pf 12.07.2008 10:03 253.256 Layout.ini 12.07.2008 08:20 28.260 RUNDLL32.EXE-4F92A04F.pf 12.07.2008 08:11 32.312 RUNDLL32.EXE-4C57BC0C.pf 12.07.2008 08:00 29.128 RUNDLL32.EXE-4B6FAC22.pf 12.07.2008 07:59 59.794 HELPSVC.EXE-1C192440.pf 12.07.2008 07:53 31.222 RUNDLL32.EXE-41FC4301.pf 12.07.2008 07:51 36.042 RUNDLL32.EXE-3BF155F0.pf 12.07.2008 02:22 14.264 FROZEN THRONE.EXE-1B195BC0.pf 12.07.2008 02:22 68.958 WAR3.EXE-1F756F11.pf 12.07.2008 00:11 93.700 WMPLAYER.EXE-017735B4.pf 11.07.2008 14:55 68.202 WMPLAYER.EXE-017735B2.pf 10.08.2006 23:17 338.380 NTOSBOOT-B00DFAAD.pf 130 Datei(en) 5.968.490 Bytes 0 Verzeichnis(se), 121.643.008 Bytes frei Verzeichnis von C:\WINDOWS 15.07.2008 17:15 60.416 ALCFDRTM.VER 15.07.2008 14:00 32.466 SchedLgU.Txt 15.07.2008 01:15 116 NeroDigital.ini 14.07.2008 23:44 857 win.ini 14.07.2008 17:54 60 setupact.log 14.07.2008 17:13 159 wiadebug.log 14.07.2008 17:13 50 wiaservc.log 14.07.2008 17:13 0 TempFile 14.07.2008 17:12 0 0.log 14.07.2008 17:12 2.048 bootstat.dat 14.07.2008 17:08 90.098 WindowsUpdate.log 13.07.2008 21:21 140 MenuEdit.INI 01.07.2008 20:33 69.123 War3Unin.dat 01.07.2008 19:04 2.829 War3Unin.pif 01.07.2008 19:04 139.264 War3Unin.exe 26.06.2008 14:07 63 PixieTool.INI Verzeichnis von C:\WINDOWS\tasks 15.07.2008 17:00 354 At90.job 15.07.2008 17:00 354 At18.job 15.07.2008 16:34 354 At89.job 15.07.2008 16:00 354 At17.job 15.07.2008 15:00 354 At88.job 15.07.2008 15:00 354 At16.job 15.07.2008 14:00 354 At87.job 15.07.2008 14:00 354 At15.job 15.07.2008 13:00 354 At86.job 15.07.2008 13:00 354 At14.job 15.07.2008 12:00 354 At85.job 15.07.2008 12:00 354 At13.job 15.07.2008 11:00 354 At84.job 15.07.2008 11:00 354 At12.job 15.07.2008 10:00 354 At83.job 15.07.2008 10:00 354 At11.job 15.07.2008 09:00 354 At82.job 15.07.2008 09:00 354 At10.job 15.07.2008 08:00 354 At81.job 15.07.2008 08:00 354 At9.job 15.07.2008 07:00 354 At80.job 15.07.2008 07:00 354 At8.job 15.07.2008 06:00 354 At79.job 15.07.2008 06:00 354 At7.job 15.07.2008 05:00 354 At78.job 15.07.2008 05:00 354 At6.job 15.07.2008 04:00 354 At77.job 15.07.2008 04:00 354 At5.job 15.07.2008 03:00 354 At76.job 15.07.2008 03:00 354 At4.job 15.07.2008 02:29 354 At96.job 15.07.2008 02:29 354 At95.job 15.07.2008 02:29 354 At94.job 15.07.2008 02:29 354 At93.job 15.07.2008 02:29 354 At92.job 15.07.2008 02:29 354 At91.job 15.07.2008 02:29 354 At73.job 15.07.2008 02:29 354 At74.job 15.07.2008 02:29 354 At75.job 15.07.2008 02:00 354 At3.job 15.07.2008 01:00 354 At2.job 15.07.2008 00:07 354 At1.job 14.07.2008 23:00 354 At24.job 14.07.2008 22:00 354 At23.job 14.07.2008 21:00 354 At22.job 14.07.2008 20:00 354 At21.job 14.07.2008 19:00 354 At20.job 14.07.2008 18:00 354 At19.job 14.07.2008 17:12 6 SA.DAT 11.07.2008 17:15 400 1-Klick-Wartung.job 11.11.2004 14:00 65 desktop.ini 51 Datei(en) 17.463 Bytes 0 Verzeichnis(se), 121.638.912 Bytes frei Verzeichnis von C:\WINDOWS\temp 15.07.2008 01:01 5.858 Eh61D722.dat 15.07.2008 00:41 5.880 e7EDdQDL.dat 14.07.2008 21:05 144 5Gdc0pck.dat 14.07.2008 17:14 49.152 CompiledAdapter.dll 14.07.2008 17:13 0 Perflib_Perfdata_5bc.dat 13.07.2008 22:02 72 Mp61L722.dat 13.07.2008 19:38 16.384 Perflib_Perfdata_5c4.dat 13.07.2008 19:20 16.384 Perflib_Perfdata_5d4.dat 12.07.2008 14:10 16.384 Perflib_Perfdata_3c8.dat 12.07.2008 13:12 16.384 Perflib_Perfdata_1cc8.dat 07.07.2008 13:52 16.384 Perflib_Perfdata_58c.dat 22.06.2008 22:24 16.384 Perflib_Perfdata_b14.dat Verzeichnis von C:\DOKUME~1\USHMSSJ\LOKALE~1\Temp 15.07.2008 17:48 134.710 filelist.txt 15.07.2008 17:17 681.248 flaFD.tmp 15.07.2008 17:17 609.191 flaF6.tmp 15.07.2008 15:41 3.010 Eh61D722.dat 15.07.2008 07:46 512 ~DF33.tmp 15.07.2008 07:46 163.840 ~DF1D.tmp 15.07.2008 02:29 5.385 e7EDdQDL.dat 15.07.2008 01:16 897.048 WCESLog.log 14.07.2008 22:32 278.985 Positionierstck_1_1_7782.bak 14.07.2008 18:25 59.964 AdskCleanup.0001 14.07.2008 17:37 512 ~DF6274.tmp 14.07.2008 17:37 16.384 ~DF6229.tmp 14.07.2008 17:36 512 ~DFEF72.tmp 14.07.2008 17:36 16.384 ~DFEF11.tmp 14.07.2008 17:17 87.508 Setup Log 2008-07-14 #004.txt 14.07.2008 17:15 49.152 CompiledAdapter.dll 14.07.2008 17:14 16.384 Perflib_Perfdata_9f4.dat 14.07.2008 17:14 16.384 Perflib_Perfdata_738.dat 14.07.2008 17:14 375 WCESCOMM.LOG 14.07.2008 17:07 6.367 Setup Log 2008-07-14 #003.txt 14.07.2008 17:06 29.166 Uninstall Log 2008-07-14 #001.txt 14.07.2008 17:06 6.963 Setup Log 2008-07-14 #002.txt 14.07.2008 16:33 71.215 Setup Log 2008-07-14 #001.txt 14.07.2008 16:26 16.384 Perflib_Perfdata_580.dat 14.07.2008 12:15 35.842 HmDG5BNP.exe 13.07.2008 19:50 512 ~DFA1A9.tmp 13.07.2008 19:50 16.384 ~DFA137.tmp 13.07.2008 19:50 512 ~DFCB44.tmp 13.07.2008 19:50 16.384 ~DFC7D5.tmp 13.07.2008 19:39 16.384 Perflib_Perfdata_6fc.dat 13.07.2008 19:39 16.384 Perflib_Perfdata_2a4.dat 13.07.2008 19:38 16.384 Perflib_Perfdata_4e0.dat 13.07.2008 19:35 0 etilqs_excoRgmPHMXcWak 13.07.2008 19:35 0 etilqs_YbM6I0huehUcX5z 13.07.2008 19:35 0 etilqs_7R8b3GK5UDwm4Xm 13.07.2008 19:35 0 etilqs_2WAUzAY5ofZhBqQ 13.07.2008 19:34 903 WCESMgr.log 13.07.2008 19:28 512 ~DF939D.tmp 13.07.2008 19:28 163.840 ~DF919E.tmp 13.07.2008 19:28 512 ~DF503E.tmp 13.07.2008 19:28 163.840 ~DF4EC3.tmp 13.07.2008 19:28 512 ~DF3FA2.tmp 13.07.2008 19:28 16.384 ~DF3EA7.tmp 13.07.2008 19:27 512 ~DF9BD6.tmp 13.07.2008 19:27 16.384 ~DF9BCB.tmp 13.07.2008 19:22 16.384 Perflib_Perfdata_9b4.dat 13.07.2008 19:22 16.384 Perflib_Perfdata_6ec.dat 13.07.2008 19:21 16.384 Perflib_Perfdata_2ec.dat 13.07.2008 19:18 0 etilqs_ChbaAv1ygrNC99N 12.07.2008 17:37 512 ~DFBF46.tmp 12.07.2008 17:37 163.840 ~DFBF21.tmp 12.07.2008 14:43 512 ~DF8E1D.tmp 12.07.2008 14:43 16.384 ~DF8CF8.tmp 12.07.2008 14:43 512 ~DF6323.tmp 12.07.2008 14:43 16.384 ~DF6120.tmp 12.07.2008 14:17 681.248 fla13.tmp 12.07.2008 14:17 609.191 flaF.tmp 12.07.2008 14:15 10.104 WcesView.log 12.07.2008 14:11 16.384 Perflib_Perfdata_644.dat 12.07.2008 14:11 16.384 Perflib_Perfdata_828.dat 12.07.2008 13:23 81 dw.log 12.07.2008 13:07 53.760 196fa870.mst 12.07.2008 12:57 16.384 ~DF394C.tmp 12.07.2008 12:57 693 TWAIN.LOG 12.07.2008 12:57 3 Twain001.Mtx 12.07.2008 12:57 156 Twunk001.MTX 11.07.2008 20:56 216 2Ife6rem.dat 11.07.2008 14:55 4.782 5Gdc0pck.dat 11.07.2008 14:40 29.760 orz.exe 11.07.2008 00:54 29.092 aeg311.tmp.ass 10.07.2008 15:38 16.384 ~DFD61F.tmp 10.07.2008 00:05 124 205B6612.TMP 09.07.2008 20:58 0 Twunk002.MTX 09.07.2008 15:59 59.964 Adobelm_Cleanup.0001 07.07.2008 18:58 22.414.120 SkypeSetup.exe 07.07.2008 16:28 416 java_install_reg.log 07.07.2008 13:55 16.384 Perflib_Perfdata_d50.dat 07.07.2008 13:55 16.384 Perflib_Perfdata_8a4.dat 07.07.2008 13:55 16.384 Perflib_Perfdata_a3c.dat 15.11.2007 13:22 836.976 264dsse2.dll.0.sub1.ms0 Geändert von badman19 (15.07.2008 um 16:55 Uhr) |
15.07.2008, 17:05 | #5 |
Administrator > Competence Manager | Backdoor Agent ARK geht nicht weg ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. (ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
15.07.2008, 17:48 | #6 |
| Backdoor Agent ARK geht nicht weg so getan: ComboFix 08-07-14.2 - BENUTZER 2008-07-15 18:36:38.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.894 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\BENUTZER\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . ADS - svchost.exe: deleted 68 bytes in 1 streams. (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\ADM8511\_desktop.ini C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\ADM8511\WIN2000\_desktop.ini C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\ADM8511\WIN98\_desktop.ini C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\ADM8511\WINME\_desktop.ini C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\RTL8150L\_desktop.ini C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\RTL8150L\DIAG2000\_desktop.ini C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\RTL8150L\DIAG98\_desktop.ini C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\RTL8150L\Linux\_desktop.ini C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\RTL8150L\WIN2000\_desktop.ini C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\RTL8150L\WIN98\_desktop.ini C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\RTL8150L\WinCE\_desktop.ini C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\RTL8150L\WINME\_desktop.ini C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\RTL8150L\WINXP\_desktop.ini . ((((((((((((((((((((((( Dateien erstellt von 2008-06-15 bis 2008-07-15 )))))))))))))))))))))))))))))) . 2008-07-15 18:33 . 2008-07-15 18:33 0 --a------ C:\WINDOWS\LCDMedia.INI 2008-07-15 18:22 . 2008-07-15 18:22 <DIR> d-------- C:\Programme\CCleaner 2008-07-15 16:46 . 2008-07-15 16:46 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-07-15 16:46 . 2008-07-15 16:46 <DIR> d-------- C:\Dokumente und Einstellungen\BENUTZER\Anwendungsdaten\Malwarebytes 2008-07-15 16:46 . 2008-07-15 16:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-07-15 16:46 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-07-15 16:46 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-07-15 02:29 . 2008-07-15 02:29 35,842 --a------ C:\WINDOWS\system32\2Ife6rem.exe 2008-07-14 17:16 . 2008-07-14 17:16 <DIR> d-------- C:\Dokumente und Einstellungen\BENUTZER\Anwendungsdaten\PC Tools 2008-07-14 17:16 . 2008-06-10 21:22 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2008-07-14 17:16 . 2008-06-02 15:19 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2008-07-14 17:16 . 2008-06-02 15:19 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2008-07-14 17:16 . 2008-06-02 15:19 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2008-07-14 17:00 . 2008-07-14 17:00 <DIR> dr------- C:\Dokumente und Einstellungen\NetworkService\Favoriten 2008-07-14 16:30 . 2008-07-15 17:18 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-07-14 16:29 . 2008-07-15 04:26 <DIR> d-------- C:\Programme\Spyware Doctor 2008-07-13 20:20 . 2008-07-13 20:20 <DIR> d-------- C:\Dokumente und Einstellungen\BENUTZER\Anwendungsdaten\vlc 2008-07-12 13:09 . 2008-07-12 13:09 <DIR> d-------- C:\Programme\Lavasoft 2008-07-12 13:09 . 2008-07-12 13:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-07-11 14:41 . 2008-07-11 14:40 29,760 --a------ C:\WINDOWS\system32\Qrfno8w7.exe 2008-07-11 00:42 . 2008-07-11 00:42 31,287 --a------ C:\automation3-scripts-r421.zip 2008-07-10 21:37 . 2008-07-11 00:54 <DIR> d-------- C:\Dokumente und Einstellungen\BENUTZER\Anwendungsdaten\Aegisub 2008-07-10 21:35 . 2008-07-10 21:36 <DIR> d-------- C:\Programme\Aegisub 2.1.2 2008-07-01 18:56 . 2008-07-01 19:04 139,264 --a------ C:\WINDOWS\War3Unin.exe 2008-07-01 18:56 . 2008-07-01 20:33 69,123 --a------ C:\WINDOWS\War3Unin.dat 2008-07-01 18:56 . 2008-07-01 19:04 2,829 --a------ C:\WINDOWS\War3Unin.pif 2008-06-26 16:09 . 2000-04-27 12:31 19,456 --------- C:\WINDOWS\system32\asapi.dll 2008-06-26 16:09 . 2002-04-17 20:27 11,264 --------- C:\WINDOWS\system32\drivers\asapiW2k.sys 2008-06-26 16:08 . 1998-11-02 19:57 196,096 --------- C:\WINDOWS\system32\MACD32.DLL 2008-06-26 16:08 . 1998-11-02 19:57 138,752 --------- C:\WINDOWS\system32\MASE32.DLL 2008-06-26 16:08 . 