Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Backdoor Agent ARK geht nicht weg

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.07.2008, 06:19   #1
badman19
 
Backdoor Agent ARK geht nicht weg - Standard

Backdoor Agent ARK geht nicht weg



Hallo Leute
Ich habe ein Problem.... seid einiger zeit habe ich einen großen schädling aufm PC... der öffnet immer wieder iexplorer mit werbung und läst so kurze sound geräuche immer erklingen alle paar min ca. der prozess der das verursacht ist 2Ife6rem.exe im System32 Ordner
Spyware Doctor erkennt ihn als Backdoor.Agent.ARK - beseitigt ihn - kommt aber immer wieder...

hier mal hijack log

:


Logfile of HijackThis v1.99.1
Scan saved at 07:15:59, on 15.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\HDDSvc.exe
C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\oodag.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Programme\UltraMon\UltraMon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Programme\UltraMon\UltraMonTaskbar.exe
C:\Programme\ICQPlus\vplus.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\FTPRush\ftprush.exe
C:\Dokumente und Einstellungen\**********\Desktop\**********\IRC-ScRiPt-2\mirc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\2Ife6rem.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.koeln.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [UltraMon] "C:\Programme\UltraMon\UltraMon.exe" /auto
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [Spy Protector] C:\Programme\Security Task Manager\SpyProtector.exe /autostart
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [SkypeCryptoChat] "C:\Dokumente und Einstellungen\**********\Lokale Einstellungen\Apps\2.0\AQ58NLN7.D2O\XHV9T5MM.PGV\lfcr..tion_5ec75c53587d555c_0001.0000_208fa6fb73ba7a14\LFCryptoChat4Skype.exe" /nostart
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\Icq.exe -trayboot
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Pinnacle ShowCenter StreamServer.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\REFIEBAR.DLL
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://download.divx.com/webplayer/stage6/windows/DivXBrowserPlugin.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: HDD Information Service (HDDSvc) - AltrixSoft (h**p://www.altrixsoft.com/) - C:\WINDOWS\system32\HDDSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - C:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing)
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe (file missing)
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)




hoffe mir kann wer helfen ihn los zu werden

Alt 15.07.2008, 15:25   #2
Sunny
Administrator
> Competence Manager
 

Backdoor Agent ARK geht nicht weg - Standard

Backdoor Agent ARK geht nicht weg



Hallo badman19 und






Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\WINDOWS\system32\2Ife6rem.exe
C:\Dokumente und Einstellungen\**********\Lokale Einstellungen\Apps\2.0\AQ58NLN7.D2O\XHV9T5MM.PGV\l fcr..tion_5ec75c53587d555c_0001.0000_208fa6fb73ba7 a14\LFCryptoChat4Skype.exe
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!


Malwarebytes' Anti-Malware
  • Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:



Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
__________________

__________________

Alt 15.07.2008, 15:50   #3
badman19
 
Backdoor Agent ARK geht nicht weg - Standard

Backdoor Agent ARK geht nicht weg



Hallo
Schonmal danke für die Hilfe!

nun die scans


Datei 2Ife6rem.exe empfangen 2008.07.15 16:38:11 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 20/33 (60.61%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 37 und 53 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.11.0 2008.07.15 -
AntiVir 7.8.0.64 2008.07.15 TR/Crypt.ULPM.Gen
Authentium 5.1.0.4 2008.07.15 -
Avast 4.8.1195.0 2008.07.15 Win32:Trojan-gen {Other}
AVG 7.5.0.516 2008.07.15 Generic10.BBXO
BitDefender 7.2 2008.07.15 GenPack:Trojan.Agent.AJEQ
CAT-QuickHeal 9.50 2008.07.14 -
ClamAV 0.93.1 2008.07.15 -
DrWeb 4.44.0.09170 2008.07.15 -
eSafe 7.0.17.0 2008.07.14 Win32.Agent.vyy
eTrust-Vet 31.6.5956 2008.07.15 Win32/AdClicker.HF
Ewido 4.0 2008.07.15 -
F-Prot 4.4.4.56 2008.07.14 -
F-Secure 7.60.13501.0 2008.07.15 Trojan-Downloader.Win32.Agent.vyy
Fortinet 3.14.0.0 2008.07.15 W32/Agent.VYY!tr.dldr
GData 2.0.7306.1023 2008.07.15 Trojan-Downloader.Win32.Agent.vyy
Ikarus T3.1.1.26.0 2008.07.15 Trojan.Crypt.ULPM
Kaspersky 7.0.0.125 2008.07.15 Trojan-Downloader.Win32.Agent.vyy
McAfee 5338 2008.07.14 -
Microsoft 1.3704 2008.07.15 Trojan:Win32/Adclicker.KU
NOD32v2 3269 2008.07.15 probably unknown NewHeur_PE virus
Norman 5.80.02 2008.07.15 W32/Smalltroj.FJKA
Panda 9.0.0.4 2008.07.14 Suspicious file
Prevx1 V2 2008.07.15 Malicious Software
Rising 20.53.12.00 2008.07.15 -
Sophos 4.31.0 2008.07.15 Mal/HckPk-A
Sunbelt 3.1.1536.1 2008.07.15 Trojan.Crypt.ULPM.Gen
Symantec 10 2008.07.15 -
TheHacker 6.2.96.379 2008.07.14 -
TrendMicro 8.700.0.1004 2008.07.15 TROJ_AGENT.AKGN
VBA32 3.12.8.0 2008.07.15 -
VirusBuster 4.5.11.0 2008.07.15 -
Webwasher-Gateway 6.6.2 2008.07.15 Trojan.Crypt.ULPM.Gen
weitere Informationen
File size: 35842 bytes
MD5...: 864f0d4577cd999eaba97ecdb9eaf10e
SHA1..: 60fd8207303048309ad5ada2cf3a9f823cc07c82
SHA256: ec9e2589d4b6c58c600a61a2d0948db2e59108ad1a1f9399da811c72c7a8f80e
SHA512: 03c265e9434a77f06e3b5e34935a5ef63c7df466cc9db1d24cd9fed53fa17330
d48100ad66f7500f06ba8586c6455433bac8a3ef072e9fda49d9b144bca8e9b6
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4141f9
timedatestamp.....: 0x4877a369 (Fri Jul 11 18:16:09 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xb000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xc000 0x9000 0x8400 7.98 2b99c4cb98f3455ab2349ca9fa649b29
UPX2 0x15000 0x1000 0x400 2.73 af8114c7acc7de4abf32e98010e97503

( 9 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: RegCloseKey
> NETAPI32.dll: NetScheduleJobAdd
> ole32.dll: CoInitialize
> OLEAUT32.dll: -
> SHELL32.dll: StrChrA
> SHLWAPI.dll: StrDupA
> USER32.dll: wsprintfA
> WININET.dll: InternetOpenA

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=ED1D8D4E02FBC4108CC3006981F6B20011108E66




und die 2 datei kann ich net uploaden den pfad gibt es nicht (mehr?)
nur bis:
C:\Dokumente und Einstellungen\USHMSSJ\Lokale Einstellungen\Apps\2.0\AQ58NLN7.D2O\XHV9T5MM.PGV und dann ist dort ein manifests ordner der jedoch leer ist

falls ich das nur chekcen soll weill dus nicht kennst es ist ein Crypt Prog für Skype damit alles verschlüsselt geschieht in skype habe es aber vorgestern oder so wieder deinstalled....



Ich Poste das hier schonmal.... Makware läuft noch kann was dauern pladde net mehr die neuste
__________________

Alt 15.07.2008, 16:46   #4
badman19
 
Backdoor Agent ARK geht nicht weg - Standard

Backdoor Agent ARK geht nicht weg



sooo
nun malware log

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 951
Windows 5.1.2600 Service Pack 2

17:44:32 15.07.2008
mbam-log-7-15-2008 (17-44-32).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 115316
Scan Dauer: 49 minute(s), 10 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\USHMSSJ\Lokale Einstellungen\Temp\CmdLineExt02.dll (Trojan.Agent) -> Quarantined and deleted successfully.



und filelist:


Verzeichnis von C:\

14.07.2008 17:12 1.610.612.736 pagefile.sys
11.07.2008 00:42 31.287 automation3-scripts-r421.zip
26.06.2008 16:08 212.954 MSDELog.log
30.03.2008 15:05 1.393.959 ProgEdit_1.111.rar
30.03.2008 14:07 34 ProgDVB.ini
07.03.2008 21:42 223 boot.ini

Verzeichnis von C:\WINDOWS\system32

15.07.2008 02:29 35.842 2Ife6rem.exe
14.07.2008 17:59 448.248 perfh009.dat
14.07.2008 17:59 82.490 perfc009.dat
14.07.2008 17:59 451.460 perfh007.dat
14.07.2008 17:59 90.494 perfc007.dat
14.07.2008 17:59 1.087.456 PerfStringBackup.INI
14.07.2008 17:11 31.137 OODBS.lor
13.07.2008 19:19 2.206 wpa.dbl
12.07.2008 14:09 382.424 FNTCACHE.DAT
11.07.2008 14:40 29.760 Qrfno8w7.exe
26.06.2008 16:08 2.214.094 MSDELog.log
20.06.2008 06:40 351.744 avisynth.dll
07.06.2008 11:18 9.282 Pvt.tmp
07.06.2008 11:18 34.308 Chip.dll
16.05.2008 11:58 12.632 lsdelete.exe
07.03.2008 20:48 138.558 TZLog.log
31.01.2008 16:38 34.308 BASSMOD.dll


Verzeichnis von C:\WINDOWS\Prefetch

15.07.2008 17:47 82.952 NOTEPAD.EXE-2F2D61E1.pf
15.07.2008 17:47 110.294 WINRAR.EXE-1A0EFB18.pf
15.07.2008 17:47 16.818 CMD.EXE-034B0549.pf
15.07.2008 17:47 19.218 VERCLSID.EXE-28F52AD2.pf
15.07.2008 17:47 128.926 VLC.EXE-2584CE07.pf
15.07.2008 17:16 82.764 FIREFOX.EXE-28BE8AE1.pf
15.07.2008 17:11 24.010 TASKMGR.EXE-06144C13.pf
15.07.2008 17:11 64.592 IEXPLORE.EXE-360BBB5C.pf
15.07.2008 17:11 21.672 DRWTSN32.EXE-01DDCF15.pf
15.07.2008 17:00 23.536 QRFNO8W7.EXE-3B783162.pf
15.07.2008 17:00 10.954 2IFE6REM.EXE-34195B3C.pf
15.07.2008 07:15 54.570 HIJACKTHIS.EXE-32795687.pf
15.07.2008 07:13 90.406 SKYPEPM.EXE-1D416A14.pf
15.07.2008 07:11 45.218 WMIPRVSE.EXE-0D449B4F.pf
15.07.2008 07:11 84.012 SKYPE.EXE-0D322358.pf
15.07.2008 07:09 41.576 PAMELAPCR.EXE-1847D9CD.pf
15.07.2008 02:30 38.394 WLLOGINPROXY.EXE-037D8997.pf
15.07.2008 01:34 39.680 MSCONFIG.EXE-1EF1EA0F.pf
15.07.2008 01:15 141.208 WMPLAYER.EXE-017735B3.pf
15.07.2008 00:58 37.448 NFOVIEWER.EXE-079EF178.pf
15.07.2008 00:57 65.568 PROGDVB.EXE-19A93FDD.pf
15.07.2008 00:15 59.018 EXPLORER.EXE-02121B1A.pf
14.07.2008 23:52 15.886 RUNDLL32.EXE-6E8D4657.pf
14.07.2008 23:24 36.116 RUNDLL32.EXE-3C500167.pf
14.07.2008 21:43 86.652 MPLAYERC.EXE-2358BB3A.pf
14.07.2008 17:55 68.188 CLEANMGR.EXE-31B430FE.pf
14.07.2008 17:38 79.868 USNSVC.EXE-250F009C.pf
14.07.2008 17:37 71.666 MSNMSGR.EXE-19DA9081.pf
14.07.2008 17:37 65.710 ICQ.EXE-12D03E8D.pf
14.07.2008 17:26 62.312 MIRC.EXE-20220265.pf
14.07.2008 17:26 14.494 AGENTSVR.EXE-260B72BD.pf
14.07.2008 17:25 69.752 FTPRUSH.EXE-114B177E.pf
14.07.2008 17:15 26.614 WMIAPSRV.EXE-02740A4B.pf
14.07.2008 17:15 24.252 CSC.EXE-08AD7008.pf
14.07.2008 17:15 8.968 CVTRES.EXE-1404C725.pf
14.07.2008 17:14 52.574 CSC.EXE-22F6101C.pf
14.07.2008 17:14 4.822 CVTRES.EXE-16681F8A.pf
14.07.2008 17:14 61.628 CLI.EXE-124F2D43.pf
14.07.2008 17:14 15.426 KHALMNPR.EXE-38F17899.pf
14.07.2008 17:14 33.286 STRMSERVER.EXE-1E5E0310.pf
14.07.2008 17:14 23.928 RAPIMGR.EXE-23D77446.pf
14.07.2008 17:14 17.812 KEM.EXE-2281F148.pf
14.07.2008 17:14 32.168 PMSHOST.EXE-0EEAEDDB.pf
14.07.2008 16:46 25.156 WCESCOMM.EXE-1136DA72.pf
14.07.2008 16:46 17.650 CTFMON.EXE-05E57A5E.pf
14.07.2008 16:46 24.018 TEATIMER.EXE-08FD41B0.pf
14.07.2008 16:46 21.104 ULTRAMONTASKBAR.EXE-082D8782.pf
14.07.2008 16:46 7.850 VPLUS.EXE-1B157ECB.pf
14.07.2008 16:46 17.922 LANGUAGE.EXE-0C543E78.pf
14.07.2008 16:46 8.284 CLONECDTRAY.EXE-3351FC4F.pf
14.07.2008 16:46 20.690 ULTRAMONDESKTOP.EXE-264AC690.pf
14.07.2008 16:46 17.724 ULTRAMON.EXE-3255C822.pf
14.07.2008 16:46 8.826 E_FATIACE.EXE-363C0927.pf
14.07.2008 16:46 13.964 G15NETSPEED.EXE-0517EB80.pf
14.07.2008 16:46 20.712 LCDCLOCK.EXE-0EFDF953.pf
14.07.2008 16:46 5.644 KHALMNPR.EXE-39603A2C.pf
14.07.2008 16:46 17.750 LCDMON.EXE-01D74F95.pf
14.07.2008 16:46 21.818 LGDCORE.EXE-3B7A1B10.pf
14.07.2008 16:46 12.834 SOUNDMAN.EXE-2979F3F4.pf
14.07.2008 16:41 79.984 INTEGRATOR.EXE-1B6EF261.pf
14.07.2008 16:37 37.328 MSIEXEC.EXE-330626DC.pf
14.07.2008 16:33 25.330 WUAUCLT.EXE-1360D60A.pf
14.07.2008 08:06 118.364 VIRTUA~1.EXE-21387CF7.pf
14.07.2008 01:37 110.252 BESWEET.EXE-22AC334A.pf
13.07.2008 22:58 74.108 PREIT!.EXE-0D689D9C.pf
13.07.2008 21:59 38.308 AVICODEC.EXE-151B161F.pf
13.07.2008 20:23 47.482 VIRTUALDUBMOD.EXE-10117B2A.pf
13.07.2008 20:19 57.586 UNINSTALL.EXE-2C8717CF.pf
13.07.2008 20:12 4.028 CLHELPER.EXE-087EBDCB.pf
13.07.2008 20:12 9.108 OLRSTATECHECK.EXE-2ACB7E03.pf
13.07.2008 20:12 65.474 POWERDVD.EXE-28BB77AA.pf
13.07.2008 20:12 7.326 CLDRVCHK.EXE-16E0D625.pf
13.07.2008 20:08 68.132 WINSTYLER.EXE-21145BAF.pf
13.07.2008 20:03 54.588 RUNDLL32.EXE-46633572.pf
13.07.2008 20:00 23.220 DVDDECRYPTER.EXE-18CE5ABF.pf
13.07.2008 19:42 44.712 VLC-0.8.6D-WIN32.EXE-02166C75.pf
13.07.2008 19:39 22.666 LFCRYPTOCHAT4SKYPE.EXE-1C6B985A.pf
13.07.2008 19:34 44.226 WCESMGR.EXE-02A417D3.pf
13.07.2008 19:23 31.744 RUNDLL32.EXE-640707C1.pf
13.07.2008 19:02 29.746 CLONEDVD2.EXE-1770EAD2.pf
13.07.2008 17:53 26.428 RUNDLL32.EXE-6ACB22ED.pf
13.07.2008 17:18 26.348 RUNDLL32.EXE-3C8DC3ED.pf
13.07.2008 15:33 30.856 RUNDLL32.EXE-6A3854AD.pf
13.07.2008 15:29 31.134 RUNDLL32.EXE-7246E04A.pf
13.07.2008 15:24 71.724 DISKCLEANER.EXE-091A7684.pf
13.07.2008 12:45 47.958 PHP.EXE-3792CBD3.pf
13.07.2008 03:02 31.246 RUNDLL32.EXE-6F8C5367.pf
12.07.2008 19:45 31.246 RUNDLL32.EXE-7418FE7A.pf
12.07.2008 19:42 31.246 RUNDLL32.EXE-4324B528.pf
12.07.2008 19:14 31.444 RUNDLL32.EXE-6861295B.pf
12.07.2008 19:14 38.034 LK7Y45SV.EXE-29D74B8F.pf
12.07.2008 17:15 55.830 TS_WINLIRC.EXE-1C613351.pf
12.07.2008 17:15 55.974 DVBVIEWER.EXE-07E9CCC2.pf
12.07.2008 17:14 31.564 RUNDLL32.EXE-67F8C23A.pf
12.07.2008 17:14 37.678 6V6OFVVI.EXE-2304265A.pf
12.07.2008 17:13 174.748 ICQSRP.EXE-10AD24C1.pf
12.07.2008 16:42 45.212 RUNDLL32.EXE-671A46AE.pf
12.07.2008 15:20 59.320 SHREDDER.EXE-0F11A438.pf
12.07.2008 15:13 31.444 RUNDLL32.EXE-43EACADE.pf
12.07.2008 15:13 38.194 JR4IJSJM.EXE-2A08FD73.pf
12.07.2008 14:16 28.166 ACROBATINFO.EXE-05DAD044.pf
12.07.2008 14:14 31.724 RUNDLL32.EXE-747D5E61.pf
12.07.2008 14:12 17.248 RUNDLL32.EXE-4F631A9D.pf
12.07.2008 13:53 12.992 THREATWORK.EXE-00C9F0E5.pf
12.07.2008 13:24 31.496 RUNDLL32.EXE-73DD0D55.pf
12.07.2008 13:23 36.878 DW20.EXE-0515B312.pf
12.07.2008 13:10 30.872 AD-AWARE.EXE-22291502.pf
12.07.2008 13:10 42.024 AAWSERVICE.EXE-03154300.pf
12.07.2008 13:09 62.758 LSUPDATEMANAGER.EXE-1E75670C.pf
12.07.2008 13:09 24.414 AAWLIC.EXE-060397F0.pf
12.07.2008 13:07 15.144 AAW2008_10.EXE-0D9B5A23.pf
12.07.2008 13:00 28.876 RUNDLL32.EXE-464B4040.pf
12.07.2008 12:57 27.418 SQLSERVR.EXE-27696FD7.pf
12.07.2008 12:56 64.806 VEGAS60.EXE-13B08EA1.pf
12.07.2008 12:27 31.830 RUNDLL32.EXE-70700D75.pf
12.07.2008 12:00 28.868 RUNDLL32.EXE-48FB7385.pf
12.07.2008 10:03 40.438 DFRGNTFS.EXE-38C3807C.pf
12.07.2008 10:03 20.778 DEFRAG.EXE-2858C7E2.pf
12.07.2008 10:03 253.256 Layout.ini
12.07.2008 08:20 28.260 RUNDLL32.EXE-4F92A04F.pf
12.07.2008 08:11 32.312 RUNDLL32.EXE-4C57BC0C.pf
12.07.2008 08:00 29.128 RUNDLL32.EXE-4B6FAC22.pf
12.07.2008 07:59 59.794 HELPSVC.EXE-1C192440.pf
12.07.2008 07:53 31.222 RUNDLL32.EXE-41FC4301.pf
12.07.2008 07:51 36.042 RUNDLL32.EXE-3BF155F0.pf
12.07.2008 02:22 14.264 FROZEN THRONE.EXE-1B195BC0.pf
12.07.2008 02:22 68.958 WAR3.EXE-1F756F11.pf
12.07.2008 00:11 93.700 WMPLAYER.EXE-017735B4.pf
11.07.2008 14:55 68.202 WMPLAYER.EXE-017735B2.pf
10.08.2006 23:17 338.380 NTOSBOOT-B00DFAAD.pf
130 Datei(en) 5.968.490 Bytes
0 Verzeichnis(se), 121.643.008 Bytes frei



Verzeichnis von C:\WINDOWS

15.07.2008 17:15 60.416 ALCFDRTM.VER
15.07.2008 14:00 32.466 SchedLgU.Txt
15.07.2008 01:15 116 NeroDigital.ini
14.07.2008 23:44 857 win.ini
14.07.2008 17:54 60 setupact.log
14.07.2008 17:13 159 wiadebug.log
14.07.2008 17:13 50 wiaservc.log
14.07.2008 17:13 0 TempFile
14.07.2008 17:12 0 0.log
14.07.2008 17:12 2.048 bootstat.dat
14.07.2008 17:08 90.098 WindowsUpdate.log
13.07.2008 21:21 140 MenuEdit.INI
01.07.2008 20:33 69.123 War3Unin.dat
01.07.2008 19:04 2.829 War3Unin.pif
01.07.2008 19:04 139.264 War3Unin.exe
26.06.2008 14:07 63 PixieTool.INI



Verzeichnis von C:\WINDOWS\tasks

15.07.2008 17:00 354 At90.job
15.07.2008 17:00 354 At18.job
15.07.2008 16:34 354 At89.job
15.07.2008 16:00 354 At17.job
15.07.2008 15:00 354 At88.job
15.07.2008 15:00 354 At16.job
15.07.2008 14:00 354 At87.job
15.07.2008 14:00 354 At15.job
15.07.2008 13:00 354 At86.job
15.07.2008 13:00 354 At14.job
15.07.2008 12:00 354 At85.job
15.07.2008 12:00 354 At13.job
15.07.2008 11:00 354 At84.job
15.07.2008 11:00 354 At12.job
15.07.2008 10:00 354 At83.job
15.07.2008 10:00 354 At11.job
15.07.2008 09:00 354 At82.job
15.07.2008 09:00 354 At10.job
15.07.2008 08:00 354 At81.job
15.07.2008 08:00 354 At9.job
15.07.2008 07:00 354 At80.job
15.07.2008 07:00 354 At8.job
15.07.2008 06:00 354 At79.job
15.07.2008 06:00 354 At7.job
15.07.2008 05:00 354 At78.job
15.07.2008 05:00 354 At6.job
15.07.2008 04:00 354 At77.job
15.07.2008 04:00 354 At5.job
15.07.2008 03:00 354 At76.job
15.07.2008 03:00 354 At4.job
15.07.2008 02:29 354 At96.job
15.07.2008 02:29 354 At95.job
15.07.2008 02:29 354 At94.job
15.07.2008 02:29 354 At93.job
15.07.2008 02:29 354 At92.job
15.07.2008 02:29 354 At91.job
15.07.2008 02:29 354 At73.job
15.07.2008 02:29 354 At74.job
15.07.2008 02:29 354 At75.job
15.07.2008 02:00 354 At3.job
15.07.2008 01:00 354 At2.job
15.07.2008 00:07 354 At1.job
14.07.2008 23:00 354 At24.job
14.07.2008 22:00 354 At23.job
14.07.2008 21:00 354 At22.job
14.07.2008 20:00 354 At21.job
14.07.2008 19:00 354 At20.job
14.07.2008 18:00 354 At19.job
14.07.2008 17:12 6 SA.DAT
11.07.2008 17:15 400 1-Klick-Wartung.job
11.11.2004 14:00 65 desktop.ini
51 Datei(en) 17.463 Bytes
0 Verzeichnis(se), 121.638.912 Bytes frei



Verzeichnis von C:\WINDOWS\temp

15.07.2008 01:01 5.858 Eh61D722.dat
15.07.2008 00:41 5.880 e7EDdQDL.dat
14.07.2008 21:05 144 5Gdc0pck.dat
14.07.2008 17:14 49.152 CompiledAdapter.dll
14.07.2008 17:13 0 Perflib_Perfdata_5bc.dat
13.07.2008 22:02 72 Mp61L722.dat
13.07.2008 19:38 16.384 Perflib_Perfdata_5c4.dat
13.07.2008 19:20 16.384 Perflib_Perfdata_5d4.dat
12.07.2008 14:10 16.384 Perflib_Perfdata_3c8.dat
12.07.2008 13:12 16.384 Perflib_Perfdata_1cc8.dat
07.07.2008 13:52 16.384 Perflib_Perfdata_58c.dat
22.06.2008 22:24 16.384 Perflib_Perfdata_b14.dat



Verzeichnis von C:\DOKUME~1\USHMSSJ\LOKALE~1\Temp

15.07.2008 17:48 134.710 filelist.txt
15.07.2008 17:17 681.248 flaFD.tmp
15.07.2008 17:17 609.191 flaF6.tmp
15.07.2008 15:41 3.010 Eh61D722.dat
15.07.2008 07:46 512 ~DF33.tmp
15.07.2008 07:46 163.840 ~DF1D.tmp
15.07.2008 02:29 5.385 e7EDdQDL.dat
15.07.2008 01:16 897.048 WCESLog.log
14.07.2008 22:32 278.985 Positionierstck_1_1_7782.bak
14.07.2008 18:25 59.964 AdskCleanup.0001
14.07.2008 17:37 512 ~DF6274.tmp
14.07.2008 17:37 16.384 ~DF6229.tmp
14.07.2008 17:36 512 ~DFEF72.tmp
14.07.2008 17:36 16.384 ~DFEF11.tmp
14.07.2008 17:17 87.508 Setup Log 2008-07-14 #004.txt
14.07.2008 17:15 49.152 CompiledAdapter.dll
14.07.2008 17:14 16.384 Perflib_Perfdata_9f4.dat
14.07.2008 17:14 16.384 Perflib_Perfdata_738.dat
14.07.2008 17:14 375 WCESCOMM.LOG
14.07.2008 17:07 6.367 Setup Log 2008-07-14 #003.txt
14.07.2008 17:06 29.166 Uninstall Log 2008-07-14 #001.txt
14.07.2008 17:06 6.963 Setup Log 2008-07-14 #002.txt
14.07.2008 16:33 71.215 Setup Log 2008-07-14 #001.txt
14.07.2008 16:26 16.384 Perflib_Perfdata_580.dat
14.07.2008 12:15 35.842 HmDG5BNP.exe
13.07.2008 19:50 512 ~DFA1A9.tmp
13.07.2008 19:50 16.384 ~DFA137.tmp
13.07.2008 19:50 512 ~DFCB44.tmp
13.07.2008 19:50 16.384 ~DFC7D5.tmp
13.07.2008 19:39 16.384 Perflib_Perfdata_6fc.dat
13.07.2008 19:39 16.384 Perflib_Perfdata_2a4.dat
13.07.2008 19:38 16.384 Perflib_Perfdata_4e0.dat
13.07.2008 19:35 0 etilqs_excoRgmPHMXcWak
13.07.2008 19:35 0 etilqs_YbM6I0huehUcX5z
13.07.2008 19:35 0 etilqs_7R8b3GK5UDwm4Xm
13.07.2008 19:35 0 etilqs_2WAUzAY5ofZhBqQ
13.07.2008 19:34 903 WCESMgr.log
13.07.2008 19:28 512 ~DF939D.tmp
13.07.2008 19:28 163.840 ~DF919E.tmp
13.07.2008 19:28 512 ~DF503E.tmp
13.07.2008 19:28 163.840 ~DF4EC3.tmp
13.07.2008 19:28 512 ~DF3FA2.tmp
13.07.2008 19:28 16.384 ~DF3EA7.tmp
13.07.2008 19:27 512 ~DF9BD6.tmp
13.07.2008 19:27 16.384 ~DF9BCB.tmp
13.07.2008 19:22 16.384 Perflib_Perfdata_9b4.dat
13.07.2008 19:22 16.384 Perflib_Perfdata_6ec.dat
13.07.2008 19:21 16.384 Perflib_Perfdata_2ec.dat
13.07.2008 19:18 0 etilqs_ChbaAv1ygrNC99N
12.07.2008 17:37 512 ~DFBF46.tmp
12.07.2008 17:37 163.840 ~DFBF21.tmp
12.07.2008 14:43 512 ~DF8E1D.tmp
12.07.2008 14:43 16.384 ~DF8CF8.tmp
12.07.2008 14:43 512 ~DF6323.tmp
12.07.2008 14:43 16.384 ~DF6120.tmp
12.07.2008 14:17 681.248 fla13.tmp
12.07.2008 14:17 609.191 flaF.tmp
12.07.2008 14:15 10.104 WcesView.log
12.07.2008 14:11 16.384 Perflib_Perfdata_644.dat
12.07.2008 14:11 16.384 Perflib_Perfdata_828.dat
12.07.2008 13:23 81 dw.log
12.07.2008 13:07 53.760 196fa870.mst
12.07.2008 12:57 16.384 ~DF394C.tmp
12.07.2008 12:57 693 TWAIN.LOG
12.07.2008 12:57 3 Twain001.Mtx
12.07.2008 12:57 156 Twunk001.MTX
11.07.2008 20:56 216 2Ife6rem.dat
11.07.2008 14:55 4.782 5Gdc0pck.dat
11.07.2008 14:40 29.760 orz.exe
11.07.2008 00:54 29.092 aeg311.tmp.ass
10.07.2008 15:38 16.384 ~DFD61F.tmp
10.07.2008 00:05 124 205B6612.TMP
09.07.2008 20:58 0 Twunk002.MTX
09.07.2008 15:59 59.964 Adobelm_Cleanup.0001
07.07.2008 18:58 22.414.120 SkypeSetup.exe
07.07.2008 16:28 416 java_install_reg.log
07.07.2008 13:55 16.384 Perflib_Perfdata_d50.dat
07.07.2008 13:55 16.384 Perflib_Perfdata_8a4.dat
07.07.2008 13:55 16.384 Perflib_Perfdata_a3c.dat
15.11.2007 13:22 836.976 264dsse2.dll.0.sub1.ms0

Geändert von badman19 (15.07.2008 um 16:55 Uhr)

Alt 15.07.2008, 17:05   #5
Sunny
Administrator
> Competence Manager
 

Backdoor Agent ARK geht nicht weg - Standard

Backdoor Agent ARK geht nicht weg



ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 15.07.2008, 17:48   #6
badman19
 
Backdoor Agent ARK geht nicht weg - Standard

Backdoor Agent ARK geht nicht weg



so getan:

ComboFix 08-07-14.2 - BENUTZER 2008-07-15 18:36:38.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.894 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\BENUTZER\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
ADS - svchost.exe: deleted 68 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\ADM8511\_desktop.ini
C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\ADM8511\WIN2000\_desktop.ini
C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\ADM8511\WIN98\_desktop.ini
C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\ADM8511\WINME\_desktop.ini
C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\RTL8150L\_desktop.ini
C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\RTL8150L\DIAG2000\_desktop.ini
C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\RTL8150L\DIAG98\_desktop.ini
C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\RTL8150L\Linux\_desktop.ini
C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\RTL8150L\WIN2000\_desktop.ini
C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\RTL8150L\WIN98\_desktop.ini
C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\RTL8150L\WinCE\_desktop.ini
C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\RTL8150L\WINME\_desktop.ini
C:\Dokumente und Einstellungen\BENUTZER\Desktop\USB to LAN\USBtoLAN\RTL8150L\WINXP\_desktop.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-15 bis 2008-07-15 ))))))))))))))))))))))))))))))
.