1998-11-02 19:57 136,192 --------- C:\WINDOWS\system32\MAMC32.DLL 2008-06-26 16:08 . 1998-11-02 19:57 57,856 --------- C:\WINDOWS\system32\MASD32.DLL 2008-06-26 16:08 . 2005-11-18 09:51 41,472 --------- C:\WINDOWS\system32\CacheX.dll 2008-06-26 16:08 . 1998-11-02 19:57 27,648 --------- C:\WINDOWS\system32\MA32.DLL 2008-06-26 16:03 . 2008-06-26 16:03 <DIR> d-------- C:\WINDOWS\Cache 2008-06-26 16:03 . 2003-03-19 04:04 765,952 --------- C:\WINDOWS\system32\msvcp71d.dll 2008-06-26 16:03 . 2003-03-19 04:03 544,768 --------- C:\WINDOWS\system32\msvcr71d.dll 2008-06-26 16:02 . 2000-04-11 18:44 85,504 --------- C:\WINDOWS\system32\lame_enc.dll 2008-06-26 16:01 . 2008-06-26 16:01 <DIR> d-------- C:\Programme\Movielink 2008-06-26 14:07 . 2008-06-26 14:07 63 --a------ C:\WINDOWS\PixieTool.INI 2008-06-26 14:05 . 2008-06-26 16:19 <DIR> d-------- C:\Dokumente und Einstellungen\BENUTZER\Anwendungsdaten\Pinnacle Systems 2008-06-26 14:02 . 2002-01-05 13:40 487,424 --------- C:\WINDOWS\system32\MSVCP70.DLL 2008-06-26 14:02 . 2004-11-04 09:54 471,040 --------- C:\WINDOWS\system32\HHActiveX.dll 2008-06-26 14:02 . 2002-01-05 12:18 84,992 --------- C:\WINDOWS\system32\ATL70.DLL 2008-06-26 14:02 . 2002-01-05 13:38 54,784 --------- C:\WINDOWS\system32\MSVCI70.DLL 2008-06-26 14:01 . 2008-06-26 16:03 <DIR> d-------- C:\Programme\Pinnacle 2008-06-26 14:01 . 2008-06-26 14:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle 2008-06-20 06:40 . 2008-06-20 06:40 351,744 --ahs---- C:\WINDOWS\system32\avisynth.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-15 16:33 --------- d-----w C:\Programme\ICQ 2008-07-15 14:11 --------- d-----w C:\Dokumente und Einstellungen\BENUTZER\Anwendungsdaten\Skype 2008-07-15 14:03 --------- d-----w C:\Dokumente und Einstellungen\BENUTZER\Anwendungsdaten\skypePM 2008-07-14 15:38 --------- d-----w C:\Dokumente und Einstellungen\BENUTZER\Anwendungsdaten\dvdcss 2008-07-14 15:36 --------- d-----w C:\Programme\Security Task Manager 2008-07-14 15:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan 2008-07-13 20:59 --------- d-----w C:\Programme\Pre It! 2008-07-13 19:37 --------- d-----w C:\Programme\DVD-RB PRO 1.26.6 2008-07-13 18:42 --------- d-----w C:\Programme\Hard Drive Inspector 2008-07-12 12:02 --------- d-----w C:\Programme\FTPRush 2008-07-12 11:07 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-07-10 19:44 --------- d-----w C:\Programme\Winsubtitler 2008-06-26 14:03 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-06-08 19:40 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2008-06-07 09:18 9,282 ----a-w C:\WINDOWS\system32\Pvt.tmp 2008-06-07 09:18 34,308 ----a-w C:\WINDOWS\system32\Chip.dll 2008-06-06 13:47 --------- d-----w C:\Programme\thriXXX 2008-05-29 21:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help 2008-05-29 14:00 --------- d-----w C:\Programme\PhotoRescue Advanced PC 2008-05-29 13:56 --------- d-----w C:\Programme\IrfanView 2008-05-23 10:25 --------- d-----w C:\Programme\FlashFXP 2008-05-20 20:19 --------- d-----w C:\Programme\SystemRequirementsLab 2008-05-18 21:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink 2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe 2008-04-30 20:16 73,216 ----a-w C:\WINDOWS\ST6UNST.EXE 2008-04-30 20:16 286,720 ------w C:\WINDOWS\Setup1.exe 2005-05-13 16:12 217,073 --sha-r C:\WINDOWS\meta4.exe 2005-10-24 10:13 66,560 --sha-r C:\WINDOWS\MOTA113.exe 2005-10-13 20:27 422,400 --sha-r C:\WINDOWS\x2.64.exe 2005-07-14 11:31 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll 2005-06-26 14:32 616,448 --sha-r C:\WINDOWS\system32\cygwin1.dll 2005-06-21 21:37 45,568 --sha-r C:\WINDOWS\system32\cygz.dll 2007-02-12 17:38 56 --sh--r C:\WINDOWS\system32\DDA20A0817.sys 2004-01-24 23:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll 2007-02-12 17:38 13,766 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys 2006-04-27 09:24 2,945,024 --sha-r C:\WINDOWS\system32\Smab.dll 2005-02-28 12:16 240,128 --sha-r C:\WINDOWS\system32\x.264.exe 2004-01-24 23:00 70,656 --sha-r C:\WINDOWS\system32\yv12vfw.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ICQ Plus"="C:\Programme\ICQPlus\vplus.exe" [2002-12-04 05:32 11776] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04 1415824] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 14:00 15360] "H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2005-11-15 20:14 1204224] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "ICQ"="C:\Programme\ICQ\Icq.exe" [2003-01-21 09:20 2089541] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-06 01:07 61440] "Launch LGDCore"="C:\Programme\Logitech\G-series Software\LGDCore.exe" [2006-03-06 15:31 1122304] "Launch LCDMon"="C:\Programme\Logitech\G-series Software\LCDMon.exe" [2006-03-06 15:14 497152] "EPSON Stylus DX3800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 06:00 98304] "UltraMon"="C:\Programme\UltraMon\UltraMon.exe" [2005-05-14 18:23 187904] "LanguageShortcut"="C:\Programme\CyberLink\PowerDVD\Language\Language.exe" [2007-10-11 13:06 62760] "CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 21:21 57344] "PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-11-10 17:06 406016] "Spy Protector"="C:\Programme\Security Task Manager\SpyProtector.exe" [2008-06-24 17:46 114248] "SoundMan"="SOUNDMAN.EXE" [2004-07-27 17:01 68096 C:\WINDOWS\SOUNDMAN.EXE] "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-10-21 14:28 29696 C:\WINDOWS\KHALMNPR.Exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-11-11 14:00 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.I420"= i420vfw.dll "VIDC.YV12"= yv12vfw.dll "vidc.ffds"= C:\Programme\Combined Community Codec Pack\Filters\ffdshow.ax "vidc.wmv3"= C:\PROGRA~1\COMBIN~1\Filters\wmv9vcm.dll "VIDC.HFYU"= huffyuv.dll "vidc.DIV3"= DivXc32.dll "vidc.DIV4"= DivXc32f.dll "msacm.divxa32"= DivXa32.acm [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Easy-PrintToolBox] --a------ 2004-01-14 03:10 409600 C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor] --a------ 2006-10-27 01:47 31016 C:\Programme\Microsoft Office\Office 2007\Office12\GrooveMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent] --a------ 2005-11-15 20:14 1204224 C:\Programme\Microsoft ActiveSync\wcescomm.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IncrediMail] --a------ 2006-09-17 13:16 204843 C:\Programme\IncrediMail\bin\IncMail.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "ImapiService"=3 (0x3) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "Skype"="C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized "Steam"="D:\Games\Steam\Steam.exe" -silent "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "RemoteControl"=C:\Programme\CyberLink\PowerDVD\PDVDServ.exe "Mirabilis ICQ"=C:\Programme\ICQ\ICQNet.exe "SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_06\bin\jusched.exe "Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" "MSConfig"=C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto "KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k "CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s "NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe "SolidWorks_CheckForUpdates"="C:\Programme\Gemeinsame Dateien\SolidWorks Installations-Manager\Scheduler\sldIMScheduler.exe" /scheduler "HDInspector.exe"=C:\Programme\Hard Drive Inspector\HDInspector.exe "BDRegion"=C:\Programme\Cyberlink\Shared Files\brs.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\FlashFXP\\flashfxp.exe"= "C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 R0 uliagpkx;ULi AGP Bus Filter Driver;C:\WINDOWS\system32\DRIVERS\agpkx.sys [2005-05-03 17:31] R1 Cinemsup;Cinemsup;C:\WINDOWS\system32\drivers\cinemsup.sys [2002-07-19 08:10] R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};C:\Programme\CyberLink\PowerDVD\000.fcl [2007-11-03 01:12] R2 UltraMonUtility;UltraMon Utility Driver;C:\Programme\Gemeinsame Dateien\Realtime Soft\UltraMonMirrorDrv\x32\UltraMonUtility.sys [2005-06-02 13:54] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-11-11 14:00] R2 VmodeNT;VmodeNT;C:\WINDOWS\system32\drivers\VmodeNT.sys [2003-07-03 04:18] R3 SKYNET;TechniSat DVB-PC TV Star PCI;C:\WINDOWS\system32\DRIVERS\SkyNET.SYS [2006-03-14 03:22] R3 ULI5261XP;ULi M526X Ethernet NT Driver;C:\WINDOWS\system32\DRIVERS\ULILAN51.SYS [2005-03-22 20:36] R3 UltraMonMirror;UltraMonMirror;C:\WINDOWS\system32\DRIVERS\UltraMonMirror.sys [2005-05-14 18:41] S1 amdtools;AMD Special Tools Driver;C:\WINDOWS\system32\DRIVERS\amdtools.sys [] S3 DM9USB;DM9601 USB To Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\dm9usb.sys [2006-12-29 05:41] S3 r_server;Remote Administrator Service;C:\WINDOWS\system32\r_server.exe [2004-06-23 21:03] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c54c4e14-b60a-11dc-83f2-00138f73ec6a}] \Shell\AutoRun\command - wd_windows_tools\setup.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cebcbd41-28bc-11db-8d7e-806d6172696f}] \Shell\AutoRun\command - E:\SETUP.EXE [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cebcbd42-28bc-11db-8d7e-806d6172696f}] \Shell\AutoRun\command - F:\setup.exe *Newly Created Service* - CATCHME *Newly Created Service* - SDAUXSERVICE *Newly Created Service* - SDCORESERVICE . Inhalt des "geplante Tasks" Ordners "2008-07-11 15:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe "2008-07-14 22:07:02 C:\WINDOWS\Tasks\At1.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 07:00:01 C:\WINDOWS\Tasks\At10.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 08:00:02 C:\WINDOWS\Tasks\At11.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 09:00:01 C:\WINDOWS\Tasks\At12.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 10:00:09 C:\WINDOWS\Tasks\At13.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 11:00:02 C:\WINDOWS\Tasks\At14.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 12:00:03 C:\WINDOWS\Tasks\At15.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 13:00:04 C:\WINDOWS\Tasks\At16.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 14:00:02 C:\WINDOWS\Tasks\At17.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 15:00:10 C:\WINDOWS\Tasks\At18.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 16:00:02 C:\WINDOWS\Tasks\At19.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-14 23:00:03 C:\WINDOWS\Tasks\At2.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-14 17:00:08 C:\WINDOWS\Tasks\At20.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-14 18:00:03 C:\WINDOWS\Tasks\At21.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-14 19:00:08 C:\WINDOWS\Tasks\At22.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-14 20:00:06 C:\WINDOWS\Tasks\At23.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-14 21:00:02 C:\WINDOWS\Tasks\At24.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 00:00:02 C:\WINDOWS\Tasks\At3.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 01:00:01 C:\WINDOWS\Tasks\At4.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 02:00:02 C:\WINDOWS\Tasks\At5.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 03:00:02 C:\WINDOWS\Tasks\At6.