2008-07-15 18:33 . 2008-07-15 18:33 0 --a------ C:\WINDOWS\LCDMedia.INI
2008-07-15 18:22 . 2008-07-15 18:22 <DIR> d-------- C:\Programme\CCleaner
2008-07-15 16:46 . 2008-07-15 16:46 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-15 16:46 . 2008-07-15 16:46 <DIR> d-------- C:\Dokumente und Einstellungen\BENUTZER\Anwendungsdaten\Malwarebytes
2008-07-15 16:46 . 2008-07-15 16:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-15 16:46 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-15 16:46 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-15 02:29 . 2008-07-15 02:29 35,842 --a------ C:\WINDOWS\system32\2Ife6rem.exe
2008-07-14 17:16 . 2008-07-14 17:16 <DIR> d-------- C:\Dokumente und Einstellungen\BENUTZER\Anwendungsdaten\PC Tools
2008-07-14 17:16 . 2008-06-10 21:22 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-07-14 17:16 . 2008-06-02 15:19 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-07-14 17:16 . 2008-06-02 15:19 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-07-14 17:16 . 2008-06-02 15:19 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-07-14 17:00 . 2008-07-14 17:00 <DIR> dr------- C:\Dokumente und Einstellungen\NetworkService\Favoriten
2008-07-14 16:30 . 2008-07-15 17:18 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-07-14 16:29 . 2008-07-15 04:26 <DIR> d-------- C:\Programme\Spyware Doctor
2008-07-13 20:20 . 2008-07-13 20:20 <DIR> d-------- C:\Dokumente und Einstellungen\BENUTZER\Anwendungsdaten\vlc
2008-07-12 13:09 . 2008-07-12 13:09 <DIR> d-------- C:\Programme\Lavasoft
2008-07-12 13:09 . 2008-07-12 13:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-07-11 14:41 . 2008-07-11 14:40 29,760 --a------ C:\WINDOWS\system32\Qrfno8w7.exe
2008-07-11 00:42 . 2008-07-11 00:42 31,287 --a------ C:\automation3-scripts-r421.zip
2008-07-10 21:37 . 2008-07-11 00:54 <DIR> d-------- C:\Dokumente und Einstellungen\BENUTZER\Anwendungsdaten\Aegisub
2008-07-10 21:35 . 2008-07-10 21:36 <DIR> d-------- C:\Programme\Aegisub 2.1.2
2008-07-01 18:56 . 2008-07-01 19:04 139,264 --a------ C:\WINDOWS\War3Unin.exe
2008-07-01 18:56 . 2008-07-01 20:33 69,123 --a------ C:\WINDOWS\War3Unin.dat
2008-07-01 18:56 . 2008-07-01 19:04 2,829 --a------ C:\WINDOWS\War3Unin.pif
2008-06-26 16:09 . 2000-04-27 12:31 19,456 --------- C:\WINDOWS\system32\asapi.dll
2008-06-26 16:09 . 2002-04-17 20:27 11,264 --------- C:\WINDOWS\system32\drivers\asapiW2k.sys
2008-06-26 16:08 . 1998-11-02 19:57 196,096 --------- C:\WINDOWS\system32\MACD32.DLL
2008-06-26 16:08 . 1998-11-02 19:57 138,752 --------- C:\WINDOWS\system32\MASE32.DLL
2008-06-26 16:08 . 1998-11-02 19:57 136,192 --------- C:\WINDOWS\system32\MAMC32.DLL
2008-06-26 16:08 . 1998-11-02 19:57 57,856 --------- C:\WINDOWS\system32\MASD32.DLL
2008-06-26 16:08 . 2005-11-18 09:51 41,472 --------- C:\WINDOWS\system32\CacheX.dll
2008-06-26 16:08 . 1998-11-02 19:57 27,648 --------- C:\WINDOWS\system32\MA32.DLL
2008-06-26 16:03 . 2008-06-26 16:03 <DIR> d-------- C:\WINDOWS\Cache
2008-06-26 16:03 . 2003-03-19 04:04 765,952 --------- C:\WINDOWS\system32\msvcp71d.dll
2008-06-26 16:03 . 2003-03-19 04:03 544,768 --------- C:\WINDOWS\system32\msvcr71d.dll
2008-06-26 16:02 . 2000-04-11 18:44 85,504 --------- C:\WINDOWS\system32\lame_enc.dll
2008-06-26 16:01 . 2008-06-26 16:01 <DIR> d-------- C:\Programme\Movielink
2008-06-26 14:07 . 2008-06-26 14:07 63 --a------ C:\WINDOWS\PixieTool.INI
2008-06-26 14:05 . 2008-06-26 16:19 <DIR> d-------- C:\Dokumente und Einstellungen\BENUTZER\Anwendungsdaten\Pinnacle Systems
2008-06-26 14:02 . 2002-01-05 13:40 487,424 --------- C:\WINDOWS\system32\MSVCP70.DLL
2008-06-26 14:02 . 2004-11-04 09:54 471,040 --------- C:\WINDOWS\system32\HHActiveX.dll
2008-06-26 14:02 . 2002-01-05 12:18 84,992 --------- C:\WINDOWS\system32\ATL70.DLL
2008-06-26 14:02 . 2002-01-05 13:38 54,784 --------- C:\WINDOWS\system32\MSVCI70.DLL
2008-06-26 14:01 . 2008-06-26 16:03 <DIR> d-------- C:\Programme\Pinnacle
2008-06-26 14:01 . 2008-06-26 14:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle
2008-06-20 06:40 . 2008-06-20 06:40 351,744 --ahs---- C:\WINDOWS\system32\avisynth.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-15 16:33 --------- d-----w C:\Programme\ICQ
2008-07-15 14:11 --------- d-----w C:\Dokumente und Einstellungen\BENUTZER\Anwendungsdaten\Skype
2008-07-15 14:03 --------- d-----w C:\Dokumente und Einstellungen\BENUTZER\Anwendungsdaten\skypePM
2008-07-14 15:38 --------- d-----w C:\Dokumente und Einstellungen\BENUTZER\Anwendungsdaten\dvdcss
2008-07-14 15:36 --------- d-----w C:\Programme\Security Task Manager
2008-07-14 15:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-07-13 20:59 --------- d-----w C:\Programme\Pre It!
2008-07-13 19:37 --------- d-----w C:\Programme\DVD-RB PRO 1.26.6
2008-07-13 18:42 --------- d-----w C:\Programme\Hard Drive Inspector
2008-07-12 12:02 --------- d-----w C:\Programme\FTPRush
2008-07-12 11:07 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-10 19:44 --------- d-----w C:\Programme\Winsubtitler
2008-06-26 14:03 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-08 19:40 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-06-07 09:18 9,282 ----a-w C:\WINDOWS\system32\Pvt.tmp
2008-06-07 09:18 34,308 ----a-w C:\WINDOWS\system32\Chip.dll
2008-06-06 13:47 --------- d-----w C:\Programme\thriXXX
2008-05-29 21:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-05-29 14:00 --------- d-----w C:\Programme\PhotoRescue Advanced PC
2008-05-29 13:56 --------- d-----w C:\Programme\IrfanView
2008-05-23 10:25 --------- d-----w C:\Programme\FlashFXP
2008-05-20 20:19 --------- d-----w C:\Programme\SystemRequirementsLab
2008-05-18 21:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-04-30 20:16 73,216 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-04-30 20:16 286,720 ------w C:\WINDOWS\Setup1.exe
2005-05-13 16:12 217,073 --sha-r C:\WINDOWS\meta4.exe
2005-10-24 10:13 66,560 --sha-r C:\WINDOWS\MOTA113.exe
2005-10-13 20:27 422,400 --sha-r C:\WINDOWS\x2.64.exe
2005-07-14 11:31 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll
2005-06-26 14:32 616,448 --sha-r C:\WINDOWS\system32\cygwin1.dll
2005-06-21 21:37 45,568 --sha-r C:\WINDOWS\system32\cygz.dll
2007-02-12 17:38 56 --sh--r C:\WINDOWS\system32\DDA20A0817.sys
2004-01-24 23:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll
2007-02-12 17:38 13,766 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2006-04-27 09:24 2,945,024 --sha-r C:\WINDOWS\system32\Smab.dll
2005-02-28 12:16 240,128 --sha-r C:\WINDOWS\system32\x.264.exe
2004-01-24 23:00 70,656 --sha-r C:\WINDOWS\system32\yv12vfw.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ Plus"="C:\Programme\ICQPlus\vplus.exe" [2002-12-04 05:32 11776]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04 1415824]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 14:00 15360]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2005-11-15 20:14 1204224]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ"="C:\Programme\ICQ\Icq.exe" [2003-01-21 09:20 2089541]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-06 01:07 61440]
"Launch LGDCore"="C:\Programme\Logitech\G-series Software\LGDCore.exe" [2006-03-06 15:31 1122304]
"Launch LCDMon"="C:\Programme\Logitech\G-series Software\LCDMon.exe" [2006-03-06 15:14 497152]
"EPSON Stylus DX3800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 06:00 98304]
"UltraMon"="C:\Programme\UltraMon\UltraMon.exe" [2005-05-14 18:23 187904]
"LanguageShortcut"="C:\Programme\CyberLink\PowerDVD\Language\Language.exe" [2007-10-11 13:06 62760]
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 21:21 57344]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-11-10 17:06 406016]
"Spy Protector"="C:\Programme\Security Task Manager\SpyProtector.exe" [2008-06-24 17:46 114248]
"SoundMan"="SOUNDMAN.EXE" [2004-07-27 17:01 68096 C:\WINDOWS\SOUNDMAN.EXE]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-10-21 14:28 29696 C:\WINDOWS\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-11-11 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"VIDC.YV12"= yv12vfw.dll
"vidc.ffds"= C:\Programme\Combined Community Codec Pack\Filters\ffdshow.ax
"vidc.wmv3"= C:\PROGRA~1\COMBIN~1\Filters\wmv9vcm.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"msacm.divxa32"= DivXa32.acm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Easy-PrintToolBox]
--a------ 2004-01-14 03:10 409600 C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-27 01:47 31016 C:\Programme\Microsoft Office\Office 2007\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
--a------ 2005-11-15 20:14 1204224 C:\Programme\Microsoft ActiveSync\wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IncrediMail]
--a------ 2006-09-17 13:16 204843 C:\Programme\IncrediMail\bin\IncMail.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ImapiService"=3 (0x3)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
"Steam"="D:\Games\Steam\Steam.exe" -silent
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"RemoteControl"=C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
"Mirabilis ICQ"=C:\Programme\ICQ\ICQNet.exe
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
"MSConfig"=C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"SolidWorks_CheckForUpdates"="C:\Programme\Gemeinsame Dateien\SolidWorks Installations-Manager\Scheduler\sldIMScheduler.exe" /scheduler
"HDInspector.exe"=C:\Programme\Hard Drive Inspector\HDInspector.exe
"BDRegion"=C:\Programme\Cyberlink\Shared Files\brs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\FlashFXP\\flashfxp.exe"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 uliagpkx;ULi AGP Bus Filter Driver;C:\WINDOWS\system32\DRIVERS\agpkx.sys [2005-05-03 17:31]
R1 Cinemsup;Cinemsup;C:\WINDOWS\system32\drivers\cinemsup.sys [2002-07-19 08:10]
R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};C:\Programme\CyberLink\PowerDVD\000.fcl [2007-11-03 01:12]
R2 UltraMonUtility;UltraMon Utility Driver;C:\Programme\Gemeinsame Dateien\Realtime Soft\UltraMonMirrorDrv\x32\UltraMonUtility.sys [2005-06-02 13:54]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-11-11 14:00]
R2 VmodeNT;VmodeNT;C:\WINDOWS\system32\drivers\VmodeNT.sys [2003-07-03 04:18]
R3 SKYNET;TechniSat DVB-PC TV Star PCI;C:\WINDOWS\system32\DRIVERS\SkyNET.SYS [2006-03-14 03:22]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;C:\WINDOWS\system32\DRIVERS\ULILAN51.SYS [2005-03-22 20:36]
R3 UltraMonMirror;UltraMonMirror;C:\WINDOWS\system32\DRIVERS\UltraMonMirror.sys [2005-05-14 18:41]
S1 amdtools;AMD Special Tools Driver;C:\WINDOWS\system32\DRIVERS\amdtools.sys []
S3 DM9USB;DM9601 USB To Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\dm9usb.sys [2006-12-29 05:41]
S3 r_server;Remote Administrator Service;C:\WINDOWS\system32\r_server.exe [2004-06-23 21:03]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c54c4e14-b60a-11dc-83f2-00138f73ec6a}]
\Shell\AutoRun\command - wd_windows_tools\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cebcbd41-28bc-11db-8d7e-806d6172696f}]
\Shell\AutoRun\command - E:\SETUP.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cebcbd42-28bc-11db-8d7e-806d6172696f}]
\Shell\AutoRun\command - F:\setup.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - SDAUXSERVICE
*Newly Created Service* - SDCORESERVICE
.
Inhalt des "geplante Tasks" Ordners
"2008-07-11 15:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-07-14 22:07:02 C:\WINDOWS\Tasks\At1.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 07:00:01 C:\WINDOWS\Tasks\At10.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 08:00:02 C:\WINDOWS\Tasks\At11.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 09:00:01 C:\WINDOWS\Tasks\At12.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 10:00:09 C:\WINDOWS\Tasks\At13.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 11:00:02 C:\WINDOWS\Tasks\At14.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 12:00:03 C:\WINDOWS\Tasks\At15.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 13:00:04 C:\WINDOWS\Tasks\At16.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 14:00:02 C:\WINDOWS\Tasks\At17.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 15:00:10 C:\WINDOWS\Tasks\At18.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 16:00:02 C:\WINDOWS\Tasks\At19.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-14 23:00:03 C:\WINDOWS\Tasks\At2.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-14 17:00:08 C:\WINDOWS\Tasks\At20.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-14 18:00:03 C:\WINDOWS\Tasks\At21.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-14 19:00:08 C:\WINDOWS\Tasks\At22.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-14 20:00:06 C:\WINDOWS\Tasks\At23.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-14 21:00:02 C:\WINDOWS\Tasks\At24.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 00:00:02 C:\WINDOWS\Tasks\At3.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 01:00:01 C:\WINDOWS\Tasks\At4.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 02:00:02 C:\WINDOWS\Tasks\At5.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 03:00:02 C:\WINDOWS\Tasks\At6.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 04:00:12 C:\WINDOWS\Tasks\At7.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 00:29:05 C:\WINDOWS\Tasks\At73.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 00:29:05 C:\WINDOWS\Tasks\At74.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 00:29:05 C:\WINDOWS\Tasks\At75.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 01:00:10 C:\WINDOWS\Tasks\At76.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 02:00:10 C:\WINDOWS\Tasks\At77.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 03:00:10 C:\WINDOWS\Tasks\At78.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 04:00:18 C:\WINDOWS\Tasks\At79.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 05:00:02 C:\WINDOWS\Tasks\At8.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 05:00:10 C:\WINDOWS\Tasks\At80.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 06:00:10 C:\WINDOWS\Tasks\At81.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 07:00:10 C:\WINDOWS\Tasks\At82.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 08:00:10 C:\WINDOWS\Tasks\At83.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 09:00:10 C:\WINDOWS\Tasks\At84.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 10:00:16 C:\WINDOWS\Tasks\At85.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 11:00:10 C:\WINDOWS\Tasks\At86.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 12:00:11 C:\WINDOWS\Tasks\At87.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 13:00:11 C:\WINDOWS\Tasks\At88.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 14:34:25 C:\WINDOWS\Tasks\At89.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 06:00:08 C:\WINDOWS\Tasks\At9.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 15:00:14 C:\WINDOWS\Tasks\At90.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 16:00:00 C:\WINDOWS\Tasks\At91.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 00:29:29 C:\WINDOWS\Tasks\At92.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 00:29:32 C:\WINDOWS\Tasks\At93.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 00:29:36 C:\WINDOWS\Tasks\At94.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 00:29:39 C:\WINDOWS\Tasks\At95.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 00:29:43 C:\WINDOWS\Tasks\At96.job"
- C:\WINDOWS\system32\2Ife6rem.exe
.
- - - - ORPHANS REMOVED - - - -

MSConfigStartUp-Steam - f:\games\steam\steam.exe


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-15 18:40:33
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...