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 04:00:12 C:\WINDOWS\Tasks\At7.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 00:29:05 C:\WINDOWS\Tasks\At73.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 00:29:05 C:\WINDOWS\Tasks\At74.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 00:29:05 C:\WINDOWS\Tasks\At75.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 01:00:10 C:\WINDOWS\Tasks\At76.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 02:00:10 C:\WINDOWS\Tasks\At77.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 03:00:10 C:\WINDOWS\Tasks\At78.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 04:00:18 C:\WINDOWS\Tasks\At79.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 05:00:02 C:\WINDOWS\Tasks\At8.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 05:00:10 C:\WINDOWS\Tasks\At80.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 06:00:10 C:\WINDOWS\Tasks\At81.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 07:00:10 C:\WINDOWS\Tasks\At82.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 08:00:10 C:\WINDOWS\Tasks\At83.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 09:00:10 C:\WINDOWS\Tasks\At84.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 10:00:16 C:\WINDOWS\Tasks\At85.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 11:00:10 C:\WINDOWS\Tasks\At86.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 12:00:11 C:\WINDOWS\Tasks\At87.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 13:00:11 C:\WINDOWS\Tasks\At88.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 14:34:25 C:\WINDOWS\Tasks\At89.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 06:00:08 C:\WINDOWS\Tasks\At9.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 15:00:14 C:\WINDOWS\Tasks\At90.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 16:00:00 C:\WINDOWS\Tasks\At91.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 00:29:29 C:\WINDOWS\Tasks\At92.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 00:29:32 C:\WINDOWS\Tasks\At93.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 00:29:36 C:\WINDOWS\Tasks\At94.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 00:29:39 C:\WINDOWS\Tasks\At95.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 00:29:43 C:\WINDOWS\Tasks\At96.job" - C:\WINDOWS\system32\2Ife6rem.exe . - - - - ORPHANS REMOVED - - - - MSConfigStartUp-Steam - f:\games\steam\steam.exe ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-15 18:40:33 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}] "ImagePath"="\??\C:\Programme\CyberLink\PowerDVD\000.fcl" . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\system32\winlogon.exe -> C:\WINDOWS\system32\tsd32.dll . Zeit der Fertigstellung: 2008-07-15 18:43:43 ComboFix-quarantined-files.txt 2008-07-15 16:42:30 10 Verzeichnis(se), 150,663,168 Bytes frei 13 Verzeichnis(se), 174,333,952 Bytes frei 334 --- E O F --- 2008-03-07 19:00:31 |
15.07.2008, 17:56 | #7 |
Administrator > Competence Manager | Backdoor Agent ARK geht nicht wegDateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\system32\Qrfno8w7.exe C:\automation3-scripts-r421.zip C:\WINDOWS\system32\Pvt.tmp C:\WINDOWS\system32\yv12vfw.dll C:\WINDOWS\system32\cygz.dll C:\WINDOWS\system32\DDA20A0817.sys C:\WINDOWS\system32\i420vfw.dll C:\WINDOWS\system32\KGyGaAvL.sys C:\WINDOWS\system32\Smab.dll C:\WINDOWS\system32\x.264.exe C:\WINDOWS\system32\yv12vfw.dll
SDFix * Lade das SDFix herunter und speichere es auf deinem Desktop. * Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken. * Starte deinen Rechner neu auf, in den abgesicherten Modus * Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten. * Gib ein Y ein, um den Reinigungsprozess zu beginnen. * Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet. * Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann. * Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet. * Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen. * Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden. * Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern. * Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
15.07.2008, 18:17 | #8 |
| Backdoor Agent ARK geht nicht weg so Die Online Prüfungsergebnise: Datei Qrfno8w7.exe empfangen 2008.07.15 19:00:16 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 28/33 (84.85%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 2. Geschätzte Startzeit is zwischen 42 und 60 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.7.11.0 2008.07.15 Win-Trojan/Firu.29760.D AntiVir 7.8.0.68 2008.07.15 TR/Crypt.ULPM.Gen Authentium 5.1.0.4 2008.07.15 - Avast 4.8.1195.0 2008.07.15 Win32:Trojan-gen {Other} AVG 7.5.0.516 2008.07.15 Downloader.Generic7.RWI BitDefender 7.2 2008.07.15 Trojan.Downloader.Firu.G CAT-QuickHeal 9.50 2008.07.15 Win32.Packed.NSAnti.r ClamAV 0.93.1 2008.07.15 Trojan.Downloader-44665 DrWeb 4.44.0.09170 2008.07.15 Trojan.Packed.418 eSafe 7.0.17.0 2008.07.15 Suspicious File eTrust-Vet 31.6.5956 2008.07.15 Win32/SillyDl.ETW Ewido 4.0 2008.07.15 - F-Prot 4.4.4.56 2008.07.14 - F-Secure 7.60.13501.0 2008.07.15 Trojan-Downloader.Win32.Firu.gm Fortinet 3.14.0.0 2008.07.15 PossibleThreat GData 2.0.7306.1023 2008.07.15 Trojan-Downloader.Win32.Firu.gm Ikarus T3.1.1.26.0 2008.07.15 Trojan-Downloader.Firu.C Kaspersky 7.0.0.125 2008.07.15 Trojan-Downloader.Win32.Firu.gm McAfee 5338 2008.07.14 Downloader.gen.a Microsoft 1.3704 2008.07.15 Trojan:Win32/Bohmini.A NOD32v2 3269 2008.07.15 a variant of Win32/TrojanDownloader.Firu Norman 5.80.02 2008.07.15 W32/DLoader.HOGQ Panda 9.0.0.4 2008.07.14 Trj/Agent.IXT Prevx1 V2 2008.07.15 Cloaked Malware Rising 20.53.12.00 2008.07.15 - Sophos 4.31.0 2008.07.15 Mal/HckPk-A Sunbelt 3.1.1536.1 2008.07.15 Trojan-Downloader.Win32.Firu.eh Symantec 10 2008.07.15 SecurityRisk.Downldr TheHacker 6.2.96.379 2008.07.14 Trojan/Downloader.Firu.eh TrendMicro 8.700.0.1004 2008.07.15 TROJ_FIRU.AM VBA32 3.12.8.0 2008.07.15 Trojan-Downloader.Win32.Firu.eh VirusBuster 4.5.11.0 2008.07.15 - Webwasher-Gateway 6.6.2 2008.07.15 Trojan.Crypt.ULPM.Gen weitere Informationen File size: 29760 bytes MD5...: 739c2891829d438db5bcf3d9ce17220a SHA1..: 8f8b31df0612c8ca3d0baeee8477dac21905bdac SHA256: 6a22d52cb0849b706cac74de29b3cd42eea67e1396f5f39da3b6d6f1cdf60373 SHA512: c3a8593136321c2300ea6431231292f37c89b40ae2e03961eb2a12fb65b07758 7e22c47f09e081a80a3f1794c2b5f065c7feb533ff88e74b4cfa0bdf0643138c PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x40cb40 timedatestamp.....: 0x4848f092 (Fri Jun 06 08:08:50 2008) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0x5000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0x6000 0x7000 0x6e00 7.96 e9049e8e5014846ac8fe96c176f1103f .rsrc 0xd000 0x1000 0x200 2.64 f82f8511f32941e05ec75163800bcd2e ( 2 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess > ADVAPI32.dll: SetSecurityDescriptorDacl ( 0 exports ) Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=BFC16343409E012874A300DC4D1A3B00EAC8BB71 Datei automation3-scripts-r421.zip empfangen 2008.07.15 19:02:39 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/33 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit is zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.7.11.0 2008.07.15 - AntiVir 7.8.0.68 2008.07.15 - Authentium 5.1.0.4 2008.07.15 - Avast 4.8.1195.0 2008.07.15 - AVG 7.5.0.516 2008.07.15 - BitDefender 7.2 2008.07.15 - CAT-QuickHeal 9.50 2008.07.15 - ClamAV 0.93.1 2008.07.15 - DrWeb 4.44.0.09170 2008.07.15 - eSafe 7.0.17.0 2008.07.15 - eTrust-Vet 31.6.5956 2008.07.15 - Ewido 4.0 2008.07.15 - F-Prot 4.4.4.56 2008.07.14 - F-Secure 7.60.13501.0 2008.07.15 - Fortinet 3.14.0.0 2008.07.15 - GData 2.0.7306.1023 2008.07.15 - Ikarus T3.1.1.26.0 2008.07.15 - Kaspersky 7.0.0.125 2008.07.15 - McAfee 5338 2008.07.14 - Microsoft 1.3704 2008.07.15 - NOD32v2 3269 2008.07.15 - Norman 5.80.02 2008.07.15 - Panda 9.0.0.4 2008.07.14 - Prevx1 V2 2008.07.15 - Rising 20.53.12.00 2008.07.15 - Sophos 4.31.0 2008.07.15 - Sunbelt 3.1.1536.1 2008.07.15 - Symantec 10 2008.07.15 - TheHacker 6.2.96.379 2008.07.14 - TrendMicro 8.700.0.1004 2008.07.15 - VBA32 3.12.8.0 2008.07.15 - VirusBuster 4.5.11.0 2008.07.15 - Webwasher-Gateway 6.6.2 2008.07.15 - weitere Informationen File size: 31287 bytes MD5...: 6d3bc2a80b7ca7b495125421f81997cf SHA1..: a8896c178d43baa755c1e8331b68a1335fd1a28d SHA256: ef193dd4fed33c13ece816a4bbf1ed50f0447afca6fa23300c9da180ae5f0d03 SHA512: 45ca3febfd3be464eebd36e307d271a4ad91d226383a7ce2f6aad664a29c05a8 6d942c5a6e19ed68eb7bdfa51430070616f32ba6a885be311ca0375f5433c7e9 PEiD..: - PEInfo: - packers (Kaspersky): Edit, Edit, Edit, Edit, Edit, Edit, Edit packers (F-Prot): UTF-8 Datei Pvt.tmp empfangen 2008.07.15 19:04:02 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/33 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit is zwischen 37 und 53 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.7.11.0 2008.07.15 - AntiVir 7.8.0.68 2008.07.15 - Authentium 5.1.0.4 2008.07.15 - Avast 4.8.1195.0 2008.07.15 - AVG 7.5.0.516 2008.07.15 - BitDefender 7.2 2008.07.15 - CAT-QuickHeal 9.50 2008.07.15 - ClamAV 0.93.1 2008.07.15 - DrWeb 4.44.0.09170 2008.07.15 - eSafe 7.0.17.0 2008.07.15 - eTrust-Vet 31.6.5956 2008.07.15 - Ewido 4.0 2008.07.15 - F-Prot 4.4.4.56 2008.07.14 - F-Secure 7.60.13501.0 2008.07.15 - Fortinet 3.14.0.0 2008.07.15 - GData 2.0.7306.1023 2008.07.15 - Ikarus T3.1.1.26.0 2008.07.15 - Kaspersky 7.0.0.125 2008.07.15 - McAfee 5338 2008.07.14 - Microsoft 1.3704 2008.07.15 - NOD32v2 3269 2008.07.15 - Norman 5.80.02 2008.07.15 - Panda 9.0.0.4 2008.07.14 - Prevx1 V2 2008.07.15 - Rising 20.53.12.00 2008.07.15 - Sophos 4.31.0 2008.07.15 - Sunbelt 3.1.1536.1 2008.07.15 - Symantec 10 2008.07.15 - TheHacker 6.2.96.379 2008.07.14 - TrendMicro 8.700.0.1004 2008.07.15 - VBA32 3.12.8.0 2008.07.15 - VirusBuster 4.5.11.0 2008.07.15 - Webwasher-Gateway 6.6.2 2008.07.15 - weitere Informationen File size: 9282 bytes MD5...: 815dcd008817932c4cc89471a786ed32 SHA1..: 9d4395dc6d47487c8c59823379d49be86fbbdb64 SHA256: 47c0410c41310ad7328e88c966a32d8a525278af104c5dcc2770623c55555afa SHA512: 164763d56c89f968d2ef7f0ef2922d67099fb6285d07aa447a6e9955491c8b88 4cec9ae8d8d3c207ff8684a9cee8fabb8e0682353050f1d712595ee9d36380e1 PEiD..: - PEInfo: - atei yv12vfw.dll empfangen 2008.07.15 19:05:07 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 1/33 (3.04%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit is zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.7.11.0 2008.07.15 - AntiVir 7.8.0.68 2008.07.15 - Authentium 5.1.0.4 2008.07.15 - Avast 4.8.1195.0 2008.07.15 - AVG 7.5.0.516 2008.07.15 - BitDefender 7.2 2008.07.15 - CAT-QuickHeal 9.50 2008.07.15 - ClamAV 0.93.1 2008.07.15 - DrWeb 4.44.0.09170 2008.07.15 - eSafe 7.0.17.0 2008.07.15 Suspicious File eTrust-Vet 31.6.5956 2008.07.15 - Ewido 4.0 2008.07.15 - F-Prot 4.4.4.56 2008.07.14 - F-Secure 7.60.13501.0 2008.07.15 - Fortinet 3.14.0.0 2008.07.15 - GData 2.0.7306.1023 2008.07.15 - Ikarus T3.1.1.26.0 2008.07.15 - Kaspersky 7.0.0.125 2008.07.15 - McAfee 5338 2008.07.14 - Microsoft 1.3704 2008.07.15 - NOD32v2 3269 2008.07.15 - Norman 5.80.02 2008.07.15 - Panda 9.0.0.4 2008.07.14 - Prevx1 V2 2008.07.15 - Rising 20.53.12.00 2008.07.15 - Sophos 4.31.0 2008.07.15 - Sunbelt 3.1.1536.1 2008.07.15 - Symantec 10 2008.07.15 - TheHacker 6.2.96.379 2008.07.14 - TrendMicro 8.700.0.1004 2008.07.15 - VBA32 3.12.8.0 2008.07.15 - VirusBuster 4.5.11.0 2008.07.15 - Webwasher-Gateway 6.6.2 2008.07.15 - weitere Informationen File size: 70656 bytes MD5...: 7029a7634c8dfa8ee619e79b1b9a378f SHA1..: 2126dc5c319feb0b0f543216c64d242a5067f560 SHA256: edc075d9117c6bf52cb4079e21cc3b858d4977dd0abedc852dcc840b4231044e SHA512: 59f8e78df1c20861c2a61659d25c08adc5bee9c261428b97f3e7c528499dd9b0 17beff4112cae4ec27784955eca8a9471086eee1829078956ef92028d67d3afc PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1c43b5c0 timedatestamp.....: 0x4013ec64 (Sun Jan 25 16:18:44 2004) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0x2a000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0x2b000 0x11000 0x10800 7.89 a08561376366ce19e6e9b9a53fba7949 .rsrc 0x3c000 0x1000 0x800 3.06 c03ab8f7b4672cd84462034833dd63ef ( 5 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress > ADVAPI32.dll: RegCloseKey > GDI32.dll: GetSystemPaletteEntries > USER32.dll: GetDC > WINMM.dll: DefDriverProc ( 2 exports ) DllMain, DriverProc packers (Kaspersky): UPX packers (F-Prot): UPX Datei cygz.dll empfangen 2008.07.15 19:06:22 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 5/33 (15.16%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 2. Geschätzte Startzeit is zwischen 42 und 60 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.7.11.0 2008.07.15 - AntiVir 7.8.0.68 2008.07.15 - Authentium 5.1.0.4 2008.07.15 - Avast 4.8.1195.0 2008.07.15 - AVG 7.5.0.516 2008.07.15 - BitDefender 7.2 2008.07.15 - CAT-QuickHeal 9.50 2008.07.15 - ClamAV 0.93.1 2008.07.15 PUA.Packed.TeLock DrWeb 4.44.0.09170 2008.07.15 - eSafe 7.0.17.0 2008.07.15 Suspicious File eTrust-Vet 31.6.5956 2008.07.15 - Ewido 4.0 2008.07.15 - F-Prot 4.4.4.56 2008.07.14 - F-Secure 7.60.13501.0 2008.07.15 - Fortinet 3.14.0.0 2008.07.15 - GData 2.0.7306.1023 2008.07.15 - Ikarus T3.1.1.26.0 2008.07.15 - Kaspersky 7.0.0.125 2008.07.15 - McAfee 5338 2008.07.14 - Microsoft 1.3704 2008.07.15 - NOD32v2 3269 2008.07.15 - Norman 5.80.02 2008.07.15 - Panda 9.0.0.4 2008.07.14 Suspicious file Prevx1 V2 2008.07.15 - Rising 20.53.12.00 2008.07.15 - Sophos 4.31.0 2008.07.15 - Sunbelt 3.1.1536.1 2008.07.15 - Symantec 10 2008.07.15 - TheHacker 6.2.96.379 2008.07.14 - TrendMicro 8.700.0.1004 2008.07.15 PAK_Generic.001 VBA32 3.12.8.0 2008.07.15 - VirusBuster 4.5.11.0 2008.07.15 - Webwasher-Gateway 6.6.2 2008.07.15 Win32.Malware.gen!88 (suspicious) weitere Informationen File size: 45568 bytes MD5...: 82653b1caaac9e4501c1f7548c063561 SHA1..: f63dba8db886c29b5be4504b54559e5a198b6d4b SHA256: 516ac39f0af00ec25fa44c7bd8f58d683f672e0b1592adf17e9a91f5985c4160 SHA512: 6643e4beefe69b3e097be40f9c1b6407342b4ad5f30100a0abf4b9997be4b64b 172986fdeca6ec2f39db0b361fec29298f521aa5d7fc0971e1da84b65c8e462f PEiD..: tElock v0.98 PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10015bd6 timedatestamp.....: 0x3fcea40c (Thu Dec 04 03:03:40 2003) machinetype.......: 0x14c (I386) ( 7 sections ) name viradd virsiz rawdsiz ntrpy md5 0x1000 0xe000 0x7e00 7.99 c6938cd1fca6ea7f94b803f90fc0836a 0xf000 0x1000 0x200 7.59 5e1ad3a37bea2ee9757ffad2bd7a412a 0x10000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e 0x11000 0x1000 0x600 5.00 bf0aa4887282b3c269b23a5638634abd 0x12000 0x1000 0x200 7.66 6aa87ebccd86d5cd166021dcf37e4688 0x13000 0x1000 0x400 7.85 7b8c2ed94eea19b1645816080766f75d 0x14000 0x3000 0x2200 7.63 b066c3a4be303e7688e04d3f0d18877a ( 2 imports ) > kernel32.dll: GetModuleHandleA > user32.dll: MessageBoxA ( 65 exports ) _dist_code, _length_code, _tr_align, _tr_flush_block, _tr_init, _tr_stored_block, _tr_tally, adler32, compress, compress2, compressBound, crc32, deflate, deflateBound, deflateCopy, deflateEnd, deflateInit2_, deflateInit_, deflateParams, deflatePrime, deflateReset, deflateSetDictionary, deflate_copyright, get_crc_table, gzclearerr, gzclose, gzdopen, gzeof, gzerror, gzflush, gzgetc, gzgets, gzopen, gzprintf, gzputc, gzputs, gzread, gzrewind, gzseek, gzsetparams, gztell, gzungetc, gzwrite, inflate, inflateBack, inflateBackEnd, inflateBackInit_, inflateCopy, inflateEnd, inflateInit2_, inflateInit_, inflateReset, inflateSetDictionary, inflateSync, inflateSyncPoint, inflate_copyright, inflate_fast, inflate_table, uncompress, zError, z_errmsg, zcalloc, zcfree, zlibCompileFlags, zlibVersion packers (Kaspersky): PE_Patch, TeLock packers (F-Prot): TeLock |
15.07.2008, 18:18 | #9 |
| Backdoor Agent ARK geht nicht weg Seite 2 war zuviel für 1 thread Datei DDA20A0817.sys empfangen 2008.07.15 19:07:47 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/33 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit is zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.7.11.0 2008.07.15 - AntiVir 7.8.0.68 2008.07.15 - Authentium 5.1.0.4 2008.07.15 - Avast 4.8.1195.0 2008.07.15 - AVG 7.5.0.516 2008.07.15 - BitDefender 7.2 2008.07.15 - CAT-QuickHeal 9.50 2008.07.15 - ClamAV 0.93.1 2008.07.15 - DrWeb 4.44.0.09170 2008.07.15 - eSafe 7.0.17.0 2008.07.15 - eTrust-Vet 31.6.5956 2008.07.15 - Ewido 4.0 2008.07.15 - F-Prot 4.4.4.56 2008.07.14 - F-Secure 7.60.13501.0 2008.07.15 - Fortinet 3.14.0.0 2008.07.15 - GData 2.0.7306.1023 2008.07.15 - Ikarus T3.1.1.26.0 2008.07.15 - Kaspersky 7.0.0.125 2008.07.15 - McAfee 5338 2008.07.14 - Microsoft 1.3704 2008.07.15 - NOD32v2 3269 2008.07.15 - Norman 5.80.02 2008.07.15 - Panda 9.0.0.4 2008.07.14 - Prevx1 V2 2008.07.15 - Rising 20.53.12.00 2008.07.15 - Sophos 4.31.0 2008.07.15 - Sunbelt 3.1.1536.1 2008.07.15 - Symantec 10 2008.07.15 - TheHacker 6.2.96.379 2008.07.14 - TrendMicro 8.700.0.1004 2008.07.15 - VBA32 3.12.8.0 2008.07.15 - VirusBuster 4.5.11.0 2008.07.15 - Webwasher-Gateway 6.6.2 2008.07.15 - weitere Informationen File size: 56 bytes MD5...: 741988c6fafb9dd1b59c1cab8499df4f SHA1..: a9fdcddc8f0fd54518624db85d2aac45436265fb SHA256: 56f882134887e7d5af68da1a26f38e4962e450b9bb1f2d0ca90b8d8461f2a920 SHA512: 10b8ea1913b7ca9bf6f33a7377c54205da09da56fb7bb700dde1761e892c4018 9b0119edb161d198c6ea500a24519f4de250b267f7ef11949b2bb70dde6871c9 PEiD..: - PEInfo: - Datei i420vfw.dll empfangen 2008.07.15 19:08:53 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 1/33 (3.04%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit is zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.7.11.0 2008.07.15 - AntiVir 7.8.0.68 2008.07.15 - Authentium 5.1.0.4 2008.07.15 - Avast 4.8.1195.0 2008.07.15 - AVG 7.5.0.516 2008.07.15 - BitDefender 7.2 2008.07.15 - CAT-QuickHeal 9.50 2008.07.15 - ClamAV 0.93.1 2008.07.15 - DrWeb 4.44.0.09170 2008.07.15 - eSafe 7.0.17.0 2008.07.15 Suspicious File eTrust-Vet 31.6.5956 2008.07.15 - Ewido 4.0 2008.07.15 - F-Prot 4.4.4.56 2008.07.14 - F-Secure 7.60.13501.0 2008.07.15 - Fortinet 3.14.0.0 2008.07.15 - GData 2.0.7306.1023 2008.07.15 - Ikarus T3.1.1.26.0 2008.07.15 - Kaspersky 7.0.0.125 2008.07.15 - McAfee 5338 2008.07.14 - Microsoft 1.3704 2008.07.15 - NOD32v2 3269 2008.07.15 - Norman 5.80.02 2008.07.15 - Panda 9.0.0.4 2008.07.14 - Prevx1 V2 2008.07.15 - Rising 20.53.12.00 2008.07.15 - Sophos 4.31.0 2008.07.15 - Sunbelt 3.1.1536.1 2008.07.15 - Symantec 10 2008.07.15 - TheHacker 6.2.96.379 2008.07.14 - TrendMicro 8.700.0.1004 2008.07.15 - VBA32 3.12.8.0 2008.07.15 - VirusBuster 4.5.11.0 2008.07.15 - Webwasher-Gateway 6.6.2 2008.07.15 - weitere Informationen File size: 70656 bytes MD5...: f4d500d9adc17058f2a8c31f01fde592 SHA1..: 340dbc1db71c8925a8fe38af46ee362eb252de68 SHA256: da9ddb3a9dae6e8920eed3757941c75bc9ced7e6a0218fa3c0198956bf8d4dd8 SHA512: 84d7405ca3807c5696a8dc2d56579e6c30777153593e642dcd85c9e77a9edea1 3471b446bb77d3980c5b8549a41d6eaffb63afaabd1ca89651eab4b78f2db451 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1c43b5c0 timedatestamp.....: 0x4013ec5a (Sun Jan 25 16:18:34 2004) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0x2a000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0x2b000 0x11000 0x10800 7.89 2eec384003f86ef0ff5e9470be3db06a .rsrc 0x3c000 0x1000 0x800 3.06 f3bf055f8a72a8872c869a84f0ce1ca5 ( 5 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress > ADVAPI32.dll: RegCloseKey > GDI32.dll: GetSystemPaletteEntries > USER32.dll: GetDC > WINMM.dll: DefDriverProc ( 2 exports ) DllMain, DriverProc packers (Kaspersky): UPX packers (F-Prot): UPX Datei KGyGaAvL.sys empfangen 2008.07.15 19:10:03 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/33 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 5. Geschätzte Startzeit is zwischen 56 und 80 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.7.11.0 2008.07.15 - AntiVir 7.8.0.68 2008.07.15 - Authentium 5.1.0.4 2008.07.15 - Avast 4.8.1195.0 2008.07.15 - AVG 7.5.0.516 2008.07.15 - BitDefender 7.2 2008.07.15 - CAT-QuickHeal 9.50 2008.07.15 - ClamAV 0.93.1 2008.07.15 - DrWeb 4.44.0.09170 2008.07.15 - eSafe 7.0.17.0 2008.07.15 - eTrust-Vet 31.6.5956 2008.07.15 - Ewido 4.0 2008.07.15 - F-Prot 4.4.4.56 2008.07.14 - F-Secure 7.60.13501.0 2008.07.15 - Fortinet 3.14.0.0 2008.07.15 - GData 2.0.7306.1023 2008.07.15 - Ikarus T3.1.1.26.0 2008.07.15 - Kaspersky 7.0.0.125 2008.07.15 - McAfee 5338 2008.07.14 - Microsoft 1.3704 2008.07.15 - NOD32v2 3269 2008.07.15 - Norman 5.80.02 2008.07.15 - Panda 9.0.0.4 2008.07.14 - Prevx1 V2 2008.07.15 - Rising 20.53.12.00 2008.07.15 - Sophos 4.31.0 2008.07.15 - Sunbelt 3.1.1536.1 2008.07.15 - Symantec 10 2008.07.15 - TheHacker 6.2.96.379 2008.07.14 - TrendMicro 8.700.0.1004 2008.07.15 - VBA32 3.12.8.0 2008.07.15 - VirusBuster 4.5.11.0 2008.07.15 - Webwasher-Gateway 6.6.2 2008.07.15 - weitere Informationen File size: 13766 bytes MD5...: 48646920bcbe341b8653947d93246e36 SHA1..: 585e75812e43a37a2977ac8ee7a89df8f1154bca SHA256: c61751bc4e9e26b206e8b1be808cd8dbeecf8c2ed72a9a9e330336d875f7e95c SHA512: da3beb67a228844090965a3ec0affa15f669427a765a4189300472b56fc681ea 565e095ee3fd880a596c2eed28d300e6f270e863b651bc31694bb4f4b38244ba PEiD..: - PEInfo: - Datei Smab.dll empfangen 2008.07.15 19:13:06 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/33 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit is zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.7.11.0 2008.07.15 - AntiVir 7.8.0.68 2008.07.15 - Authentium 5.1.0.4 2008.07.15 - Avast 4.8.1195.0 2008.07.15 - AVG 7.5.0.516 2008.07.15 - BitDefender 7.2 2008.07.15 - CAT-QuickHeal 9.50 2008.07.15 - ClamAV 0.93.1 2008.07.15 - DrWeb 4.44.0.09170 2008.07.15 - eSafe 7.0.17.0 2008.07.15 - eTrust-Vet 31.6.5956 2008.07.15 - Ewido 4.0 2008.07.15 - F-Prot 4.4.4.56 2008.07.14 - F-Secure 7.60.13501.0 2008.07.15 - Fortinet 3.14.0.0 2008.07.15 - GData 2.0.7306.1023 2008.07.15 - Ikarus T3.1.1.26.0 2008.07.15 - Kaspersky 7.0.0.125 2008.07.15 - McAfee 5338 2008.07.14 - Microsoft 1.3704 2008.07.15 - NOD32v2 3269 2008.07.15 - Norman 5.80.02 2008.07.15 - Panda 9.0.0.4 2008.07.14 - Prevx1 V2 2008.07.15 - Rising 20.53.12.00 2008.07.15 - Sophos 4.31.0 2008.07.15 - Sunbelt 3.1.1536.1 