**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
"ImagePath"="\??\C:\Programme\CyberLink\PowerDVD\000.fcl"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\tsd32.dll
.
Zeit der Fertigstellung: 2008-07-15 18:43:43
ComboFix-quarantined-files.txt 2008-07-15 16:42:30

10 Verzeichnis(se), 150,663,168 Bytes frei
13 Verzeichnis(se), 174,333,952 Bytes frei

334 --- E O F --- 2008-03-07 19:00:31

Alt 15.07.2008, 17:56   #7
Sunny
Administrator
> Competence Manager
 

Backdoor Agent ARK geht nicht weg - Standard

Backdoor Agent ARK geht nicht weg




Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\WINDOWS\system32\Qrfno8w7.exe
C:\automation3-scripts-r421.zip
C:\WINDOWS\system32\Pvt.tmp
C:\WINDOWS\system32\yv12vfw.dll
C:\WINDOWS\system32\cygz.dll
C:\WINDOWS\system32\DDA20A0817.sys
C:\WINDOWS\system32\i420vfw.dll
C:\WINDOWS\system32\KGyGaAvL.sys
C:\WINDOWS\system32\Smab.dll
C:\WINDOWS\system32\x.264.exe
C:\WINDOWS\system32\yv12vfw.dll
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!



SDFix


* Lade das SDFix herunter und speichere es auf deinem Desktop.

* Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
* Starte deinen Rechner neu auf, in den abgesicherten Modus

* Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
* Gib ein Y ein, um den Reinigungsprozess zu beginnen.
* Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
* Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann.
* Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
* Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
* Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
* Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
* Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 15.07.2008, 18:17   #8
badman19
 
Backdoor Agent ARK geht nicht weg - Standard

Backdoor Agent ARK geht nicht weg



so Die Online Prüfungsergebnise:

Datei Qrfno8w7.exe empfangen 2008.07.15 19:00:16 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 28/33 (84.85%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 42 und 60 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.11.0 2008.07.15 Win-Trojan/Firu.29760.D
AntiVir 7.8.0.68 2008.07.15 TR/Crypt.ULPM.Gen
Authentium 5.1.0.4 2008.07.15 -
Avast 4.8.1195.0 2008.07.15 Win32:Trojan-gen {Other}
AVG 7.5.0.516 2008.07.15 Downloader.Generic7.RWI
BitDefender 7.2 2008.07.15 Trojan.Downloader.Firu.G
CAT-QuickHeal 9.50 2008.07.15 Win32.Packed.NSAnti.r
ClamAV 0.93.1 2008.07.15 Trojan.Downloader-44665
DrWeb 4.44.0.09170 2008.07.15 Trojan.Packed.418
eSafe 7.0.17.0 2008.07.15 Suspicious File
eTrust-Vet 31.6.5956 2008.07.15 Win32/SillyDl.ETW
Ewido 4.0 2008.07.15 -
F-Prot 4.4.4.56 2008.07.14 -
F-Secure 7.60.13501.0 2008.07.15 Trojan-Downloader.Win32.Firu.gm
Fortinet 3.14.0.0 2008.07.15 PossibleThreat
GData 2.0.7306.1023 2008.07.15 Trojan-Downloader.Win32.Firu.gm
Ikarus T3.1.1.26.0 2008.07.15 Trojan-Downloader.Firu.C
Kaspersky 7.0.0.125 2008.07.15 Trojan-Downloader.Win32.Firu.gm
McAfee 5338 2008.07.14 Downloader.gen.a
Microsoft 1.3704 2008.07.15 Trojan:Win32/Bohmini.A
NOD32v2 3269 2008.07.15 a variant of Win32/TrojanDownloader.Firu
Norman 5.80.02 2008.07.15 W32/DLoader.HOGQ
Panda 9.0.0.4 2008.07.14 Trj/Agent.IXT
Prevx1 V2 2008.07.15 Cloaked Malware
Rising 20.53.12.00 2008.07.15 -
Sophos 4.31.0 2008.07.15 Mal/HckPk-A
Sunbelt 3.1.1536.1 2008.07.15 Trojan-Downloader.Win32.Firu.eh
Symantec 10 2008.07.15 SecurityRisk.Downldr
TheHacker 6.2.96.379 2008.07.14 Trojan/Downloader.Firu.eh
TrendMicro 8.700.0.1004 2008.07.15 TROJ_FIRU.AM
VBA32 3.12.8.0 2008.07.15 Trojan-Downloader.Win32.Firu.eh
VirusBuster 4.5.11.0 2008.07.15 -
Webwasher-Gateway 6.6.2 2008.07.15 Trojan.Crypt.ULPM.Gen
weitere Informationen
File size: 29760 bytes
MD5...: 739c2891829d438db5bcf3d9ce17220a
SHA1..: 8f8b31df0612c8ca3d0baeee8477dac21905bdac
SHA256: 6a22d52cb0849b706cac74de29b3cd42eea67e1396f5f39da3b6d6f1cdf60373
SHA512: c3a8593136321c2300ea6431231292f37c89b40ae2e03961eb2a12fb65b07758
7e22c47f09e081a80a3f1794c2b5f065c7feb533ff88e74b4cfa0bdf0643138c
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40cb40
timedatestamp.....: 0x4848f092 (Fri Jun 06 08:08:50 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x5000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x6000 0x7000 0x6e00 7.96 e9049e8e5014846ac8fe96c176f1103f
.rsrc 0xd000 0x1000 0x200 2.64 f82f8511f32941e05ec75163800bcd2e

( 2 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: SetSecurityDescriptorDacl

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=BFC16343409E012874A300DC4D1A3B00EAC8BB71




Datei automation3-scripts-r421.zip empfangen 2008.07.15 19:02:39 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/33 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.11.0 2008.07.15 -
AntiVir 7.8.0.68 2008.07.15 -
Authentium 5.1.0.4 2008.07.15 -
Avast 4.8.1195.0 2008.07.15 -
AVG 7.5.0.516 2008.07.15 -
BitDefender 7.2 2008.07.15 -
CAT-QuickHeal 9.50 2008.07.15 -
ClamAV 0.93.1 2008.07.15 -
DrWeb 4.44.0.09170 2008.07.15 -
eSafe 7.0.17.0 2008.07.15 -
eTrust-Vet 31.6.5956 2008.07.15 -
Ewido 4.0 2008.07.15 -
F-Prot 4.4.4.56 2008.07.14 -
F-Secure 7.60.13501.0 2008.07.15 -
Fortinet 3.14.0.0 2008.07.15 -
GData 2.0.7306.1023 2008.07.15 -
Ikarus T3.1.1.26.0 2008.07.15 -
Kaspersky 7.0.0.125 2008.07.15 -
McAfee 5338 2008.07.14 -
Microsoft 1.3704 2008.07.15 -
NOD32v2 3269 2008.07.15 -
Norman 5.80.02 2008.07.15 -
Panda 9.0.0.4 2008.07.14 -
Prevx1 V2 2008.07.15 -
Rising 20.53.12.00 2008.07.15 -
Sophos 4.31.0 2008.07.15 -
Sunbelt 3.1.1536.1 2008.07.15 -
Symantec 10 2008.07.15 -
TheHacker 6.2.96.379 2008.07.14 -
TrendMicro 8.700.0.1004 2008.07.15 -
VBA32 3.12.8.0 2008.07.15 -
VirusBuster 4.5.11.0 2008.07.15 -
Webwasher-Gateway 6.6.2 2008.07.15 -
weitere Informationen
File size: 31287 bytes
MD5...: 6d3bc2a80b7ca7b495125421f81997cf
SHA1..: a8896c178d43baa755c1e8331b68a1335fd1a28d
SHA256: ef193dd4fed33c13ece816a4bbf1ed50f0447afca6fa23300c9da180ae5f0d03
SHA512: 45ca3febfd3be464eebd36e307d271a4ad91d226383a7ce2f6aad664a29c05a8
6d942c5a6e19ed68eb7bdfa51430070616f32ba6a885be311ca0375f5433c7e9
PEiD..: -
PEInfo: -
packers (Kaspersky): Edit, Edit, Edit, Edit, Edit, Edit, Edit
packers (F-Prot): UTF-8





Datei Pvt.tmp empfangen 2008.07.15 19:04:02 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/33 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 37 und 53 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.11.0 2008.07.15 -
AntiVir 7.8.0.68 2008.07.15 -
Authentium 5.1.0.4 2008.07.15 -
Avast 4.8.1195.0 2008.07.15 -
AVG 7.5.0.516 2008.07.15 -
BitDefender 7.2 2008.07.15 -
CAT-QuickHeal 9.50 2008.07.15 -
ClamAV 0.93.1 2008.07.15 -
DrWeb 4.44.0.09170 2008.07.15 -
eSafe 7.0.17.0 2008.07.15 -
eTrust-Vet 31.6.5956 2008.07.15 -
Ewido 4.0 2008.07.15 -
F-Prot 4.4.4.56 2008.07.14 -
F-Secure 7.60.13501.0 2008.07.15 -
Fortinet 3.14.0.0 2008.07.15 -
GData 2.0.7306.1023 2008.07.15 -
Ikarus T3.1.1.26.0 2008.07.15 -
Kaspersky 7.0.0.125 2008.07.15 -
McAfee 5338 2008.07.14 -
Microsoft 1.3704 2008.07.15 -
NOD32v2 3269 2008.07.15 -
Norman 5.80.02 2008.07.15 -
Panda 9.0.0.4 2008.07.14 -
Prevx1 V2 2008.07.15 -
Rising 20.53.12.00 2008.07.15 -
Sophos 4.31.0 2008.07.15 -
Sunbelt 3.1.1536.1 2008.07.15 -
Symantec 10 2008.07.15 -
TheHacker 6.2.96.379 2008.07.14 -
TrendMicro 8.700.0.1004 2008.07.15 -
VBA32 3.12.8.0 2008.07.15 -
VirusBuster 4.5.11.0 2008.07.15 -
Webwasher-Gateway 6.6.2 2008.07.15 -
weitere Informationen
File size: 9282 bytes
MD5...: 815dcd008817932c4cc89471a786ed32
SHA1..: 9d4395dc6d47487c8c59823379d49be86fbbdb64
SHA256: 47c0410c41310ad7328e88c966a32d8a525278af104c5dcc2770623c55555afa
SHA512: 164763d56c89f968d2ef7f0ef2922d67099fb6285d07aa447a6e9955491c8b88
4cec9ae8d8d3c207ff8684a9cee8fabb8e0682353050f1d712595ee9d36380e1
PEiD..: -
PEInfo: -





atei yv12vfw.dll empfangen 2008.07.15 19:05:07 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/33 (3.04%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.11.0 2008.07.15 -
AntiVir 7.8.0.68 2008.07.15 -
Authentium 5.1.0.4 2008.07.15 -
Avast 4.8.1195.0 2008.07.15 -
AVG 7.5.0.516 2008.07.15 -
BitDefender 7.2 2008.07.15 -
CAT-QuickHeal 9.50 2008.07.15 -
ClamAV 0.93.1 2008.07.15 -
DrWeb 4.44.0.09170 2008.07.15 -
eSafe 7.0.17.0 2008.07.15 Suspicious File
eTrust-Vet 31.6.5956 2008.07.15 -
Ewido 4.0 2008.07.15 -
F-Prot 4.4.4.56 2008.07.14 -
F-Secure 7.60.13501.0 2008.07.15 -
Fortinet 3.14.0.0 2008.07.15 -
GData 2.0.7306.1023 2008.07.15 -
Ikarus T3.1.1.26.0 2008.07.15 -
Kaspersky 7.0.0.125 2008.07.15 -
McAfee 5338 2008.07.14 -
Microsoft 1.3704 2008.07.15 -
NOD32v2 3269 2008.07.15 -
Norman 5.80.02 2008.07.15 -
Panda 9.0.0.4 2008.07.14 -
Prevx1 V2 2008.07.15 -
Rising 20.53.12.00 2008.07.15 -
Sophos 4.31.0 2008.07.15 -
Sunbelt 3.1.1536.1 2008.07.15 -
Symantec 10 2008.07.15 -
TheHacker 6.2.96.379 2008.07.14 -
TrendMicro 8.700.0.1004 2008.07.15 -
VBA32 3.12.8.0 2008.07.15 -
VirusBuster 4.5.11.0 2008.07.15 -
Webwasher-Gateway 6.6.2 2008.07.15 -
weitere Informationen
File size: 70656 bytes
MD5...: 7029a7634c8dfa8ee619e79b1b9a378f
SHA1..: 2126dc5c319feb0b0f543216c64d242a5067f560
SHA256: edc075d9117c6bf52cb4079e21cc3b858d4977dd0abedc852dcc840b4231044e
SHA512: 59f8e78df1c20861c2a61659d25c08adc5bee9c261428b97f3e7c528499dd9b0
17beff4112cae4ec27784955eca8a9471086eee1829078956ef92028d67d3afc
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1c43b5c0
timedatestamp.....: 0x4013ec64 (Sun Jan 25 16:18:44 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x2a000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x2b000 0x11000 0x10800 7.89 a08561376366ce19e6e9b9a53fba7949
.rsrc 0x3c000 0x1000 0x800 3.06 c03ab8f7b4672cd84462034833dd63ef

( 5 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress
> ADVAPI32.dll: RegCloseKey
> GDI32.dll: GetSystemPaletteEntries
> USER32.dll: GetDC
> WINMM.dll: DefDriverProc

( 2 exports )
DllMain, DriverProc
packers (Kaspersky): UPX
packers (F-Prot): UPX








Datei cygz.dll empfangen 2008.07.15 19:06:22 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 5/33 (15.16%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 42 und 60 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.11.0 2008.07.15 -
AntiVir 7.8.0.68 2008.07.15 -
Authentium 5.1.0.4 2008.07.15 -
Avast 4.8.1195.0 2008.07.15 -
AVG 7.5.0.516 2008.07.15 -
BitDefender 7.2 2008.07.15 -
CAT-QuickHeal 9.50 2008.07.15 -
ClamAV 0.93.1 2008.07.15 PUA.Packed.TeLock
DrWeb 4.44.0.09170 2008.07.15 -
eSafe 7.0.17.0 2008.07.15 Suspicious File
eTrust-Vet 31.6.5956 2008.07.15 -
Ewido 4.0 2008.07.15 -
F-Prot 4.4.4.56 2008.07.14 -
F-Secure 7.60.13501.0 2008.07.15 -
Fortinet 3.14.0.0 2008.07.15 -
GData 2.0.7306.1023 2008.07.15 -
Ikarus T3.1.1.26.0 2008.07.15 -
Kaspersky 7.0.0.125 2008.07.15 -
McAfee 5338 2008.07.14 -
Microsoft 1.3704 2008.07.15 -
NOD32v2 3269 2008.07.15 -
Norman 5.80.02 2008.07.15 -
Panda 9.0.0.4 2008.07.14 Suspicious file
Prevx1 V2 2008.07.15 -
Rising 20.53.12.00 2008.07.15 -
Sophos 4.31.0 2008.07.15 -
Sunbelt 3.1.1536.1 2008.07.15 -
Symantec 10 2008.07.15 -
TheHacker 6.2.96.379 2008.07.14 -
TrendMicro 8.700.0.1004 2008.07.15 PAK_Generic.001
VBA32 3.12.8.0 2008.07.15 -
VirusBuster 4.5.11.0 2008.07.15 -
Webwasher-Gateway 6.6.2 2008.07.15 Win32.Malware.gen!88 (suspicious)
weitere Informationen
File size: 45568 bytes
MD5...: 82653b1caaac9e4501c1f7548c063561
SHA1..: f63dba8db886c29b5be4504b54559e5a198b6d4b
SHA256: 516ac39f0af00ec25fa44c7bd8f58d683f672e0b1592adf17e9a91f5985c4160
SHA512: 6643e4beefe69b3e097be40f9c1b6407342b4ad5f30100a0abf4b9997be4b64b
172986fdeca6ec2f39db0b361fec29298f521aa5d7fc0971e1da84b65c8e462f
PEiD..: tElock v0.98
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10015bd6
timedatestamp.....: 0x3fcea40c (Thu Dec 04 03:03:40 2003)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
0x1000 0xe000 0x7e00 7.99 c6938cd1fca6ea7f94b803f90fc0836a
0xf000 0x1000 0x200 7.59 5e1ad3a37bea2ee9757ffad2bd7a412a
0x10000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
0x11000 0x1000 0x600 5.00 bf0aa4887282b3c269b23a5638634abd
0x12000 0x1000 0x200 7.66 6aa87ebccd86d5cd166021dcf37e4688
0x13000 0x1000 0x400 7.85 7b8c2ed94eea19b1645816080766f75d
0x14000 0x3000 0x2200 7.63 b066c3a4be303e7688e04d3f0d18877a

( 2 imports )
> kernel32.dll: GetModuleHandleA
> user32.dll: MessageBoxA

( 65 exports )
_dist_code, _length_code, _tr_align, _tr_flush_block, _tr_init, _tr_stored_block, _tr_tally, adler32, compress, compress2, compressBound, crc32, deflate, deflateBound, deflateCopy, deflateEnd, deflateInit2_, deflateInit_, deflateParams, deflatePrime, deflateReset, deflateSetDictionary, deflate_copyright, get_crc_table, gzclearerr, gzclose, gzdopen, gzeof, gzerror, gzflush, gzgetc, gzgets, gzopen, gzprintf, gzputc, gzputs, gzread, gzrewind, gzseek, gzsetparams, gztell, gzungetc, gzwrite, inflate, inflateBack, inflateBackEnd, inflateBackInit_, inflateCopy, inflateEnd, inflateInit2_, inflateInit_, inflateReset, inflateSetDictionary, inflateSync, inflateSyncPoint, inflate_copyright, inflate_fast, inflate_table, uncompress, zError, z_errmsg, zcalloc, zcfree, zlibCompileFlags, zlibVersion
packers (Kaspersky): PE_Patch, TeLock
packers (F-Prot): TeLock

Alt 15.07.2008, 18:18   #9
badman19
 
Backdoor Agent ARK geht nicht weg - Standard

Backdoor Agent ARK geht nicht weg



Seite 2 war zuviel für 1 thread



Datei DDA20A0817.sys empfangen 2008.07.15 19:07:47 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/33 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.11.0 2008.07.15 -
AntiVir 7.8.0.68 2008.07.15 -
Authentium 5.1.0.4 2008.07.15 -
Avast 4.8.1195.0 2008.07.15 -
AVG 7.5.0.516 2008.07.15 -
BitDefender 7.2 2008.07.15 -
CAT-QuickHeal 9.50 2008.07.15 -
ClamAV 0.93.1 2008.07.15 -
DrWeb 4.44.0.09170 2008.07.15 -
eSafe 7.0.17.0 2008.07.15 -
eTrust-Vet 31.6.5956 2008.07.15 -
Ewido 4.0 2008.07.15 -
F-Prot 4.4.4.56 2008.07.14 -
F-Secure 7.60.13501.0 2008.07.15 -
Fortinet 3.14.0.0 2008.07.15 -
GData 2.0.7306.1023 2008.07.15 -
Ikarus T3.1.1.26.0 2008.07.15 -
Kaspersky 7.0.0.125 2008.07.15 -
McAfee 5338 2008.07.14 -
Microsoft 1.3704 2008.07.15 -
NOD32v2 3269 2008.07.15 -
Norman 5.80.02 2008.07.15 -
Panda 9.0.0.4 2008.07.14 -
Prevx1 V2 2008.07.15 -
Rising 20.53.12.00 2008.07.15 -
Sophos 4.31.0 2008.07.15 -
Sunbelt 3.1.1536.1 2008.07.15 -
Symantec 10 2008.07.15 -
TheHacker 6.2.96.379 2008.07.14 -
TrendMicro 8.700.0.1004 2008.07.15 -
VBA32 3.12.8.0 2008.07.15 -
VirusBuster 4.5.11.0 2008.07.15 -
Webwasher-Gateway 6.6.2 2008.07.15 -
weitere Informationen
File size: 56 bytes
MD5...: 741988c6fafb9dd1b59c1cab8499df4f
SHA1..: a9fdcddc8f0fd54518624db85d2aac45436265fb
SHA256: 56f882134887e7d5af68da1a26f38e4962e450b9bb1f2d0ca90b8d8461f2a920
SHA512: 10b8ea1913b7ca9bf6f33a7377c54205da09da56fb7bb700dde1761e892c4018
9b0119edb161d198c6ea500a24519f4de250b267f7ef11949b2bb70dde6871c9
PEiD..: -
PEInfo: -






Datei i420vfw.dll empfangen 2008.07.15 19:08:53 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/33 (3.04%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.11.0 2008.07.15 -
AntiVir 7.8.0.68 2008.07.15 -
Authentium 5.1.0.4 2008.07.15 -
Avast 4.8.1195.0 2008.07.15 -
AVG 7.5.0.516 2008.07.15 -
BitDefender 7.2 2008.07.15 -
CAT-QuickHeal 9.50 2008.07.15 -
ClamAV 0.93.1 2008.07.15 -
DrWeb 4.44.0.09170 2008.07.15 -
eSafe 7.0.17.0 2008.07.15 Suspicious File
eTrust-Vet 31.6.5956 2008.07.15 -
Ewido 4.0 2008.07.15 -
F-Prot 4.4.4.56 2008.07.14 -
F-Secure 7.60.13501.0 2008.07.15 -
Fortinet 3.14.0.0 2008.07.15 -
GData 2.0.7306.1023 2008.07.15 -
Ikarus T3.1.1.26.0 2008.07.15 -
Kaspersky 7.0.0.125 2008.07.15 -
McAfee 5338 2008.07.14 -
Microsoft 1.3704 2008.07.15 -
NOD32v2 3269 2008.07.15 -
Norman 5.80.02 2008.07.15 -
Panda 9.0.0.4 2008.07.14 -
Prevx1 V2 2008.07.15 -
Rising 20.53.12.00 2008.07.15 -
Sophos 4.31.0 2008.07.15 -
Sunbelt 3.1.1536.1 2008.07.15 -
Symantec 10 2008.07.15 -
TheHacker 6.2.96.379 2008.07.14 -
TrendMicro 8.700.0.1004 2008.07.15 -
VBA32 3.12.8.0 2008.07.15 -
VirusBuster 4.5.11.0 2008.07.15 -
Webwasher-Gateway 6.6.2 2008.07.15 -
weitere Informationen
File size: 70656 bytes
MD5...: f4d500d9adc17058f2a8c31f01fde592
SHA1..: 340dbc1db71c8925a8fe38af46ee362eb252de68
SHA256: da9ddb3a9dae6e8920eed3757941c75bc9ced7e6a0218fa3c0198956bf8d4dd8
SHA512: 84d7405ca3807c5696a8dc2d56579e6c30777153593e642dcd85c9e77a9edea1
3471b446bb77d3980c5b8549a41d6eaffb63afaabd1ca89651eab4b78f2db451
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1c43b5c0
timedatestamp.....: 0x4013ec5a (Sun Jan 25 16:18:34 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x2a000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x2b000 0x11000 0x10800 7.89 2eec384003f86ef0ff5e9470be3db06a
.rsrc 0x3c000 0x1000 0x800 3.06 f3bf055f8a72a8872c869a84f0ce1ca5

( 5 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress
> ADVAPI32.dll: RegCloseKey
> GDI32.dll: GetSystemPaletteEntries
> USER32.dll: GetDC
> WINMM.dll: DefDriverProc

( 2 exports )
DllMain, DriverProc
packers (Kaspersky): UPX
packers (F-Prot): UPX






Datei KGyGaAvL.sys empfangen 2008.07.15 19:10:03 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/33 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 5.
Geschätzte Startzeit is zwischen 56 und 80 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.11.0 2008.07.15 -
AntiVir 7.8.0.68 2008.07.15 -
Authentium 5.1.0.4 2008.07.15 -
Avast 4.8.1195.0 2008.07.15 -
AVG 7.5.0.516 2008.07.15 -
BitDefender 7.2 2008.07.15 -
CAT-QuickHeal 9.50 2008.07.15 -
ClamAV 0.93.1 2008.07.15 -
DrWeb 4.44.0.09170 2008.07.15 -
eSafe 7.0.17.0 2008.07.15 -
eTrust-Vet 31.6.5956 2008.07.15 -
Ewido 4.0 2008.07.15 -
F-Prot 4.4.4.56 2008.07.14 -
F-Secure 7.60.13501.0 2008.07.15 -
Fortinet 3.14.0.0 2008.07.15 -
GData 2.0.7306.1023 2008.07.15 -
Ikarus T3.1.1.26.0 2008.07.15 -
Kaspersky 7.0.0.125 2008.07.15 -
McAfee 5338 2008.07.14 -
Microsoft 1.3704 2008.07.15 -
NOD32v2 3269 2008.07.15 -
Norman 5.80.02 2008.07.15 -
Panda 9.0.0.4 2008.07.14 -
Prevx1 V2 2008.07.15 -
Rising 20.53.12.00 2008.07.15 -
Sophos 4.31.0 2008.07.15 -
Sunbelt 3.1.1536.1 2008.07.15 -
Symantec 10 2008.07.15 -
TheHacker 6.2.96.379 2008.07.14 -
TrendMicro 8.700.0.1004 2008.07.15 -
VBA32 3.12.8.0 2008.07.15 -
VirusBuster 4.5.11.0 2008.07.15 -
Webwasher-Gateway 6.6.2 2008.07.15 -
weitere Informationen
File size: 13766 bytes
MD5...: 48646920bcbe341b8653947d93246e36
SHA1..: 585e75812e43a37a2977ac8ee7a89df8f1154bca
SHA256: c61751bc4e9e26b206e8b1be808cd8dbeecf8c2ed72a9a9e330336d875f7e95c
SHA512: da3beb67a228844090965a3ec0affa15f669427a765a4189300472b56fc681ea
565e095ee3fd880a596c2eed28d300e6f270e863b651bc31694bb4f4b38244ba
PEiD..: -
PEInfo: -




Datei Smab.dll empfangen 2008.07.15 19:13:06 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/33 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.11.0 2008.07.15 -
AntiVir 7.8.0.68 2008.07.15 -
Authentium 5.1.0.4 2008.07.15 -
Avast 4.8.1195.0 2008.07.15 -
AVG 7.5.0.516 2008.07.15 -
BitDefender 7.2 2008.07.15 -
CAT-QuickHeal 9.50 2008.07.15 -
ClamAV 0.93.1 2008.07.15 -
DrWeb 4.44.0.09170 2008.07.15 -
eSafe 7.0.17.0 2008.07.15 -
eTrust-Vet 31.6.5956 2008.07.15 -
Ewido 4.0 2008.07.15 -
F-Prot 4.4.4.56 2008.07.14 -
F-Secure 7.60.13501.0 2008.07.15 -
Fortinet 3.14.0.0 2008.07.15 -
GData 2.0.7306.1023 2008.07.15 -
Ikarus T3.1.1.26.0 2008.07.15 -
Kaspersky 7.0.0.125 2008.07.15 -
McAfee 5338 2008.07.14 -
Microsoft 1.3704 2008.07.15 -
NOD32v2 3269 2008.07.15 -
Norman 5.80.02 2008.07.15 -
Panda 9.0.0.4 2008.07.14 -
Prevx1 V2 2008.07.15 -
Rising 20.53.12.00 2008.07.15 -
Sophos 4.31.0 2008.07.15 -
Sunbelt 3.1.1536.1 2008.07.15 -
Symantec 10 2008.07.15 -
TheHacker 6.2.96.379 2008.07.14 -
TrendMicro 8.700.0.1004 2008.07.15 -
VBA32 3.12.8.0 2008.07.15 -
VirusBuster 4.5.11.0 2008.07.15 -
Webwasher-Gateway 6.6.2 2008.07.15 -
weitere Informationen
File size: 2945024 bytes
MD5...: de12af80283b13f29cfa434167b231c9
SHA1..: 3cb88975042dc075909d2089cfe7337af0d8db67
SHA256: 6ba2b68370a7504390a050deef6ed26c47ba02fca5aea1744ee1c008e762cc2e
SHA512: a21a91dd1761b570047d006f6084d0783bc76e1e5035fe3b4699b66d6ca7a4c2
07b420b114062d60a623fb142c89f894c4d5f2d56f3d026a892f5b59f647a185
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1017bb09
timedatestamp.....: 0x441012a9 (Thu Mar 09 11:34:01 2006)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1c9c66 0x1ca000 6.61 ad371a809a0f1d874a88b06afa7fa29c
.rdata 0x1cb000 0xaaa7e 0xab000 4.98 49c5d6ba001a1c5dfc2ce62d94e8c8c7
.data 0x276000 0x4c7dc 0x1e000 5.93 98709a1a31adb7439ddacc571dc684f6
.rsrc 0x2c3000 0x41c 0x1000 3.75 1def83a5efad397eca6a9535fd238e13
.reloc 0x2c4000 0x39f5a 0x3a000 5.51 09c0ad0e97e84a3744e0fca83e2d47c2