2008.07.15 - Symantec 10 2008.07.15 - TheHacker 6.2.96.379 2008.07.14 - TrendMicro 8.700.0.1004 2008.07.15 - VBA32 3.12.8.0 2008.07.15 - VirusBuster 4.5.11.0 2008.07.15 - Webwasher-Gateway 6.6.2 2008.07.15 - weitere Informationen File size: 2945024 bytes MD5...: de12af80283b13f29cfa434167b231c9 SHA1..: 3cb88975042dc075909d2089cfe7337af0d8db67 SHA256: 6ba2b68370a7504390a050deef6ed26c47ba02fca5aea1744ee1c008e762cc2e SHA512: a21a91dd1761b570047d006f6084d0783bc76e1e5035fe3b4699b66d6ca7a4c2 07b420b114062d60a623fb142c89f894c4d5f2d56f3d026a892f5b59f647a185 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1017bb09 timedatestamp.....: 0x441012a9 (Thu Mar 09 11:34:01 2006) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1c9c66 0x1ca000 6.61 ad371a809a0f1d874a88b06afa7fa29c .rdata 0x1cb000 0xaaa7e 0xab000 4.98 49c5d6ba001a1c5dfc2ce62d94e8c8c7 .data 0x276000 0x4c7dc 0x1e000 5.93 98709a1a31adb7439ddacc571dc684f6 .rsrc 0x2c3000 0x41c 0x1000 3.75 1def83a5efad397eca6a9535fd238e13 .reloc 0x2c4000 0x39f5a 0x3a000 5.51 09c0ad0e97e84a3744e0fca83e2d47c2 ( 8 imports ) > WSOCK32.dll: - > ole32.dll: OleFlushClipboard, OleSetClipboard, RevokeDragDrop, ReleaseStgMedium, RegisterDragDrop, OleInitialize, OleUninitialize, CoCreateInstance, OleGetClipboard, CoLockObjectExternal > KERNEL32.dll: SetStdHandle, GetDriveTypeA, GetFullPathNameA, MoveFileA, DeleteFileA, GetFileAttributesA, FindFirstFileA, GetFileInformationByHandle, LCMapStringA, GetStringTypeA, HeapDestroy, HeapCreate, VirtualFree, GetModuleHandleA, VirtualAlloc, HeapSize, SetHandleCount, GetStartupInfoA, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, QueryPerformanceCounter, GetTickCount, GetOEMCP, WriteConsoleA, GetConsoleOutputCP, GetTimeFormatA, GetDateFormatA, GetCurrentDirectoryA, GetLocaleInfoA, EnumSystemLocalesA, IsValidLocale, VirtualQuery, CompareStringA, SetEnvironmentVariableA, GetWindowsDirectoryA, GetSystemDirectoryA, FlushFileBuffers, GetConsoleMode, GetConsoleCP, HeapReAlloc, GetSystemTimeAsFileTime, GetTimeZoneInformation, GetProcessHeap, HeapAlloc, GetVersionExA, GetCommandLineA, RtlUnwind, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, HeapFree, InterlockedExchange, InterlockedCompareExchange, GetVersion, CreateFileA, FormatMessageA, SetEndOfFile, GlobalFree, GlobalAlloc, GlobalUnlock, GlobalLock, LocalAlloc, RaiseException, SetLastError, SetFileAttributesA, PeekNamedPipe, WriteFile, GetStdHandle, LoadLibraryA, ExitProcess, GetFileType, FreeLibrary, TerminateProcess, GetCurrentProcessId, LocalFree, GetUserDefaultLCID, GetACP, SetFileTime, FindClose, SystemTimeToFileTime, LocalFileTimeToFileTime, FileTimeToLocalFileTime, FileTimeToSystemTime, TlsAlloc, TlsFree, GetCurrentProcess, TlsGetValue, GetLastError, TlsSetValue, InterlockedDecrement, InterlockedIncrement, Sleep, GetCurrentThreadId, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, InitializeCriticalSection, GetFileSize, ReadFile, SetFilePointer, CloseHandle > USER32.dll: DdePostAdvise, GetWindowDC, BeginPaint, EndPaint, DrawFocusRect, SetMenu, DrawIcon, GetUpdateRect, ValidateRect, CreateIconIndirect, UnionRect, CreatePopupMenu, DestroyMenu, RemoveMenu, CreateMenu, GetSubMenu, InflateRect, CopyRect, OffsetRect, ChildWindowFromPoint, DrawEdge, SetClipboardData, KillTimer, SetTimer, DdeFreeDataHandle, DdeUninitialize, DdeFreeStringHandle, DestroyIcon, GetSystemMetrics, GetIconInfo, DestroyCursor, DrawIconEx, DrawFrameControl, HideCaret, OpenClipboard, CloseClipboard, keybd_event, MapWindowPoints, CheckMenuRadioItem, CheckMenuItem, GetMenuState, SetForegroundWindow, GetForegroundWindow, DestroyAcceleratorTable, GetDlgItem, InvalidateRgn, IsWindowEnabled, IsWindowVisible, TrackPopupMenu, IsWindow, GetCapture, GetFocus, DdeNameService, UnregisterHotKey, RegisterHotKey, CallNextHookEx, GetActiveWindow, GetMenuItemCount, GetMessageTime, GetWindow, BeginDeferWindowPos, EndDeferWindowPos, GetUpdateRgn, GetSysColor, InvalidateRect, DeferWindowPos, ClientToScreen, ScreenToClient, UpdateWindow, RedrawWindow, SetParent, WindowFromPoint, GetParent, ScrollWindow, SetScrollInfo, GetScrollInfo, SetCursorPos, GetCursorPos, PtInRect, SetCursor, ReleaseCapture, SetFocus, FillRect, GetKeyState, GetDC, ReleaseDC, TranslateMessage, PostQuitMessage, MoveWindow, FlashWindow, SetWindowRgn, GetClientRect, AdjustWindowRectEx, GetSystemMenu, EnableMenuItem, DrawMenuBar, GetDesktopWindow, SetWindowPos, IsIconic, IsZoomed, ShowWindow, BringWindowToTop, GetWindowRect, DestroyWindow, DrawStateA, MessageBeep, DdeClientTransaction, DdeDisconnect, DdeGetLastError, DdeCreateDataHandle, UnhookWindowsHookEx, DdeGetData, SetCapture > GDI32.dll: CombineRgn, CreateRectRgnIndirect, GetDeviceCaps, CreateCompatibleDC, DeleteDC, SetBrushOrgEx, CreateCompatibleBitmap, CreatePatternBrush, SetStretchBltMode, SetBkMode, SetTextColor, SetBkColor, GetBkColor, GetTextColor, GetClipBox, ExtSelectClipRgn, SetWindowOrgEx, SetViewportOrgEx, SetWindowExtEx, SetViewportExtEx, CreateSolidBrush, SetMapMode, ExtFloodFill, GetPixel, Arc, Pie, SetPixel, Polygon, SetPolyFillMode, PolyPolygon, Polyline, CreateRectRgn, RoundRect, Ellipse, PolyBezier, GetStockObject, SetROP2, SelectClipRgn, BitBlt, MaskBlt, StretchBlt, StretchDIBits, GetRgnBox, RectInRegion, LineTo, MoveToEx, GetNearestPaletteIndex, GetPaletteEntries, CreatePalette, SaveDC, RestoreDC, CreateHatchBrush, ExtCreatePen, CreatePen, CreateBitmap, PatBlt, CreateDIBSection, GetDIBits, CreateDIBitmap, GetDIBColorTable, SetAbortProc, EndDoc, StartPage, EndPage, DeleteEnhMetaFile, GetSystemPaletteEntries, SelectPalette, RealizePalette, GdiFlush, DeleteObject, SelectObject, GetRegionData, ExtCreateRegion, Rectangle, OffsetRgn > SHELL32.dll: SHGetMalloc, DragFinish, DragQueryPoint, DragAcceptFiles, SHGetSpecialFolderLocation > comdlg32.dll: CommDlgExtendedError > COMCTL32.dll: ImageList_Add, ImageList_Destroy, ImageList_Create, _TrackMouseEvent, CreateStatusWindowW, - ( 65 exports ) MediaInfoA_Close, MediaInfoA_Count_Get, MediaInfoA_Delete, MediaInfoA_Get, MediaInfoA_GetI, MediaInfoA_Inform, MediaInfoA_New, MediaInfoA_New_Quick, MediaInfoA_Open, MediaInfoA_Open_Buffer, MediaInfoA_Option, MediaInfoA_Save, MediaInfoA_Set, MediaInfoA_SetI, MediaInfoA_State_Get, MediaInfoListA_Close, MediaInfoListA_Count_Get, MediaInfoListA_Count_Get_Files, MediaInfoListA_Delete, MediaInfoListA_Get, MediaInfoListA_GetI, MediaInfoListA_Inform, MediaInfoListA_New, MediaInfoListA_New_Quick, MediaInfoListA_Open, MediaInfoListA_Open_Buffer, MediaInfoListA_Option, MediaInfoListA_Save, MediaInfoListA_Set, MediaInfoListA_SetI, MediaInfoListA_State_Get, MediaInfoList_Close, MediaInfoList_Count_Get, MediaInfoList_Count_Get_Files, MediaInfoList_Delete, MediaInfoList_Get, MediaInfoList_GetI, MediaInfoList_Inform, MediaInfoList_New, MediaInfoList_New_Quick, MediaInfoList_Open, MediaInfoList_Open_Buffer, MediaInfoList_Option, MediaInfoList_Save, MediaInfoList_Set, MediaInfoList_SetI, MediaInfoList_State_Get, MediaInfo_Close, MediaInfo_Count_Get, MediaInfo_Delete, MediaInfo_Get, MediaInfo_GetI, MediaInfo_Info_Version, MediaInfo_Inform, MediaInfo_New, MediaInfo_New_Quick, MediaInfo_Open, MediaInfo_Open_Buffer, MediaInfo_Option, MediaInfo_Save, MediaInfo_Set, MediaInfo_SetI, MediaInfo_State_Get, _FillWaveFormatEx@16, _FillWaveHeader@16 Datei x.264.exe empfangen 2008.07.15 19:14:23 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 2/33 (6.07%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit is zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.7.11.0 2008.07.15 - AntiVir 7.8.0.68 2008.07.15 - Authentium 5.1.0.4 2008.07.15 - Avast 4.8.1195.0 2008.07.15 - AVG 7.5.0.516 2008.07.15 - BitDefender 7.2 2008.07.15 - CAT-QuickHeal 9.50 2008.07.15 - ClamAV 0.93.1 2008.07.15 - DrWeb 4.44.0.09170 2008.07.15 - eSafe 7.0.17.0 2008.07.15 Suspicious File eTrust-Vet 31.6.5956 2008.07.15 - Ewido 4.0 2008.07.15 - F-Prot 4.4.4.56 2008.07.14 - F-Secure 7.60.13501.0 2008.07.15 - Fortinet 3.14.0.0 2008.07.15 - GData 2.0.7306.1023 2008.07.15 - Ikarus T3.1.1.26.0 2008.07.15 - Kaspersky 7.0.0.125 2008.07.15 - McAfee 5338 2008.07.14 - Microsoft 1.3704 2008.07.15 - NOD32v2 3269 2008.07.15 - Norman 5.80.02 2008.07.15 - Panda 9.0.0.4 2008.07.14 - Prevx1 V2 2008.07.15 - Rising 20.53.12.00 2008.07.15 - Sophos 4.31.0 2008.07.15 - Sunbelt 3.1.1536.1 2008.07.15 Packed.Win32.NSAnti.e Symantec 10 2008.07.15 - TheHacker 6.2.96.379 2008.07.14 - TrendMicro 8.700.0.1004 2008.07.15 - VBA32 3.12.8.0 2008.07.15 - VirusBuster 4.5.11.0 2008.07.15 - Webwasher-Gateway 6.6.2 2008.07.15 - weitere Informationen File size: 240128 bytes MD5...: 5fdd7d827c1cc58567367d03d24548ce SHA1..: 9937882f96f025991634b2833c5f4bcaef70beb2 SHA256: fb38f3faf93a90cfe0b9f0c0d9317eac12c2ccedc37e3058175b6e67598e2b91 SHA512: fe03478d08a06d5aef21a76027e59d2af64e215f753988f7fb3d28f1bc1e275e fe0d40b635700e16495dc3085d7003eca58e5ef4c7a394f9a77ebcd10e3a1cd3 PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4fd0f0 timedatestamp.....: 0x422343d4 (Mon Feb 28 16:16:20 2005) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0xc2000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0xc3000 0x3b000 0x3a400 7.89 e48e6951c44a76c049967dc96482543b UPX2 0xfe000 0x1000 0x200 1.41 1f7725eb8b599d9111fe0eb839e1a6d3 ( 2 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess > WS2_32.dll: - ( 0 exports ) packers (Kaspersky): UPX packers (F-Prot): UPX Datei yv12vfw.dll empfangen 2008.07.15 19:15:39 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 1/33 (3.04%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 2. Geschätzte Startzeit is zwischen 42 und 60 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.7.11.0 2008.07.15 - AntiVir 7.8.0.68 2008.07.15 - Authentium 5.1.0.4 2008.07.15 - Avast 4.8.1195.0 2008.07.15 - AVG 7.5.0.516 2008.07.15 - BitDefender 7.2 2008.07.15 - CAT-QuickHeal 9.50 2008.07.15 - ClamAV 0.93.1 2008.07.15 - DrWeb 4.44.0.09170 2008.07.15 - eSafe 7.0.17.0 2008.07.15 Suspicious File eTrust-Vet 31.6.5956 2008.07.15 - Ewido 4.0 2008.07.15 - F-Prot 4.4.4.56 2008.07.14 - F-Secure 7.60.13501.0 2008.07.15 - Fortinet 3.14.0.0 2008.07.15 - GData 2.0.7306.1023 2008.07.15 - Ikarus T3.1.1.26.0 2008.07.15 - Kaspersky 7.0.0.125 2008.07.15 - McAfee 5338 2008.07.14 - Microsoft 1.3704 2008.07.15 - NOD32v2 3269 2008.07.15 - Norman 5.80.02 2008.07.15 - Panda 9.0.0.4 2008.07.14 - Prevx1 V2 2008.07.15 - Rising 20.53.12.00 2008.07.15 - Sophos 4.31.0 2008.07.15 - Sunbelt 3.1.1536.1 2008.07.15 - Symantec 10 2008.07.15 - TheHacker 6.2.96.379 2008.07.14 - TrendMicro 8.700.0.1004 2008.07.15 - VBA32 3.12.8.0 2008.07.15 - VirusBuster 4.5.11.0 2008.07.15 - Webwasher-Gateway 6.6.2 2008.07.15 - weitere Informationen File size: 70656 bytes MD5...: 7029a7634c8dfa8ee619e79b1b9a378f SHA1..: 2126dc5c319feb0b0f543216c64d242a5067f560 SHA256: edc075d9117c6bf52cb4079e21cc3b858d4977dd0abedc852dcc840b4231044e SHA512: 59f8e78df1c20861c2a61659d25c08adc5bee9c261428b97f3e7c528499dd9b0 17beff4112cae4ec27784955eca8a9471086eee1829078956ef92028d67d3afc PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1c43b5c0 timedatestamp.....: 0x4013ec64 (Sun Jan 25 16:18:44 2004) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0x2a000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0x2b000 0x11000 0x10800 7.89 a08561376366ce19e6e9b9a53fba7949 .rsrc 0x3c000 0x1000 0x800 3.06 c03ab8f7b4672cd84462034833dd63ef ( 5 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress > ADVAPI32.dll: RegCloseKey > GDI32.dll: GetSystemPaletteEntries > USER32.dll: GetDC > WINMM.dll: DefDriverProc ( 2 exports ) DllMain, DriverProc packers (Kaspersky): UPX packers (F-Prot): UPX sooo das waremn die scans von der seite nun mach ich das mit dem SDFix |