( 8 imports )
> WSOCK32.dll: -
> ole32.dll: OleFlushClipboard, OleSetClipboard, RevokeDragDrop, ReleaseStgMedium, RegisterDragDrop, OleInitialize, OleUninitialize, CoCreateInstance, OleGetClipboard, CoLockObjectExternal
> KERNEL32.dll: SetStdHandle, GetDriveTypeA, GetFullPathNameA, MoveFileA, DeleteFileA, GetFileAttributesA, FindFirstFileA, GetFileInformationByHandle, LCMapStringA, GetStringTypeA, HeapDestroy, HeapCreate, VirtualFree, GetModuleHandleA, VirtualAlloc, HeapSize, SetHandleCount, GetStartupInfoA, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, QueryPerformanceCounter, GetTickCount, GetOEMCP, WriteConsoleA, GetConsoleOutputCP, GetTimeFormatA, GetDateFormatA, GetCurrentDirectoryA, GetLocaleInfoA, EnumSystemLocalesA, IsValidLocale, VirtualQuery, CompareStringA, SetEnvironmentVariableA, GetWindowsDirectoryA, GetSystemDirectoryA, FlushFileBuffers, GetConsoleMode, GetConsoleCP, HeapReAlloc, GetSystemTimeAsFileTime, GetTimeZoneInformation, GetProcessHeap, HeapAlloc, GetVersionExA, GetCommandLineA, RtlUnwind, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, HeapFree, InterlockedExchange, InterlockedCompareExchange, GetVersion, CreateFileA, FormatMessageA, SetEndOfFile, GlobalFree, GlobalAlloc, GlobalUnlock, GlobalLock, LocalAlloc, RaiseException, SetLastError, SetFileAttributesA, PeekNamedPipe, WriteFile, GetStdHandle, LoadLibraryA, ExitProcess, GetFileType, FreeLibrary, TerminateProcess, GetCurrentProcessId, LocalFree, GetUserDefaultLCID, GetACP, SetFileTime, FindClose, SystemTimeToFileTime, LocalFileTimeToFileTime, FileTimeToLocalFileTime, FileTimeToSystemTime, TlsAlloc, TlsFree, GetCurrentProcess, TlsGetValue, GetLastError, TlsSetValue, InterlockedDecrement, InterlockedIncrement, Sleep, GetCurrentThreadId, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, InitializeCriticalSection, GetFileSize, ReadFile, SetFilePointer, CloseHandle
> USER32.dll: DdePostAdvise, GetWindowDC, BeginPaint, EndPaint, DrawFocusRect, SetMenu, DrawIcon, GetUpdateRect, ValidateRect, CreateIconIndirect, UnionRect, CreatePopupMenu, DestroyMenu, RemoveMenu, CreateMenu, GetSubMenu, InflateRect, CopyRect, OffsetRect, ChildWindowFromPoint, DrawEdge, SetClipboardData, KillTimer, SetTimer, DdeFreeDataHandle, DdeUninitialize, DdeFreeStringHandle, DestroyIcon, GetSystemMetrics, GetIconInfo, DestroyCursor, DrawIconEx, DrawFrameControl, HideCaret, OpenClipboard, CloseClipboard, keybd_event, MapWindowPoints, CheckMenuRadioItem, CheckMenuItem, GetMenuState, SetForegroundWindow, GetForegroundWindow, DestroyAcceleratorTable, GetDlgItem, InvalidateRgn, IsWindowEnabled, IsWindowVisible, TrackPopupMenu, IsWindow, GetCapture, GetFocus, DdeNameService, UnregisterHotKey, RegisterHotKey, CallNextHookEx, GetActiveWindow, GetMenuItemCount, GetMessageTime, GetWindow, BeginDeferWindowPos, EndDeferWindowPos, GetUpdateRgn, GetSysColor, InvalidateRect, DeferWindowPos, ClientToScreen, ScreenToClient, UpdateWindow, RedrawWindow, SetParent, WindowFromPoint, GetParent, ScrollWindow, SetScrollInfo, GetScrollInfo, SetCursorPos, GetCursorPos, PtInRect, SetCursor, ReleaseCapture, SetFocus, FillRect, GetKeyState, GetDC, ReleaseDC, TranslateMessage, PostQuitMessage, MoveWindow, FlashWindow, SetWindowRgn, GetClientRect, AdjustWindowRectEx, GetSystemMenu, EnableMenuItem, DrawMenuBar, GetDesktopWindow, SetWindowPos, IsIconic, IsZoomed, ShowWindow, BringWindowToTop, GetWindowRect, DestroyWindow, DrawStateA, MessageBeep, DdeClientTransaction, DdeDisconnect, DdeGetLastError, DdeCreateDataHandle, UnhookWindowsHookEx, DdeGetData, SetCapture
> GDI32.dll: CombineRgn, CreateRectRgnIndirect, GetDeviceCaps, CreateCompatibleDC, DeleteDC, SetBrushOrgEx, CreateCompatibleBitmap, CreatePatternBrush, SetStretchBltMode, SetBkMode, SetTextColor, SetBkColor, GetBkColor, GetTextColor, GetClipBox, ExtSelectClipRgn, SetWindowOrgEx, SetViewportOrgEx, SetWindowExtEx, SetViewportExtEx, CreateSolidBrush, SetMapMode, ExtFloodFill, GetPixel, Arc, Pie, SetPixel, Polygon, SetPolyFillMode, PolyPolygon, Polyline, CreateRectRgn, RoundRect, Ellipse, PolyBezier, GetStockObject, SetROP2, SelectClipRgn, BitBlt, MaskBlt, StretchBlt, StretchDIBits, GetRgnBox, RectInRegion, LineTo, MoveToEx, GetNearestPaletteIndex, GetPaletteEntries, CreatePalette, SaveDC, RestoreDC, CreateHatchBrush, ExtCreatePen, CreatePen, CreateBitmap, PatBlt, CreateDIBSection, GetDIBits, CreateDIBitmap, GetDIBColorTable, SetAbortProc, EndDoc, StartPage, EndPage, DeleteEnhMetaFile, GetSystemPaletteEntries, SelectPalette, RealizePalette, GdiFlush, DeleteObject, SelectObject, GetRegionData, ExtCreateRegion, Rectangle, OffsetRgn
> SHELL32.dll: SHGetMalloc, DragFinish, DragQueryPoint, DragAcceptFiles, SHGetSpecialFolderLocation
> comdlg32.dll: CommDlgExtendedError
> COMCTL32.dll: ImageList_Add, ImageList_Destroy, ImageList_Create, _TrackMouseEvent, CreateStatusWindowW, -

( 65 exports )
MediaInfoA_Close, MediaInfoA_Count_Get, MediaInfoA_Delete, MediaInfoA_Get, MediaInfoA_GetI, MediaInfoA_Inform, MediaInfoA_New, MediaInfoA_New_Quick, MediaInfoA_Open, MediaInfoA_Open_Buffer, MediaInfoA_Option, MediaInfoA_Save, MediaInfoA_Set, MediaInfoA_SetI, MediaInfoA_State_Get, MediaInfoListA_Close, MediaInfoListA_Count_Get, MediaInfoListA_Count_Get_Files, MediaInfoListA_Delete, MediaInfoListA_Get, MediaInfoListA_GetI, MediaInfoListA_Inform, MediaInfoListA_New, MediaInfoListA_New_Quick, MediaInfoListA_Open, MediaInfoListA_Open_Buffer, MediaInfoListA_Option, MediaInfoListA_Save, MediaInfoListA_Set, MediaInfoListA_SetI, MediaInfoListA_State_Get, MediaInfoList_Close, MediaInfoList_Count_Get, MediaInfoList_Count_Get_Files, MediaInfoList_Delete, MediaInfoList_Get, MediaInfoList_GetI, MediaInfoList_Inform, MediaInfoList_New, MediaInfoList_New_Quick, MediaInfoList_Open, MediaInfoList_Open_Buffer, MediaInfoList_Option, MediaInfoList_Save, MediaInfoList_Set, MediaInfoList_SetI, MediaInfoList_State_Get, MediaInfo_Close, MediaInfo_Count_Get, MediaInfo_Delete, MediaInfo_Get, MediaInfo_GetI, MediaInfo_Info_Version, MediaInfo_Inform, MediaInfo_New, MediaInfo_New_Quick, MediaInfo_Open, MediaInfo_Open_Buffer, MediaInfo_Option, MediaInfo_Save, MediaInfo_Set, MediaInfo_SetI, MediaInfo_State_Get, _FillWaveFormatEx@16, _FillWaveHeader@16







Datei x.264.exe empfangen 2008.07.15 19:14:23 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 2/33 (6.07%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.11.0 2008.07.15 -
AntiVir 7.8.0.68 2008.07.15 -
Authentium 5.1.0.4 2008.07.15 -
Avast 4.8.1195.0 2008.07.15 -
AVG 7.5.0.516 2008.07.15 -
BitDefender 7.2 2008.07.15 -
CAT-QuickHeal 9.50 2008.07.15 -
ClamAV 0.93.1 2008.07.15 -
DrWeb 4.44.0.09170 2008.07.15 -
eSafe 7.0.17.0 2008.07.15 Suspicious File
eTrust-Vet 31.6.5956 2008.07.15 -
Ewido 4.0 2008.07.15 -
F-Prot 4.4.4.56 2008.07.14 -
F-Secure 7.60.13501.0 2008.07.15 -
Fortinet 3.14.0.0 2008.07.15 -
GData 2.0.7306.1023 2008.07.15 -
Ikarus T3.1.1.26.0 2008.07.15 -
Kaspersky 7.0.0.125 2008.07.15 -
McAfee 5338 2008.07.14 -
Microsoft 1.3704 2008.07.15 -
NOD32v2 3269 2008.07.15 -
Norman 5.80.02 2008.07.15 -
Panda 9.0.0.4 2008.07.14 -
Prevx1 V2 2008.07.15 -
Rising 20.53.12.00 2008.07.15 -
Sophos 4.31.0 2008.07.15 -
Sunbelt 3.1.1536.1 2008.07.15 Packed.Win32.NSAnti.e
Symantec 10 2008.07.15 -
TheHacker 6.2.96.379 2008.07.14 -
TrendMicro 8.700.0.1004 2008.07.15 -
VBA32 3.12.8.0 2008.07.15 -
VirusBuster 4.5.11.0 2008.07.15 -
Webwasher-Gateway 6.6.2 2008.07.15 -
weitere Informationen
File size: 240128 bytes
MD5...: 5fdd7d827c1cc58567367d03d24548ce
SHA1..: 9937882f96f025991634b2833c5f4bcaef70beb2
SHA256: fb38f3faf93a90cfe0b9f0c0d9317eac12c2ccedc37e3058175b6e67598e2b91
SHA512: fe03478d08a06d5aef21a76027e59d2af64e215f753988f7fb3d28f1bc1e275e
fe0d40b635700e16495dc3085d7003eca58e5ef4c7a394f9a77ebcd10e3a1cd3
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4fd0f0
timedatestamp.....: 0x422343d4 (Mon Feb 28 16:16:20 2005)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xc2000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xc3000 0x3b000 0x3a400 7.89 e48e6951c44a76c049967dc96482543b
UPX2 0xfe000 0x1000 0x200 1.41 1f7725eb8b599d9111fe0eb839e1a6d3

( 2 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> WS2_32.dll: -

( 0 exports )
packers (Kaspersky): UPX
packers (F-Prot): UPX








Datei yv12vfw.dll empfangen 2008.07.15 19:15:39 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/33 (3.04%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 42 und 60 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.11.0 2008.07.15 -
AntiVir 7.8.0.68 2008.07.15 -
Authentium 5.1.0.4 2008.07.15 -
Avast 4.8.1195.0 2008.07.15 -
AVG 7.5.0.516 2008.07.15 -
BitDefender 7.2 2008.07.15 -
CAT-QuickHeal 9.50 2008.07.15 -
ClamAV 0.93.1 2008.07.15 -
DrWeb 4.44.0.09170 2008.07.15 -
eSafe 7.0.17.0 2008.07.15 Suspicious File
eTrust-Vet 31.6.5956 2008.07.15 -
Ewido 4.0 2008.07.15 -
F-Prot 4.4.4.56 2008.07.14 -
F-Secure 7.60.13501.0 2008.07.15 -
Fortinet 3.14.0.0 2008.07.15 -
GData 2.0.7306.1023 2008.07.15 -
Ikarus T3.1.1.26.0 2008.07.15 -
Kaspersky 7.0.0.125 2008.07.15 -
McAfee 5338 2008.07.14 -
Microsoft 1.3704 2008.07.15 -
NOD32v2 3269 2008.07.15 -
Norman 5.80.02 2008.07.15 -
Panda 9.0.0.4 2008.07.14 -
Prevx1 V2 2008.07.15 -
Rising 20.53.12.00 2008.07.15 -
Sophos 4.31.0 2008.07.15 -
Sunbelt 3.1.1536.1 2008.07.15 -
Symantec 10 2008.07.15 -
TheHacker 6.2.96.379 2008.07.14 -
TrendMicro 8.700.0.1004 2008.07.15 -
VBA32 3.12.8.0 2008.07.15 -
VirusBuster 4.5.11.0 2008.07.15 -
Webwasher-Gateway 6.6.2 2008.07.15 -
weitere Informationen
File size: 70656 bytes
MD5...: 7029a7634c8dfa8ee619e79b1b9a378f
SHA1..: 2126dc5c319feb0b0f543216c64d242a5067f560
SHA256: edc075d9117c6bf52cb4079e21cc3b858d4977dd0abedc852dcc840b4231044e
SHA512: 59f8e78df1c20861c2a61659d25c08adc5bee9c261428b97f3e7c528499dd9b0
17beff4112cae4ec27784955eca8a9471086eee1829078956ef92028d67d3afc
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1c43b5c0
timedatestamp.....: 0x4013ec64 (Sun Jan 25 16:18:44 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x2a000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x2b000 0x11000 0x10800 7.89 a08561376366ce19e6e9b9a53fba7949
.rsrc 0x3c000 0x1000 0x800 3.06 c03ab8f7b4672cd84462034833dd63ef

( 5 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress
> ADVAPI32.dll: RegCloseKey
> GDI32.dll: GetSystemPaletteEntries
> USER32.dll: GetDC
> WINMM.dll: DefDriverProc

( 2 exports )
DllMain, DriverProc
packers (Kaspersky): UPX
packers (F-Prot): UPX




sooo das waremn die scans von der seite nun mach ich das mit dem SDFix

Alt 15.07.2008, 18:35   #10
Sunny
Administrator
> Competence Manager
 

Backdoor Agent ARK geht nicht weg - Standard

Backdoor Agent ARK geht nicht weg



Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
ATTFilter
FILE::
C:\WINDOWS\system32\i420vfw.dll
C:\WINDOWS\system32\x.264.exe
C:\WINDOWS\system32\yv12vfw.dll
C:\WINDOWS\system32\Qrfno8w7.exe
C:\WINDOWS\system32\cygz.dll
C:\WINDOWS\Prefetch\QRFNO8W7.EXE-3B783162.pf
C:\WINDOWS\Prefetch\WLLOGINPROXY.EXE-037D8997.pf
C:\WINDOWS\system32\2Ife6rem.exe
         
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann




Malwarebytes' Anti-Malware
  • Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 15.07.2008, 19:00   #11
badman19
 
Backdoor Agent ARK geht nicht weg - Standard

Backdoor Agent ARK geht nicht weg



soo Auswertung von SDFix




SDFix: Version 1.205
Run by USER on 15.07.2008 at 19:30

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\DOKUME~1\USER\Desktop\SDFix\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-15 19:45:05
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Vax347s\Config\jdgg40]
"ujdew"=hex:20,02,00,00,38,55,24,02,44,63,a8,05,40,3e,16,26,c2,40,4f,36,35,..
"ljej40"=hex:de,0c,99,c0,ef,63,00,52,c7,0d,58,42,a4,ec,f5,f9,bc,fc,2f,5e,29,..
"ljej41"=hex:40,0c,99,c0,97,63,00,52,c6,0d,59,42,a5,ec,f5,f9,bc,fc,2f,5e,63,..
"ljej42"=hex:40,0c,99,c0,97,63,00,52,c6,0d,59,42,a5,ec,f5,f9,bc,fc,2f,5e,63,..
"ljej43"=hex:40,0c,99,c0,97,63,00,52,c6,0d,59,42,a5,ec,f5,f9,bc,fc,2f,5e,63,..
"ljej44"=hex:40,0c,99,c0,97,63,00,52,c6,0d,59,42,a5,ec,f5,f9,bc,fc,2f,5e,63,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Vax347s\Config\jdgg41]
"ujdew"=hex:20,02,00,00,38,55,24,02,b8,13,7c,21,40,3e,16,26,f8,40,4f,36,35,..
"ljej40"=hex:f4,0c,99,c0,ef,63,00,52,c7,0d,58,42,a4,ec,f5,f9,bc,fc,2f,5e,b6,..
"ljej41"=hex:40,0c,99,c0,97,63,00,52,c6,0d,59,42,a5,ec,f5,f9,bc,fc,2f,5e,63,..
"ljej42"=hex:40,0c,99,c0,97,63,00,52,c6,0d,59,42,a5,ec,f5,f9,bc,fc,2f,5e,63,..
"ljej43"=hex:40,0c,99,c0,97,63,00,52,c6,0d,59,42,a5,ec,f5,f9,bc,fc,2f,5e,63,..
"ljej44"=hex:40,0c,99,c0,97,63,00,52,c6,0d,59,42,a5,ec,f5,f9,bc,fc,2f,5e,63,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]
"OODEFRAG08.00.00.01WORKSTATION"="BD537BD6D8A745032B5E90DF30009DE411203EBC3BEC34EA812864915046FDC05CBD1A694F4C03E4D2B60D227BB348F6852F6B1E56F840D42F0A E9C6980C5985DD3ACA652FC80CF33B6C80C5D2BD09FD6D725AA8A6C6E6537B83470C6D75F21C4A4F9CB948C57F7928DB7C368F2D4E5163383D68AE6C06E87AFB6EA79ABC3956D096E40BD1 FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C8EDD5E5BE2F6E667C038D530D6EB34528EDD5E5BE2F6E667A2D972 26D213B5552FA7AC066CA0D00F7EB349D43FC55AFA39ADDD929D6290BC35B23BCBD7FE4B721CAC59E455C11AEA1ADBC84F5BFE9228CD676ADAAED5FA701B09FD860CDD3CF2B940FDF4DDE8 25F9251BCBDE524F03AB500AAD263CCB015CAF4A9B64C271DDF495D8D523E02273DF52795B0AB6A18A13364E9FB2A9B37B975080957D57C6A6369070137E503BB6A6AA02F5F6AEA7B6CECC F028E173BBF69A2DB8638AB7313F5BE286D63B2F4854B706450BF371D34CB5B233263A26DA3546CB83F06BE9C607EA939C3B3116A0E766945601724E6042815D58EAE4644A295C83789C24 82600ED181BA4B5CB1DEBEE459CDAE86A647C34E13293EB06487FC8202B0B8D92E1E99DCDD6A07DCC0615CCD2A4663E96D4A309E70F3581071510CC449490E592BDF2542303B63779ACDF7 1C33DFDEF72E6D9CD66587E79668AF660F2B64D5104E4D5C9750BEC791A408FB2F713DD63384F74FC0B53A107FBD6A5135D228BF907D51A0596D0D8FB95C3E84CD39877440247744097762 652AF38EC5EC3DBC6F93B597886688408C1E525EE61FB06A53E7CF3AA9C3195FF19529EE6FD2B8507B7203935D02777681932A1A282F53158616E1D5E4E25810B46A8A9D2F626C156E2D0C FB9CD3E4D226909BEA046FEDB9125DC6218D424AD81FF058F6990050414765074B7867CC7BA733F30AE7B326926EF0813AEC1DD52417976B157770310D7AE23EBD55AB821C25BA947976B3 705988AA26008497B65D77EEADDBC4DF2F376D909257CC742BE2B20A6E78860D984E4387DD9607B5FD750D2F1B6FB2DB41007C7CF5DC2C79C08159298D12A2BF3D36F12866E55D5F8DE09A 3149B725D5AD2FF4DA6F597655912F13C40C0E89B05056DE51919B21649E1855725BE3B426120D9C821C9B6007BD27D2AC99FDACA69AFCC4EBC325A275BC98E8150F64AD06DF67A76CAAB3 D2743C2879D3FB343450B4F65786F53A662747E2725F2F6D91145A8FC239DCF86C6157F3E1538BC6F9BB8E1BBA4FB550A2F371FA04BBA07914D29C5C0C2C0B06FD7C2C52D566B3928BDE6B BE861D25A3C23844E8A23657C49E2811A596AAA0398CD2AC0C16ED75B62D1161BDC967F8B566361CBAC902DFD0CC5FF94BEAC01D3453D99EF1D76CE39454905AF885"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}]
"DisplayName"="Alcohol 120%"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000078