15.07.2008, 18:35 | #10 |
Administrator > Competence Manager | Backdoor Agent ARK geht nicht weg Scripten mit Combofix
Code:
ATTFilter FILE:: C:\WINDOWS\system32\i420vfw.dll C:\WINDOWS\system32\x.264.exe C:\WINDOWS\system32\yv12vfw.dll C:\WINDOWS\system32\Qrfno8w7.exe C:\WINDOWS\system32\cygz.dll C:\WINDOWS\Prefetch\QRFNO8W7.EXE-3B783162.pf C:\WINDOWS\Prefetch\WLLOGINPROXY.EXE-037D8997.pf C:\WINDOWS\system32\2Ife6rem.exe
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann Malwarebytes' Anti-Malware
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
15.07.2008, 19:00 | #11 |
| Backdoor Agent ARK geht nicht weg soo Auswertung von SDFix SDFix: Version 1.205 Run by USER on 15.07.2008 at 19:30 Microsoft Windows XP [Version 5.1.2600] Running From: C:\DOKUME~1\USER\Desktop\SDFix\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : No Trojan Files Found Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-15 19:45:05 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Vax347s\Config\jdgg40] "ujdew"=hex:20,02,00,00,38,55,24,02,44,63,a8,05,40,3e,16,26,c2,40,4f,36,35,.. "ljej40"=hex:de,0c,99,c0,ef,63,00,52,c7,0d,58,42,a4,ec,f5,f9,bc,fc,2f,5e,29,.. "ljej41"=hex:40,0c,99,c0,97,63,00,52,c6,0d,59,42,a5,ec,f5,f9,bc,fc,2f,5e,63,.. "ljej42"=hex:40,0c,99,c0,97,63,00,52,c6,0d,59,42,a5,ec,f5,f9,bc,fc,2f,5e,63,.. "ljej43"=hex:40,0c,99,c0,97,63,00,52,c6,0d,59,42,a5,ec,f5,f9,bc,fc,2f,5e,63,.. "ljej44"=hex:40,0c,99,c0,97,63,00,52,c6,0d,59,42,a5,ec,f5,f9,bc,fc,2f,5e,63,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Vax347s\Config\jdgg41] "ujdew"=hex:20,02,00,00,38,55,24,02,b8,13,7c,21,40,3e,16,26,f8,40,4f,36,35,.. "ljej40"=hex:f4,0c,99,c0,ef,63,00,52,c7,0d,58,42,a4,ec,f5,f9,bc,fc,2f,5e,b6,.. "ljej41"=hex:40,0c,99,c0,97,63,00,52,c6,0d,59,42,a5,ec,f5,f9,bc,fc,2f,5e,63,.. "ljej42"=hex:40,0c,99,c0,97,63,00,52,c6,0d,59,42,a5,ec,f5,f9,bc,fc,2f,5e,63,.. "ljej43"=hex:40,0c,99,c0,97,63,00,52,c6,0d,59,42,a5,ec,f5,f9,bc,fc,2f,5e,63,.. "ljej44"=hex:40,0c,99,c0,97,63,00,52,c6,0d,59,42,a5,ec,f5,f9,bc,fc,2f,5e,63,.. scanning hidden registry entries ... [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System] "OODEFRAG08.00.00.01WORKSTATION"="BD537BD6D8A745032B5E90DF30009DE411203EBC3BEC34EA812864915046FDC05CBD1A694F4C03E4D2B60D227BB348F6852F6B1E56F840D42F0A E9C6980C5985DD3ACA652FC80CF33B6C80C5D2BD09FD6D725AA8A6C6E6537B83470C6D75F21C4A4F9CB948C57F7928DB7C368F2D4E5163383D68AE6C06E87AFB6EA79ABC3956D096E40BD1 FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C8EDD5E5BE2F6E667C038D530D6EB34528EDD5E5BE2F6E667A2D972 26D213B5552FA7AC066CA0D00F7EB349D43FC55AFA39ADDD929D6290BC35B23BCBD7FE4B721CAC59E455C11AEA1ADBC84F5BFE9228CD676ADAAED5FA701B09FD860CDD3CF2B940FDF4DDE8 25F9251BCBDE524F03AB500AAD263CCB015CAF4A9B64C271DDF495D8D523E02273DF52795B0AB6A18A13364E9FB2A9B37B975080957D57C6A6369070137E503BB6A6AA02F5F6AEA7B6CECC F028E173BBF69A2DB8638AB7313F5BE286D63B2F4854B706450BF371D34CB5B233263A26DA3546CB83F06BE9C607EA939C3B3116A0E766945601724E6042815D58EAE4644A295C83789C24 82600ED181BA4B5CB1DEBEE459CDAE86A647C34E13293EB06487FC8202B0B8D92E1E99DCDD6A07DCC0615CCD2A4663E96D4A309E70F3581071510CC449490E592BDF2542303B63779ACDF7 1C33DFDEF72E6D9CD66587E79668AF660F2B64D5104E4D5C9750BEC791A408FB2F713DD63384F74FC0B53A107FBD6A5135D228BF907D51A0596D0D8FB95C3E84CD39877440247744097762 652AF38EC5EC3DBC6F93B597886688408C1E525EE61FB06A53E7CF3AA9C3195FF19529EE6FD2B8507B7203935D02777681932A1A282F53158616E1D5E4E25810B46A8A9D2F626C156E2D0C FB9CD3E4D226909BEA046FEDB9125DC6218D424AD81FF058F6990050414765074B7867CC7BA733F30AE7B326926EF0813AEC1DD52417976B157770310D7AE23EBD55AB821C25BA947976B3 705988AA26008497B65D77EEADDBC4DF2F376D909257CC742BE2B20A6E78860D984E4387DD9607B5FD750D2F1B6FB2DB41007C7CF5DC2C79C08159298D12A2BF3D36F12866E55D5F8DE09A 3149B725D5AD2FF4DA6F597655912F13C40C0E89B05056DE51919B21649E1855725BE3B426120D9C821C9B6007BD27D2AC99FDACA69AFCC4EBC325A275BC98E8150F64AD06DF67A76CAAB3 D2743C2879D3FB343450B4F65786F53A662747E2725F2F6D91145A8FC239DCF86C6157F3E1538BC6F9BB8E1BBA4FB550A2F371FA04BBA07914D29C5C0C2C0B06FD7C2C52D566B3928BDE6B BE861D25A3C23844E8A23657C49E2811A596AAA0398CD2AC0C16ED75B62D1161BDC967F8B566361CBAC902DFD0CC5FF94BEAC01D3453D99EF1D76CE39454905AF885" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}] "DisplayName"="Alcohol 120%" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher] "TracesProcessed"=dword:00000078 scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\FlashFXP\\flashfxp.exe"="C:\\Programme\\FlashFXP\\flashfxp.exe:*:Enabled:FlashFXP v3" "C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager" "C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager" "C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application" "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\FlashFXP\\flashfxp.exe"="C:\\Programme\\FlashFXP\\flashfxp.exe:*:Enabled:FlashFXP v3" "C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager" "C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager" "C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application" "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger" Remaining Files : Files with Hidden Attributes : Fri 13 May 2005 217,073 A.SHR --- "C:\WINDOWS\meta4.exe" Mon 24 Oct 2005 66,560 A.SHR --- "C:\WINDOWS\MOTA113.exe" Sun 1 Jun 2008 24 ..SH. --- "C:\WINDOWS\SDA07DFFE.tmp" Thu 13 Oct 2005 422,400 A.SHR --- "C:\WINDOWS\x2.64.exe" Thu 21 Dec 2006 72,192 ..SHR --- "C:\Programme\SUPER\Setup.exe" Wed 11 Jan 2006 16,896 A.SHR --- "C:\Programme\SUPER\_Setup.dll" Fri 20 Jun 2008 351,744 A.SH. --- "C:\WINDOWS\system32\avisynth.dll" Thu 14 Jul 2005 27,648 A.SHR --- "C:\WINDOWS\system32\AVSredirect.dll" Sun 26 Jun 2005 616,448 A.SHR --- "C:\WINDOWS\system32\cygwin1.dll" Tue 21 Jun 2005 45,568 A.SHR --- "C:\WINDOWS\system32\cygz.dll" Mon 12 Feb 2007 56 ..SHR --- "C:\WINDOWS\system32\DDA20A0817.sys" Sun 25 Jan 2004 70,656 A.SHR --- "C:\WINDOWS\system32\i420vfw.dll" Mon 12 Feb 2007 13,766 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys" Thu 27 Apr 2006 2,945,024 A.SHR --- "C:\WINDOWS\system32\Smab.dll" Mon 28 Feb 2005 240,128 A.SHR --- "C:\WINDOWS\system32\x.264.exe" Sun 25 Jan 2004 70,656 A.SHR --- "C:\WINDOWS\system32\yv12vfw.dll" Wed 22 Dec 2004 76,568 ..SHR --- "C:\Programme\Autodesk\Autodesk DWF Viewer\Setup.exe" Wed 22 Dec 2004 17,408 A.SHR --- "C:\Programme\Autodesk\Autodesk DWF Viewer\_Setup.dll" Thu 20 Jan 2005 11,344 A.SHR --- "C:\Programme\Autodesk\Autodesk DWF Viewer\_Setupx.dll" Mon 4 Oct 2004 417,792 A..H. --- "C:\Programme\Canon\Canon Setup Utility 2.3\Maint.exe" Thu 27 May 2004 61,440 A..H. --- "C:\Programme\Canon\Canon Setup Utility 2.3\uinstrsc.dll" Tue 4 Jun 2002 84,992 ...HR --- "C:\Programme\SUPER\mencoder\14_43260.dll" Tue 4 Jun 2002 44,032 ...HR --- "C:\Programme\SUPER\mencoder\28_83260.dll" Tue 10 Dec 2002 73,766 ...HR --- "C:\Programme\SUPER\mencoder\atrc3260.dll" Tue 10 Dec 2002 65,575 ...HR --- "C:\Programme\SUPER\mencoder\cook3260.dll" Tue 4 Jun 2002 20,480 ...HR --- "C:\Programme\SUPER\mencoder\dnet3260.dll" Tue 10 Dec 2002 176,165 ...HR --- "C:\Programme\SUPER\mencoder\drv23260.dll" Tue 10 Dec 2002 94,208 ...HR --- "C:\Programme\SUPER\mencoder\drv33260.dll" Tue 10 Dec 2002 217,127 ...HR --- "C:\Programme\SUPER\mencoder\drv43260.dll" Sun 4 Nov 2001 225,280 ...HR --- "C:\Programme\SUPER\mencoder\ivvideo.dll" Tue 10 Apr 2001 225,280 ...HR --- "C:\Programme\SUPER\mencoder\qtmlClient.dll" Fri 20 Feb 2004 548,940 ...HR --- "C:\Programme\SUPER\mencoder\raac.dll" Tue 10 Dec 2002 102,439 ...HR --- "C:\Programme\SUPER\mencoder\sipr3260.dll" Sat 27 Oct 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv02.tmp" Finished! und Aktuelle Hijackthis: ijackthis Logfile of HijackThis v1.99.1 Scan saved at 19:55:57, on 15.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\HDDSvc.exe C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe C:\WINDOWS\system32\oodag.exe C:\Programme\CyberLink\Shared files\RichVideo.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\notepad.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Logitech\G-series Software\LGDCore.exe C:\Programme\Logitech\G-series Software\LCDMon.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE C:\Programme\UltraMon\UltraMon.exe C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe C:\Programme\Security Task Manager\SpyProtector.exe C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe C:\Dokumente und Einstellungen\******\Desktop\G15\G15N\G15NetSpeed\G15NetSpeed.exe C:\Programme\ICQPlus\vplus.exe C:\Programme\UltraMon\UltraMonTaskbar.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\PROGRA~1\MICROS~3\rapimgr.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.koeln.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe" O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800" O4 - HKLM\..\Run: [UltraMon] "C:\Programme\UltraMon\UltraMon.exe" /auto O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [Spy Protector] C:\Programme\Security Task Manager\SpyProtector.exe /autostart O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\ONBttnIE.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\REFIEBAR.DLL O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://download.divx.com/webplayer/stage6/windows/DivXBrowserPlugin.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\GR99D3~1.DLL O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: HDD Information Service (HDDSvc) - AltrixSoft (h**p://www.altrixsoft.com/) - C:\WINDOWS\system32\HDDSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing) O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - C:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing) O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing) O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe (file missing) O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing) atm läuft diese 2Ife6rem.exe nicht unter prozesse aber sie ist noch im system 32 ordner naja ich mache nun noch das was du in deinem letzten post geschrieben hast.... |
15.07.2008, 19:19 | #12 |