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\FlashFXP\\flashfxp.exe"="C:\\Programme\\FlashFXP\\flashfxp.exe:*:Enabled:FlashFXP v3"
"C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\FlashFXP\\flashfxp.exe"="C:\\Programme\\FlashFXP\\flashfxp.exe:*:Enabled:FlashFXP v3"
"C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

Remaining Files :



Files with Hidden Attributes :

Fri 13 May 2005 217,073 A.SHR --- "C:\WINDOWS\meta4.exe"
Mon 24 Oct 2005 66,560 A.SHR --- "C:\WINDOWS\MOTA113.exe"
Sun 1 Jun 2008 24 ..SH. --- "C:\WINDOWS\SDA07DFFE.tmp"
Thu 13 Oct 2005 422,400 A.SHR --- "C:\WINDOWS\x2.64.exe"
Thu 21 Dec 2006 72,192 ..SHR --- "C:\Programme\SUPER\Setup.exe"
Wed 11 Jan 2006 16,896 A.SHR --- "C:\Programme\SUPER\_Setup.dll"
Fri 20 Jun 2008 351,744 A.SH. --- "C:\WINDOWS\system32\avisynth.dll"
Thu 14 Jul 2005 27,648 A.SHR --- "C:\WINDOWS\system32\AVSredirect.dll"
Sun 26 Jun 2005 616,448 A.SHR --- "C:\WINDOWS\system32\cygwin1.dll"
Tue 21 Jun 2005 45,568 A.SHR --- "C:\WINDOWS\system32\cygz.dll"
Mon 12 Feb 2007 56 ..SHR --- "C:\WINDOWS\system32\DDA20A0817.sys"
Sun 25 Jan 2004 70,656 A.SHR --- "C:\WINDOWS\system32\i420vfw.dll"
Mon 12 Feb 2007 13,766 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Thu 27 Apr 2006 2,945,024 A.SHR --- "C:\WINDOWS\system32\Smab.dll"
Mon 28 Feb 2005 240,128 A.SHR --- "C:\WINDOWS\system32\x.264.exe"
Sun 25 Jan 2004 70,656 A.SHR --- "C:\WINDOWS\system32\yv12vfw.dll"
Wed 22 Dec 2004 76,568 ..SHR --- "C:\Programme\Autodesk\Autodesk DWF Viewer\Setup.exe"
Wed 22 Dec 2004 17,408 A.SHR --- "C:\Programme\Autodesk\Autodesk DWF Viewer\_Setup.dll"
Thu 20 Jan 2005 11,344 A.SHR --- "C:\Programme\Autodesk\Autodesk DWF Viewer\_Setupx.dll"
Mon 4 Oct 2004 417,792 A..H. --- "C:\Programme\Canon\Canon Setup Utility 2.3\Maint.exe"
Thu 27 May 2004 61,440 A..H. --- "C:\Programme\Canon\Canon Setup Utility 2.3\uinstrsc.dll"
Tue 4 Jun 2002 84,992 ...HR --- "C:\Programme\SUPER\mencoder\14_43260.dll"
Tue 4 Jun 2002 44,032 ...HR --- "C:\Programme\SUPER\mencoder\28_83260.dll"
Tue 10 Dec 2002 73,766 ...HR --- "C:\Programme\SUPER\mencoder\atrc3260.dll"
Tue 10 Dec 2002 65,575 ...HR --- "C:\Programme\SUPER\mencoder\cook3260.dll"
Tue 4 Jun 2002 20,480 ...HR --- "C:\Programme\SUPER\mencoder\dnet3260.dll"
Tue 10 Dec 2002 176,165 ...HR --- "C:\Programme\SUPER\mencoder\drv23260.dll"
Tue 10 Dec 2002 94,208 ...HR --- "C:\Programme\SUPER\mencoder\drv33260.dll"
Tue 10 Dec 2002 217,127 ...HR --- "C:\Programme\SUPER\mencoder\drv43260.dll"
Sun 4 Nov 2001 225,280 ...HR --- "C:\Programme\SUPER\mencoder\ivvideo.dll"
Tue 10 Apr 2001 225,280 ...HR --- "C:\Programme\SUPER\mencoder\qtmlClient.dll"
Fri 20 Feb 2004 548,940 ...HR --- "C:\Programme\SUPER\mencoder\raac.dll"
Tue 10 Dec 2002 102,439 ...HR --- "C:\Programme\SUPER\mencoder\sipr3260.dll"
Sat 27 Oct 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv02.tmp"

Finished!





und Aktuelle Hijackthis:
ijackthis
Logfile of HijackThis v1.99.1
Scan saved at 19:55:57, on 15.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\HDDSvc.exe
C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Programme\UltraMon\UltraMon.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Programme\Security Task Manager\SpyProtector.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Dokumente und Einstellungen\******\Desktop\G15\G15N\G15NetSpeed\G15NetSpeed.exe
C:\Programme\ICQPlus\vplus.exe
C:\Programme\UltraMon\UltraMonTaskbar.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.koeln.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [UltraMon] "C:\Programme\UltraMon\UltraMon.exe" /auto
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Spy Protector] C:\Programme\Security Task Manager\SpyProtector.exe /autostart
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\REFIEBAR.DLL
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://download.divx.com/webplayer/stage6/windows/DivXBrowserPlugin.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: HDD Information Service (HDDSvc) - AltrixSoft (h**p://www.altrixsoft.com/) - C:\WINDOWS\system32\HDDSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - C:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing)
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe (file missing)
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)




atm läuft diese 2Ife6rem.exe nicht unter prozesse aber sie ist noch im system 32 ordner
naja ich mache nun noch das was du in deinem letzten post geschrieben hast....

Alt 15.07.2008, 19:19   #12
badman19
 
Backdoor Agent ARK geht nicht weg - Standard

Backdoor Agent ARK geht nicht weg



soo Combo Fix Log



ComboFix 08-07-14.2 - ****** 2008-07-15 20:03:20.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1499 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\******\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\******\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\Prefetch\QRFNO8W7.EXE-3B783162.pf
C:\WINDOWS\Prefetch\WLLOGINPROXY.EXE-037D8997.pf
C:\WINDOWS\system32\2Ife6rem.exe
C:\WINDOWS\system32\cygz.dll
C:\WINDOWS\system32\i420vfw.dll
C:\WINDOWS\system32\Qrfno8w7.exe
C:\WINDOWS\system32\x.264.exe
C:\WINDOWS\system32\yv12vfw.dll
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\Prefetch\QRFNO8W7.EXE-3B783162.pf
C:\WINDOWS\Prefetch\WLLOGINPROXY.EXE-037D8997.pf
C:\WINDOWS\system32\2Ife6rem.exe
C:\WINDOWS\system32\cygz.dll
C:\WINDOWS\system32\i420vfw.dll
C:\WINDOWS\system32\Qrfno8w7.exe
C:\WINDOWS\system32\x.264.exe
C:\WINDOWS\system32\yv12vfw.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-15 bis 2008-07-15 ))))))))))))))))))))))))))))))
.