| Backdoor Agent ARK geht nicht weg soo Combo Fix Log ComboFix 08-07-14.2 - ****** 2008-07-15 20:03:20.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1499 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\******\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\******\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! FILE :: C:\WINDOWS\Prefetch\QRFNO8W7.EXE-3B783162.pf C:\WINDOWS\Prefetch\WLLOGINPROXY.EXE-037D8997.pf C:\WINDOWS\system32\2Ife6rem.exe C:\WINDOWS\system32\cygz.dll C:\WINDOWS\system32\i420vfw.dll C:\WINDOWS\system32\Qrfno8w7.exe C:\WINDOWS\system32\x.264.exe C:\WINDOWS\system32\yv12vfw.dll . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\Prefetch\QRFNO8W7.EXE-3B783162.pf C:\WINDOWS\Prefetch\WLLOGINPROXY.EXE-037D8997.pf C:\WINDOWS\system32\2Ife6rem.exe C:\WINDOWS\system32\cygz.dll C:\WINDOWS\system32\i420vfw.dll C:\WINDOWS\system32\Qrfno8w7.exe C:\WINDOWS\system32\x.264.exe C:\WINDOWS\system32\yv12vfw.dll . ((((((((((((((((((((((( Dateien erstellt von 2008-06-15 bis 2008-07-15 )))))))))))))))))))))))))))))) . 2008-07-15 19:25 . 2008-07-15 19:25 <DIR> d-------- C:\WINDOWS\ERUNT 2008-07-15 18:33 . 2008-07-15 18:33 0 --a------ C:\WINDOWS\LCDMedia.INI 2008-07-15 18:22 . 2008-07-15 18:22 <DIR> d-------- C:\Programme\CCleaner 2008-07-15 16:46 . 2008-07-15 16:46 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-07-15 16:46 . 2008-07-15 16:46 <DIR> d-------- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Malwarebytes 2008-07-15 16:46 . 2008-07-15 16:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-07-15 16:46 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-07-15 16:46 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-07-14 17:16 . 2008-07-14 17:16 <DIR> d-------- C:\Dokumente und Einstellungen\******\Anwendungsdaten\PC Tools 2008-07-14 17:16 . 2008-06-10 21:22 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2008-07-14 17:16 . 2008-06-02 15:19 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2008-07-14 17:16 . 2008-06-02 15:19 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2008-07-14 17:16 . 2008-06-02 15:19 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2008-07-14 17:00 . 2008-07-14 17:00 <DIR> dr------- C:\Dokumente und Einstellungen\NetworkService\Favoriten 2008-07-14 16:30 . 2008-07-15 19:20 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-07-14 16:29 . 2008-07-15 04:26 <DIR> d-------- C:\Programme\Spyware Doctor 2008-07-13 20:20 . 2008-07-13 20:20 <DIR> d-------- C:\Dokumente und Einstellungen\******\Anwendungsdaten\vlc 2008-07-12 13:09 . 2008-07-12 13:09 <DIR> d-------- C:\Programme\Lavasoft 2008-07-12 13:09 . 2008-07-12 13:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-07-11 00:42 . 2008-07-11 00:42 31,287 --a------ C:\automation3-scripts-r421.zip 2008-07-10 21:37 . 2008-07-11 00:54 <DIR> d-------- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Aegisub 2008-07-10 21:35 . 2008-07-10 21:36 <DIR> d-------- C:\Programme\Aegisub 2.1.2 2008-07-01 18:56 . 2008-07-01 19:04 139,264 --a------ C:\WINDOWS\War3Unin.exe 2008-07-01 18:56 . 2008-07-01 20:33 69,123 --a------ C:\WINDOWS\War3Unin.dat 2008-07-01 18:56 . 2008-07-01 19:04 2,829 --a------ C:\WINDOWS\War3Unin.pif 2008-06-26 16:09 . 2000-04-27 12:31 19,456 --------- C:\WINDOWS\system32\asapi.dll 2008-06-26 16:09 . 2002-04-17 20:27 11,264 --------- C:\WINDOWS\system32\drivers\asapiW2k.sys 2008-06-26 16:08 . 1998-11-02 19:57 196,096 --------- C:\WINDOWS\system32\MACD32.DLL 2008-06-26 16:08 . 1998-11-02 19:57 138,752 --------- C:\WINDOWS\system32\MASE32.DLL 2008-06-26 16:08 . 1998-11-02 19:57 136,192 --------- C:\WINDOWS\system32\MAMC32.DLL 2008-06-26 16:08 . 1998-11-02 19:57 57,856 --------- C:\WINDOWS\system32\MASD32.DLL 2008-06-26 16:08 . 2005-11-18 09:51 41,472 --------- C:\WINDOWS\system32\CacheX.dll 2008-06-26 16:08 . 1998-11-02 19:57 27,648 --------- C:\WINDOWS\system32\MA32.DLL 2008-06-26 16:03 . 2008-06-26 16:03 <DIR> d-------- C:\WINDOWS\Cache 2008-06-26 16:03 . 2003-03-19 04:04 765,952 --------- C:\WINDOWS\system32\msvcp71d.dll 2008-06-26 16:03 . 2003-03-19 04:03 544,768 --------- C:\WINDOWS\system32\msvcr71d.dll 2008-06-26 16:02 . 2000-04-11 18:44 85,504 --------- C:\WINDOWS\system32\lame_enc.dll 2008-06-26 16:01 . 2008-06-26 16:01 <DIR> d-------- C:\Programme\Movielink 2008-06-26 14:07 . 2008-06-26 14:07 63 --a------ C:\WINDOWS\PixieTool.INI 2008-06-26 14:05 . 2008-06-26 16:19 <DIR> d-------- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Pinnacle Systems 2008-06-26 14:02 . 2002-01-05 13:40 487,424 --------- C:\WINDOWS\system32\MSVCP70.DLL 2008-06-26 14:02 . 2004-11-04 09:54 471,040 --------- C:\WINDOWS\system32\HHActiveX.dll 2008-06-26 14:02 . 2002-01-05 12:18 84,992 --------- C:\WINDOWS\system32\ATL70.DLL 2008-06-26 14:02 . 2002-01-05 13:38 54,784 --------- C:\WINDOWS\system32\MSVCI70.DLL 2008-06-26 14:01 . 2008-06-26 16:03 <DIR> d-------- C:\Programme\Pinnacle 2008-06-26 14:01 . 2008-06-26 14:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle 2008-06-20 06:40 . 2008-06-20 06:40 351,744 --ahs---- C:\WINDOWS\system32\avisynth.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-15 16:33 --------- d-----w C:\Programme\ICQ 2008-07-15 14:11 --------- d-----w C:\Dokumente und Einstellungen\******\Anwendungsdaten\Skype 2008-07-15 14:03 --------- d-----w C:\Dokumente und Einstellungen\******\Anwendungsdaten\skypePM 2008-07-14 15:38 --------- d-----w C:\Dokumente und Einstellungen\******\Anwendungsdaten\dvdcss 2008-07-14 15:36 --------- d-----w C:\Programme\Security Task Manager 2008-07-14 15:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan 2008-07-13 20:59 --------- d-----w C:\Programme\Pre It! 2008-07-13 19:37 --------- d-----w C:\Programme\DVD-RB PRO 1.26.6 2008-07-13 18:42 --------- d-----w C:\Programme\Hard Drive Inspector 2008-07-12 12:02 --------- d-----w C:\Programme\FTPRush 2008-07-12 11:07 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-07-10 19:44 --------- d-----w C:\Programme\Winsubtitler 2008-06-26 14:03 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-06-08 19:40 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2008-06-07 09:18 9,282 ----a-w C:\WINDOWS\system32\Pvt.tmp 2008-06-07 09:18 34,308 ----a-w C:\WINDOWS\system32\Chip.dll 2008-06-06 13:47 --------- d-----w C:\Programme\thriXXX 2008-05-29 21:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help 2008-05-29 14:00 --------- d-----w C:\Programme\PhotoRescue Advanced PC 2008-05-29 13:56 --------- d-----w C:\Programme\IrfanView 2008-05-23 10:25 --------- d-----w C:\Programme\FlashFXP 2008-05-20 20:19 --------- d-----w C:\Programme\SystemRequirementsLab 2008-05-18 21:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink 2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe 2008-04-30 20:16 73,216 ----a-w C:\WINDOWS\ST6UNST.EXE 2008-04-30 20:16 286,720 ------w C:\WINDOWS\Setup1.exe 2005-05-13 16:12 217,073 --sha-r C:\WINDOWS\meta4.exe 2005-10-24 10:13 66,560 --sha-r C:\WINDOWS\MOTA113.exe 2005-10-13 20:27 422,400 --sha-r C:\WINDOWS\x2.64.exe 2005-07-14 11:31 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll 2005-06-26 14:32 616,448 --sha-r C:\WINDOWS\system32\cygwin1.dll 2007-02-12 17:38 56 --sh--r C:\WINDOWS\system32\DDA20A0817.sys 2007-02-12 17:38 13,766 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys 2006-04-27 09:24 2,945,024 --sha-r C:\WINDOWS\system32\Smab.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ICQ Plus"="C:\Programme\ICQPlus\vplus.exe" [2002-12-04 05:32 11776] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04 1415824] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 14:00 15360] "H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2005-11-15 20:14 1204224] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-06 01:07 61440] "Launch LGDCore"="C:\Programme\Logitech\G-series Software\LGDCore.exe" [2006-03-06 15:31 1122304] "Launch LCDMon"="C:\Programme\Logitech\G-series Software\LCDMon.exe" [2006-03-06 15:14 497152] "EPSON Stylus DX3800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 06:00 98304] "UltraMon"="C:\Programme\UltraMon\UltraMon.exe" [2005-05-14 18:23 187904] "LanguageShortcut"="C:\Programme\CyberLink\PowerDVD\Language\Language.exe" [2007-10-11 13:06 62760] "CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 21:21 57344] "PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-11-10 17:06 406016] "Spy Protector"="C:\Programme\Security Task Manager\SpyProtector.exe" [2008-06-24 17:46 114248] "SoundMan"="SOUNDMAN.EXE" [2004-07-27 17:01 68096 C:\WINDOWS\SOUNDMAN.EXE] "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-10-21 14:28 29696 C:\WINDOWS\KHALMNPR.Exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-11-11 14:00 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.I420"= i420vfw.dll "VIDC.YV12"= yv12vfw.dll "vidc.ffds"= C:\Programme\Combined Community Codec Pack\Filters\ffdshow.ax "vidc.wmv3"= C:\PROGRA~1\COMBIN~1\Filters\wmv9vcm.dll "VIDC.HFYU"= huffyuv.dll "vidc.DIV3"= DivXc32.dll "vidc.DIV4"= DivXc32f.dll "msacm.divxa32"= DivXa32.acm [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Easy-PrintToolBox] --a------ 2004-01-14 03:10 409600 C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor] --a------ 2006-10-27 01:47 31016 C:\Programme\Microsoft Office\Office 2007\Office12\GrooveMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent] --a------ 2005-11-15 20:14 1204224 C:\Programme\Microsoft ActiveSync\wcescomm.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IncrediMail] --a------ 2006-09-17 13:16 204843 C:\Programme\IncrediMail\bin\IncMail.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "ImapiService"=3 (0x3) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "Skype"="C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized "Steam"="D:\Games\Steam\Steam.exe" -silent "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "RemoteControl"=C:\Programme\CyberLink\PowerDVD\PDVDServ.exe "Mirabilis ICQ"=C:\Programme\ICQ\ICQNet.exe "SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_06\bin\jusched.exe "Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" "MSConfig"=C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto "KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k "CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s "NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe "SolidWorks_CheckForUpdates"="C:\Programme\Gemeinsame Dateien\SolidWorks Installations-Manager\Scheduler\sldIMScheduler.exe" /scheduler "HDInspector.exe"=C:\Programme\Hard Drive Inspector\HDInspector.exe "BDRegion"=C:\Programme\Cyberlink\Shared Files\brs.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\FlashFXP\\flashfxp.exe"= "C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 R0 uliagpkx;ULi AGP Bus Filter Driver;C:\WINDOWS\system32\DRIVERS\agpkx.sys [2005-05-03 17:31] R1 Cinemsup;Cinemsup;C:\WINDOWS\system32\drivers\cinemsup.sys [2002-07-19 08:10] R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};C:\Programme\CyberLink\PowerDVD\000.fcl [2007-11-03 01:12] R2 UltraMonUtility;UltraMon Utility Driver;C:\Programme\Gemeinsame Dateien\Realtime Soft\UltraMonMirrorDrv\x32\UltraMonUtility.sys [2005-06-02 13:54] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-11-11 14:00] R2 VmodeNT;VmodeNT;C:\WINDOWS\system32\drivers\VmodeNT.sys [2003-07-03 04:18] R3 SKYNET;TechniSat DVB-PC TV Star PCI;C:\WINDOWS\system32\DRIVERS\SkyNET.SYS [2006-03-14 03:22] R3 ULI5261XP;ULi M526X Ethernet NT Driver;C:\WINDOWS\system32\DRIVERS\ULILAN51.SYS [2005-03-22 20:36] R3 UltraMonMirror;UltraMonMirror;C:\WINDOWS\system32\DRIVERS\UltraMonMirror.sys [2005-05-14 18:41] S1 amdtools;AMD Special Tools Driver;C:\WINDOWS\system32\DRIVERS\amdtools.sys [] S3 DM9USB;DM9601 USB To Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\dm9usb.sys [2006-12-29 05:41] S3 r_server;Remote Administrator Service;C:\WINDOWS\system32\r_server.exe [2004-06-23 21:03] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c54c4e14-b60a-11dc-83f2-00138f73ec6a}] \Shell\AutoRun\command - wd_windows_tools\setup.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cebcbd41-28bc-11db-8d7e-806d6172696f}] \Shell\AutoRun\command - E:\SETUP.EXE [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cebcbd42-28bc-11db-8d7e-806d6172696f}] \Shell\AutoRun\command - F:\setup.exe . Inhalt des "geplante Tasks" Ordners "2008-07-11 15:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe "2008-07-14 22:07:02 C:\WINDOWS\Tasks\At1.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 07:00:01 C:\WINDOWS\Tasks\At10.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 08:00:02 C:\WINDOWS\Tasks\At11.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 09:00:01 C:\WINDOWS\Tasks\At12.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 10:00:09 C:\WINDOWS\Tasks\At13.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 11:00:02 C:\WINDOWS\Tasks\At14.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 12:00:03 C:\WINDOWS\Tasks\At15.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 13:00:04 C:\WINDOWS\Tasks\At16.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 14:00:02 C:\WINDOWS\Tasks\At17.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 15:00:10 C:\WINDOWS\Tasks\At18.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 16:00:02 C:\WINDOWS\Tasks\At19.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-14 23:00:03 C:\WINDOWS\Tasks\At2.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 17:00:07 C:\WINDOWS\Tasks\At20.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 18:00:01 C:\WINDOWS\Tasks\At21.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-14 19:00:08 C:\WINDOWS\Tasks\At22.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-14 20:00:06 C:\WINDOWS\Tasks\At23.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-14 21:00:02 C:\WINDOWS\Tasks\At24.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 00:00:02 C:\WINDOWS\Tasks\At3.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 01:00:01 C:\WINDOWS\Tasks\At4.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 02:00:02 C:\WINDOWS\Tasks\At5.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 03:00:02 C:\WINDOWS\Tasks\At6.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 04:00:12 C:\WINDOWS\Tasks\At7.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 00:29:05 C:\WINDOWS\Tasks\At73.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 00:29:05 C:\WINDOWS\Tasks\At74.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 00:29:05 C:\WINDOWS\Tasks\At75.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 01:00:10 C:\WINDOWS\Tasks\At76.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 02:00:10 C:\WINDOWS\Tasks\At77.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 03:00:10 C:\WINDOWS\Tasks\At78.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 04:00:18 C:\WINDOWS\Tasks\At79.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 05:00:02 C:\WINDOWS\Tasks\At8.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 05:00:10 C:\WINDOWS\Tasks\At80.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 06:00:10 C:\WINDOWS\Tasks\At81.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 07:00:10 C:\WINDOWS\Tasks\At82.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 08:00:10 C:\WINDOWS\Tasks\At83.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 09:00:10 C:\WINDOWS\Tasks\At84.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 10:00:16 C:\WINDOWS\Tasks\At85.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 11:00:10 C:\WINDOWS\Tasks\At86.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 12:00:11 C:\WINDOWS\Tasks\At87.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 13:00:11 C:\WINDOWS\Tasks\At88.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 14:34:25 C:\WINDOWS\Tasks\At89.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 06:00:08 C:\WINDOWS\Tasks\At9.job" - C:\WINDOWS\system32\Qrfno8w7.exe "2008-07-15 15:00:14 C:\WINDOWS\Tasks\At90.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 16:46:01 C:\WINDOWS\Tasks\At91.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 17:06:30 C:\WINDOWS\Tasks\At92.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 18:03:34 C:\WINDOWS\Tasks\At93.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 00:29:36 C:\WINDOWS\Tasks\At94.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 00:29:39 C:\WINDOWS\Tasks\At95.job" - C:\WINDOWS\system32\2Ife6rem.exe "2008-07-15 00:29:43 C:\WINDOWS\Tasks\At96.job" - C:\WINDOWS\system32\2Ife6rem.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-15 20:04:27 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}] "ImagePath"="\??\C:\Programme\CyberLink\PowerDVD\000.fcl" . Zeit der Fertigstellung: 2008-07-15 20:07:13 ComboFix-quarantined-files.txt 2008-07-15 18:06:56 ComboFix2.txt 2008-07-15 16:43:44 10 Verzeichnis(se), 129,626,112 Bytes frei 13 Verzeichnis(se), 118,243,328 Bytes frei 322 --- E O F --- 2008-03-07 19:00:31 Nun mach ich nochmal malware scan |
15.07.2008, 19:30 | #13 |
| Backdoor Agent ARK geht nicht weg Malwarebytes' Anti-Malware 1.20 Datenbank Version: 951 Windows 5.1.2600 Service Pack 2 20:27:05 15.07.2008 mbam-log-7-15-2008 (20-27-05).txt Scan Art: Schnell Scan Objekte gescannt: 44286 Scan Dauer: 7 minute(s), 29 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine Malware Objekte gefunden) Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: (Keine Malware Objekte gefunden) und nochmal hijackthis: Logfile of HijackThis v1.99.1 Scan saved at 20:28:55, on 15.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\HDDSvc.exe C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe C:\WINDOWS\system32\oodag.exe C:\Programme\CyberLink\Shared files\RichVideo.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Logitech\G-series Software\LGDCore.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\Programme\Logitech\G-series Software\LCDMon.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe C:\Programme\UltraMon\UltraMon.exe C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe C:\Dokumente und Einstellungen\USHMSSJ\Desktop\G15\G15N\G15NetSpeed\G15NetSpeed.exe C:\Programme\UltraMon\UltraMonTaskbar.exe C:\Programme\Security Task Manager\SpyProtector.exe C:\Programme\ICQPlus\vplus.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\PROGRA~1\MICROS~3\rapimgr.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.koeln.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe" O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800" O4 - HKLM\..\Run: [UltraMon] "C:\Programme\UltraMon\UltraMon.exe" /auto O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [Spy Protector] C:\Programme\Security Task Manager\SpyProtector.exe /autostart O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\ONBttnIE.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\REFIEBAR.DLL O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/webplayer/stage6/windows/DivXBrowserPlugin.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\GR99D3~1.DLL O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: HDD Information Service (HDDSvc) - AltrixSoft (http://www.altrixsoft.com/) - C:\WINDOWS\system32\HDDSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing) O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - C:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing) O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing) O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe (file missing) O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing) Scheint nun Alles i.O. zu seine !!!!! Ich -> <- Sunny DANKE!!!! oder soll ich nochwas machen ? |
16.07.2008, 06:12 | #14 |
| Backdoor Agent ARK geht nicht weg 'Morgen.... Ich habe mich leider zufrüh gefreut... er ist wieder da.... Gestern schien alles weg zu sein als ich aber grade Monitor wieder anmachte waren wieder 2 iexplorer fenster offen und die 2Ifre6rem.exe lief wieder ;( hier wieder Aktuelle HijackThis log .... Logfile of HijackThis v1.99.1 Scan saved at 07:09:22, on 16.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\HDDSvc.exe C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe C:\WINDOWS\system32\oodag.exe C:\Programme\CyberLink\Shared files\RichVideo.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Logitech\G-series Software\LGDCore.exe C:\Programme\Logitech\G-series Software\LCDMon.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE C:\Programme\UltraMon\UltraMon.exe C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe C:\Dokumente und Einstellungen\******\Desktop\G15\G15N\G15NetSpeed\G15NetSpeed.exe C:\Programme\UltraMon\UltraMonTaskbar.exe C:\Programme\ICQPlus\vplus.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Logitech\SetPoint\KEM.exe C:\Programme\Logitech\SetPoint\KHALMNPR.EXE C:\Programme\FTPRush\ftprush.exe C:\Dokumente und Einstellungen\******\Desktop\******\NoD-ScRiPt-2\mirc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\Programme\ICQ\Icq.exe C:\PROGRA~1\MICROS~3\rapimgr.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\Programme\VideoLAN\VLC\vlc.exe C:\WINDOWS\system32\2Ife6rem.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.koeln.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe" O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800" O4 - HKLM\..\Run: [UltraMon] "C:\Programme\UltraMon\UltraMon.exe" /auto O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\Icq.exe -trayboot O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\ONBttnIE.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\REFIEBAR.DLL O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://download.divx.com/webplayer/stage6/windows/DivXBrowserPlugin.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\GR99D3~1.DLL O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: HDD Information Service (HDDSvc) - AltrixSoft (h**p://www.altrixsoft.com/) - C:\WINDOWS\system32\HDDSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing) O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - C:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing) O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing) O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe (file missing) O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing) Was nu ;( ? |
Themen zu Backdoor Agent ARK geht nicht weg |
ad-aware, adobe, backdoor, bho, browser, desktop, drivers, einstellungen, excel, firefox, helfen, hijack, hijackthis, immer wieder, internet, internet explorer, konvertieren, launch, mozilla, mozilla firefox, mssql, object, pdf-datei, prozess, schädling, security, senden, software, system, usb, werbung, windows, windows xp |