2008-07-15 19:25 . 2008-07-15 19:25 <DIR> d-------- C:\WINDOWS\ERUNT
2008-07-15 18:33 . 2008-07-15 18:33 0 --a------ C:\WINDOWS\LCDMedia.INI
2008-07-15 18:22 . 2008-07-15 18:22 <DIR> d-------- C:\Programme\CCleaner
2008-07-15 16:46 . 2008-07-15 16:46 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-15 16:46 . 2008-07-15 16:46 <DIR> d-------- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Malwarebytes
2008-07-15 16:46 . 2008-07-15 16:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-15 16:46 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-15 16:46 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-14 17:16 . 2008-07-14 17:16 <DIR> d-------- C:\Dokumente und Einstellungen\******\Anwendungsdaten\PC Tools
2008-07-14 17:16 . 2008-06-10 21:22 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-07-14 17:16 . 2008-06-02 15:19 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-07-14 17:16 . 2008-06-02 15:19 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-07-14 17:16 . 2008-06-02 15:19 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-07-14 17:00 . 2008-07-14 17:00 <DIR> dr------- C:\Dokumente und Einstellungen\NetworkService\Favoriten
2008-07-14 16:30 . 2008-07-15 19:20 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-07-14 16:29 . 2008-07-15 04:26 <DIR> d-------- C:\Programme\Spyware Doctor
2008-07-13 20:20 . 2008-07-13 20:20 <DIR> d-------- C:\Dokumente und Einstellungen\******\Anwendungsdaten\vlc
2008-07-12 13:09 . 2008-07-12 13:09 <DIR> d-------- C:\Programme\Lavasoft
2008-07-12 13:09 . 2008-07-12 13:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-07-11 00:42 . 2008-07-11 00:42 31,287 --a------ C:\automation3-scripts-r421.zip
2008-07-10 21:37 . 2008-07-11 00:54 <DIR> d-------- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Aegisub
2008-07-10 21:35 . 2008-07-10 21:36 <DIR> d-------- C:\Programme\Aegisub 2.1.2
2008-07-01 18:56 . 2008-07-01 19:04 139,264 --a------ C:\WINDOWS\War3Unin.exe
2008-07-01 18:56 . 2008-07-01 20:33 69,123 --a------ C:\WINDOWS\War3Unin.dat
2008-07-01 18:56 . 2008-07-01 19:04 2,829 --a------ C:\WINDOWS\War3Unin.pif
2008-06-26 16:09 . 2000-04-27 12:31 19,456 --------- C:\WINDOWS\system32\asapi.dll
2008-06-26 16:09 . 2002-04-17 20:27 11,264 --------- C:\WINDOWS\system32\drivers\asapiW2k.sys
2008-06-26 16:08 . 1998-11-02 19:57 196,096 --------- C:\WINDOWS\system32\MACD32.DLL
2008-06-26 16:08 . 1998-11-02 19:57 138,752 --------- C:\WINDOWS\system32\MASE32.DLL
2008-06-26 16:08 . 1998-11-02 19:57 136,192 --------- C:\WINDOWS\system32\MAMC32.DLL
2008-06-26 16:08 . 1998-11-02 19:57 57,856 --------- C:\WINDOWS\system32\MASD32.DLL
2008-06-26 16:08 . 2005-11-18 09:51 41,472 --------- C:\WINDOWS\system32\CacheX.dll
2008-06-26 16:08 . 1998-11-02 19:57 27,648 --------- C:\WINDOWS\system32\MA32.DLL
2008-06-26 16:03 . 2008-06-26 16:03 <DIR> d-------- C:\WINDOWS\Cache
2008-06-26 16:03 . 2003-03-19 04:04 765,952 --------- C:\WINDOWS\system32\msvcp71d.dll
2008-06-26 16:03 . 2003-03-19 04:03 544,768 --------- C:\WINDOWS\system32\msvcr71d.dll
2008-06-26 16:02 . 2000-04-11 18:44 85,504 --------- C:\WINDOWS\system32\lame_enc.dll
2008-06-26 16:01 . 2008-06-26 16:01 <DIR> d-------- C:\Programme\Movielink
2008-06-26 14:07 . 2008-06-26 14:07 63 --a------ C:\WINDOWS\PixieTool.INI
2008-06-26 14:05 . 2008-06-26 16:19 <DIR> d-------- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Pinnacle Systems
2008-06-26 14:02 . 2002-01-05 13:40 487,424 --------- C:\WINDOWS\system32\MSVCP70.DLL
2008-06-26 14:02 . 2004-11-04 09:54 471,040 --------- C:\WINDOWS\system32\HHActiveX.dll
2008-06-26 14:02 . 2002-01-05 12:18 84,992 --------- C:\WINDOWS\system32\ATL70.DLL
2008-06-26 14:02 . 2002-01-05 13:38 54,784 --------- C:\WINDOWS\system32\MSVCI70.DLL
2008-06-26 14:01 . 2008-06-26 16:03 <DIR> d-------- C:\Programme\Pinnacle
2008-06-26 14:01 . 2008-06-26 14:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle
2008-06-20 06:40 . 2008-06-20 06:40 351,744 --ahs---- C:\WINDOWS\system32\avisynth.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-15 16:33 --------- d-----w C:\Programme\ICQ
2008-07-15 14:11 --------- d-----w C:\Dokumente und Einstellungen\******\Anwendungsdaten\Skype
2008-07-15 14:03 --------- d-----w C:\Dokumente und Einstellungen\******\Anwendungsdaten\skypePM
2008-07-14 15:38 --------- d-----w C:\Dokumente und Einstellungen\******\Anwendungsdaten\dvdcss
2008-07-14 15:36 --------- d-----w C:\Programme\Security Task Manager
2008-07-14 15:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-07-13 20:59 --------- d-----w C:\Programme\Pre It!
2008-07-13 19:37 --------- d-----w C:\Programme\DVD-RB PRO 1.26.6
2008-07-13 18:42 --------- d-----w C:\Programme\Hard Drive Inspector
2008-07-12 12:02 --------- d-----w C:\Programme\FTPRush
2008-07-12 11:07 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-10 19:44 --------- d-----w C:\Programme\Winsubtitler
2008-06-26 14:03 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-08 19:40 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-06-07 09:18 9,282 ----a-w C:\WINDOWS\system32\Pvt.tmp
2008-06-07 09:18 34,308 ----a-w C:\WINDOWS\system32\Chip.dll
2008-06-06 13:47 --------- d-----w C:\Programme\thriXXX
2008-05-29 21:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-05-29 14:00 --------- d-----w C:\Programme\PhotoRescue Advanced PC
2008-05-29 13:56 --------- d-----w C:\Programme\IrfanView
2008-05-23 10:25 --------- d-----w C:\Programme\FlashFXP
2008-05-20 20:19 --------- d-----w C:\Programme\SystemRequirementsLab
2008-05-18 21:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-04-30 20:16 73,216 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-04-30 20:16 286,720 ------w C:\WINDOWS\Setup1.exe
2005-05-13 16:12 217,073 --sha-r C:\WINDOWS\meta4.exe
2005-10-24 10:13 66,560 --sha-r C:\WINDOWS\MOTA113.exe
2005-10-13 20:27 422,400 --sha-r C:\WINDOWS\x2.64.exe
2005-07-14 11:31 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll
2005-06-26 14:32 616,448 --sha-r C:\WINDOWS\system32\cygwin1.dll
2007-02-12 17:38 56 --sh--r C:\WINDOWS\system32\DDA20A0817.sys
2007-02-12 17:38 13,766 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2006-04-27 09:24 2,945,024 --sha-r C:\WINDOWS\system32\Smab.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ Plus"="C:\Programme\ICQPlus\vplus.exe" [2002-12-04 05:32 11776]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04 1415824]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 14:00 15360]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2005-11-15 20:14 1204224]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-06 01:07 61440]
"Launch LGDCore"="C:\Programme\Logitech\G-series Software\LGDCore.exe" [2006-03-06 15:31 1122304]
"Launch LCDMon"="C:\Programme\Logitech\G-series Software\LCDMon.exe" [2006-03-06 15:14 497152]
"EPSON Stylus DX3800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 06:00 98304]
"UltraMon"="C:\Programme\UltraMon\UltraMon.exe" [2005-05-14 18:23 187904]
"LanguageShortcut"="C:\Programme\CyberLink\PowerDVD\Language\Language.exe" [2007-10-11 13:06 62760]
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 21:21 57344]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-11-10 17:06 406016]
"Spy Protector"="C:\Programme\Security Task Manager\SpyProtector.exe" [2008-06-24 17:46 114248]
"SoundMan"="SOUNDMAN.EXE" [2004-07-27 17:01 68096 C:\WINDOWS\SOUNDMAN.EXE]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-10-21 14:28 29696 C:\WINDOWS\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-11-11 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"VIDC.YV12"= yv12vfw.dll
"vidc.ffds"= C:\Programme\Combined Community Codec Pack\Filters\ffdshow.ax
"vidc.wmv3"= C:\PROGRA~1\COMBIN~1\Filters\wmv9vcm.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"msacm.divxa32"= DivXa32.acm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Easy-PrintToolBox]
--a------ 2004-01-14 03:10 409600 C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-27 01:47 31016 C:\Programme\Microsoft Office\Office 2007\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
--a------ 2005-11-15 20:14 1204224 C:\Programme\Microsoft ActiveSync\wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IncrediMail]
--a------ 2006-09-17 13:16 204843 C:\Programme\IncrediMail\bin\IncMail.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ImapiService"=3 (0x3)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
"Steam"="D:\Games\Steam\Steam.exe" -silent
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"RemoteControl"=C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
"Mirabilis ICQ"=C:\Programme\ICQ\ICQNet.exe
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
"MSConfig"=C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"SolidWorks_CheckForUpdates"="C:\Programme\Gemeinsame Dateien\SolidWorks Installations-Manager\Scheduler\sldIMScheduler.exe" /scheduler
"HDInspector.exe"=C:\Programme\Hard Drive Inspector\HDInspector.exe
"BDRegion"=C:\Programme\Cyberlink\Shared Files\brs.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\FlashFXP\\flashfxp.exe"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 uliagpkx;ULi AGP Bus Filter Driver;C:\WINDOWS\system32\DRIVERS\agpkx.sys [2005-05-03 17:31]
R1 Cinemsup;Cinemsup;C:\WINDOWS\system32\drivers\cinemsup.sys [2002-07-19 08:10]
R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};C:\Programme\CyberLink\PowerDVD\000.fcl [2007-11-03 01:12]
R2 UltraMonUtility;UltraMon Utility Driver;C:\Programme\Gemeinsame Dateien\Realtime Soft\UltraMonMirrorDrv\x32\UltraMonUtility.sys [2005-06-02 13:54]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-11-11 14:00]
R2 VmodeNT;VmodeNT;C:\WINDOWS\system32\drivers\VmodeNT.sys [2003-07-03 04:18]
R3 SKYNET;TechniSat DVB-PC TV Star PCI;C:\WINDOWS\system32\DRIVERS\SkyNET.SYS [2006-03-14 03:22]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;C:\WINDOWS\system32\DRIVERS\ULILAN51.SYS [2005-03-22 20:36]
R3 UltraMonMirror;UltraMonMirror;C:\WINDOWS\system32\DRIVERS\UltraMonMirror.sys [2005-05-14 18:41]
S1 amdtools;AMD Special Tools Driver;C:\WINDOWS\system32\DRIVERS\amdtools.sys []
S3 DM9USB;DM9601 USB To Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\dm9usb.sys [2006-12-29 05:41]
S3 r_server;Remote Administrator Service;C:\WINDOWS\system32\r_server.exe [2004-06-23 21:03]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c54c4e14-b60a-11dc-83f2-00138f73ec6a}]
\Shell\AutoRun\command - wd_windows_tools\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cebcbd41-28bc-11db-8d7e-806d6172696f}]
\Shell\AutoRun\command - E:\SETUP.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cebcbd42-28bc-11db-8d7e-806d6172696f}]
\Shell\AutoRun\command - F:\setup.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-07-11 15:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-07-14 22:07:02 C:\WINDOWS\Tasks\At1.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 07:00:01 C:\WINDOWS\Tasks\At10.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 08:00:02 C:\WINDOWS\Tasks\At11.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 09:00:01 C:\WINDOWS\Tasks\At12.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 10:00:09 C:\WINDOWS\Tasks\At13.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 11:00:02 C:\WINDOWS\Tasks\At14.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 12:00:03 C:\WINDOWS\Tasks\At15.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 13:00:04 C:\WINDOWS\Tasks\At16.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 14:00:02 C:\WINDOWS\Tasks\At17.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 15:00:10 C:\WINDOWS\Tasks\At18.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 16:00:02 C:\WINDOWS\Tasks\At19.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-14 23:00:03 C:\WINDOWS\Tasks\At2.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 17:00:07 C:\WINDOWS\Tasks\At20.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 18:00:01 C:\WINDOWS\Tasks\At21.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-14 19:00:08 C:\WINDOWS\Tasks\At22.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-14 20:00:06 C:\WINDOWS\Tasks\At23.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-14 21:00:02 C:\WINDOWS\Tasks\At24.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 00:00:02 C:\WINDOWS\Tasks\At3.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 01:00:01 C:\WINDOWS\Tasks\At4.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 02:00:02 C:\WINDOWS\Tasks\At5.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 03:00:02 C:\WINDOWS\Tasks\At6.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 04:00:12 C:\WINDOWS\Tasks\At7.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 00:29:05 C:\WINDOWS\Tasks\At73.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 00:29:05 C:\WINDOWS\Tasks\At74.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 00:29:05 C:\WINDOWS\Tasks\At75.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 01:00:10 C:\WINDOWS\Tasks\At76.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 02:00:10 C:\WINDOWS\Tasks\At77.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 03:00:10 C:\WINDOWS\Tasks\At78.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 04:00:18 C:\WINDOWS\Tasks\At79.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 05:00:02 C:\WINDOWS\Tasks\At8.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 05:00:10 C:\WINDOWS\Tasks\At80.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 06:00:10 C:\WINDOWS\Tasks\At81.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 07:00:10 C:\WINDOWS\Tasks\At82.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 08:00:10 C:\WINDOWS\Tasks\At83.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 09:00:10 C:\WINDOWS\Tasks\At84.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 10:00:16 C:\WINDOWS\Tasks\At85.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 11:00:10 C:\WINDOWS\Tasks\At86.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 12:00:11 C:\WINDOWS\Tasks\At87.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 13:00:11 C:\WINDOWS\Tasks\At88.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 14:34:25 C:\WINDOWS\Tasks\At89.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 06:00:08 C:\WINDOWS\Tasks\At9.job"
- C:\WINDOWS\system32\Qrfno8w7.exe
"2008-07-15 15:00:14 C:\WINDOWS\Tasks\At90.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 16:46:01 C:\WINDOWS\Tasks\At91.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 17:06:30 C:\WINDOWS\Tasks\At92.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 18:03:34 C:\WINDOWS\Tasks\At93.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 00:29:36 C:\WINDOWS\Tasks\At94.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 00:29:39 C:\WINDOWS\Tasks\At95.job"
- C:\WINDOWS\system32\2Ife6rem.exe
"2008-07-15 00:29:43 C:\WINDOWS\Tasks\At96.job"
- C:\WINDOWS\system32\2Ife6rem.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-15 20:04:27
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
"ImagePath"="\??\C:\Programme\CyberLink\PowerDVD\000.fcl"
.
Zeit der Fertigstellung: 2008-07-15 20:07:13
ComboFix-quarantined-files.txt 2008-07-15 18:06:56
ComboFix2.txt 2008-07-15 16:43:44

10 Verzeichnis(se), 129,626,112 Bytes frei
13 Verzeichnis(se), 118,243,328 Bytes frei

322 --- E O F --- 2008-03-07 19:00:31




Nun mach ich nochmal malware scan

Alt 15.07.2008, 19:30   #13
badman19
 
Backdoor Agent ARK geht nicht weg - Standard

Backdoor Agent ARK geht nicht weg



Malwarebytes' Anti-Malware 1.20
Datenbank Version: 951
Windows 5.1.2600 Service Pack 2

20:27:05 15.07.2008
mbam-log-7-15-2008 (20-27-05).txt

Scan Art: Schnell Scan
Objekte gescannt: 44286
Scan Dauer: 7 minute(s), 29 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)


und nochmal hijackthis:


Logfile of HijackThis v1.99.1
Scan saved at 20:28:55, on 15.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\HDDSvc.exe
C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Programme\UltraMon\UltraMon.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Dokumente und Einstellungen\USHMSSJ\Desktop\G15\G15N\G15NetSpeed\G15NetSpeed.exe
C:\Programme\UltraMon\UltraMonTaskbar.exe
C:\Programme\Security Task Manager\SpyProtector.exe
C:\Programme\ICQPlus\vplus.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.koeln.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [UltraMon] "C:\Programme\UltraMon\UltraMon.exe" /auto
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Spy Protector] C:\Programme\Security Task Manager\SpyProtector.exe /autostart
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\REFIEBAR.DLL
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/webplayer/stage6/windows/DivXBrowserPlugin.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: HDD Information Service (HDDSvc) - AltrixSoft (http://www.altrixsoft.com/) - C:\WINDOWS\system32\HDDSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - C:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing)
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe (file missing)
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)





Scheint nun Alles i.O. zu seine !!!!! Ich -> <- Sunny


DANKE!!!!
oder soll ich nochwas machen ?

Alt 16.07.2008, 06:12   #14
badman19
 
Backdoor Agent ARK geht nicht weg - Standard

Backdoor Agent ARK geht nicht weg



'Morgen....

Ich habe mich leider zufrüh gefreut... er ist wieder da....

Gestern schien alles weg zu sein
als ich aber grade Monitor wieder anmachte waren wieder 2 iexplorer fenster offen und die 2Ifre6rem.exe lief wieder ;(

hier wieder Aktuelle HijackThis log ....





Logfile of HijackThis v1.99.1
Scan saved at 07:09:22, on 16.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\HDDSvc.exe
C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Programme\UltraMon\UltraMon.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Dokumente und Einstellungen\******\Desktop\G15\G15N\G15NetSpeed\G15NetSpeed.exe
C:\Programme\UltraMon\UltraMonTaskbar.exe
C:\Programme\ICQPlus\vplus.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\FTPRush\ftprush.exe
C:\Dokumente und Einstellungen\******\Desktop\******\NoD-ScRiPt-2\mirc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\ICQ\Icq.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\VideoLAN\VLC\vlc.exe
C:\WINDOWS\system32\2Ife6rem.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.koeln.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [UltraMon] "C:\Programme\UltraMon\UltraMon.exe" /auto
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\Icq.exe -trayboot
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\REFIEBAR.DLL
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://download.divx.com/webplayer/stage6/windows/DivXBrowserPlugin.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\OFFICE~1\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: HDD Information Service (HDDSvc) - AltrixSoft (h**p://www.altrixsoft.com/) - C:\WINDOWS\system32\HDDSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - C:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing)
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe (file missing)
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)




Was nu ;( ?

Antwort

Themen zu Backdoor Agent ARK geht nicht weg
ad-aware, adobe, backdoor, bho, browser, desktop, drivers, einstellungen, excel, firefox, helfen, hijack, hijackthis, immer wieder, internet, internet explorer, konvertieren, launch, mozilla, mozilla firefox, mssql, object, pdf-datei, prozess, schädling, security, senden, software, system, usb, werbung, windows, windows xp




Ähnliche Themen: Backdoor Agent ARK geht nicht weg


  1. Booten langsam, Drucker geht...geht nicht,Programme öffnen geht...geht nicht
    Plagegeister aller Art und deren Bekämpfung - 25.06.2015 (19)
  2. Trojanerproblem : Backdoor.Agent und Trojaner.Agent
    Log-Analyse und Auswertung - 06.06.2013 (8)
  3. Backdoor.Fynloski / Trojan.Agent / PUM.UserWLoad (msszfa.exe) lässt sicht nicht in Regedit löschen/ändern
    Plagegeister aller Art und deren Bekämpfung - 16.04.2013 (18)
  4. Mit Malwarebytes Backdoor/Agent ; Trojaner/Agent gefunden. Was Tun?
    Log-Analyse und Auswertung - 05.03.2013 (18)
  5. Backdoor.Agent - Avira Antivirus Meldung, Malwarebytes kann nicht entfernen
    Log-Analyse und Auswertung - 05.01.2012 (7)
  6. backdoor.Trojaner und er geht nicht weg
    Plagegeister aller Art und deren Bekämpfung - 02.01.2012 (4)
  7. Win7 herunterfahren Button reagiert nicht, strg+alt+entf geht nicht mehr & cmd.exe geht nicht auf
    Plagegeister aller Art und deren Bekämpfung - 15.12.2011 (25)
  8. Malwarebytes kann Winlogon\Shell (Backdoor.Agent) nicht löschen
    Log-Analyse und Auswertung - 30.10.2011 (22)
  9. backdoor trojaner werde sie nicht los und formatieren geht auch nicht
    Alles rund um Windows - 07.01.2011 (15)
  10. TR/Agent.ruo in C\Windows\System32\winemhf.dll geht nicht zu löschen
    Plagegeister aller Art und deren Bekämpfung - 28.03.2010 (1)
  11. trojan-downloader.agent.ogp (geht nicht weg)
    Plagegeister aller Art und deren Bekämpfung - 19.05.2009 (15)
  12. Sauber oder nicht (Trojan.Generic/Backdoor.Win32.Agent.afqs)
    Plagegeister aller Art und deren Bekämpfung - 21.04.2009 (0)
  13. Backdoor Agent ARK geht nicht weg
    Mülltonne - 15.07.2008 (0)
  14. Trojaner Spy-Agent, trotz neuaufsetzen geht einiges nicht
    Plagegeister aller Art und deren Bekämpfung - 03.07.2008 (2)
  15. Virus Agent.ay geht nicht mehr weg!
    Log-Analyse und Auswertung - 18.03.2006 (21)
  16. Trojaner TR/Dldr.Agent.td.52 geht nicht weg! Bitte helft mir.
    Log-Analyse und Auswertung - 18.01.2006 (1)
  17. Norton hat Backdoor.Nubu.J gefunden, bekomme den nicht weg+das Fenster geht nicht zu
    Plagegeister aller Art und deren Bekämpfung - 17.06.2005 (2)

Zum Thema Backdoor Agent ARK geht nicht weg - Hallo Leute Ich habe ein Problem.... seid einiger zeit habe ich einen großen schädling aufm PC... der öffnet immer wieder iexplorer mit werbung und läst so kurze sound geräuche immer - Backdoor Agent ARK geht nicht weg...
Archiv
Du betrachtest: Backdoor Agent ARK geht nicht weg auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.