Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Diverse Vieren und Maleware

Diverse Vieren und Maleware


Log-Analyse und Auswertung: Diverse Vieren und Maleware

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 14.08.2008, 08:58   #1
MbHelm
 
Diverse Vieren und Maleware - Standard

Diverse Vieren und Maleware


Hallo,
ich hab wieder mal einen Total verseuchten Rechner bekommen.
(Angefangen hat es mit einer Sprechblase in der Taskleiste: Winows has detected...." einem roten Kreis mit weißem Kreuz)
Vieles konnte ich mit Malewarebyts und diversen Viren-Programmen schon entfernen.

Jetzt möchte ich um eure Hilfe bitten.
Vielleicht findet ihr noch was im Hijak-Log:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:28:11, on 14.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Aspire Arcade\PCMService.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ComCenter\IWatch.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Aspire Arcade\PCMService.exe"
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\ComCenter\IWatch.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{FC3858BD-7F63-4F65-92E4-2FCDA0D3C53C}: NameServer = 192.168.121.252,192.168.121.253
O20 - AppInit_DLLs: karina.dat
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 4884 bytes
Ich bedanke mich schon vorab für eure Hilfe.

Viele Grüße

Alt 14.08.2008, 09:17   #2
Chris4You
 
Diverse Vieren und Maleware - Standard

Diverse Vieren und Maleware


Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:
ATTFilter
Registry values to replace with dummy: 
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs 

Files to delete:
C:\windows\system32\karina.dat
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Danach bitte combofix laufen lassen und log posten...

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

chris
__________________

__________________
Alt 14.08.2008, 12:19   #3
MbHelm
 
Diverse Vieren und Maleware - Standard

Diverse Vieren und Maleware


Danke Chris

Hier die Logs:

Avenger
Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "C:\windows\system32\karina.dat" not found!
Deletion of file "C:\windows\system32\karina.dat" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Registry value "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" replaced with dummy successfully.

Completed script processing.

*******************

Finished!  Terminate.
Combofix
Code:
ATTFilter
ComboFix 08-08-13.02 - Besitzer 2008-08-14 12:52:19.1 - FAT32x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.293 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\Temp\log.txt

.
(((((((((((((((((((((((   Dateien erstellt von 2008-07-14 bis 2008-08-14  ))))))))))))))))))))))))))))))
.

2008-08-14 09:29 . 2008-08-14 09:29	<DIR>	d--------	C:\Programme\Avira
2008-08-14 09:29 . 2008-08-14 09:29	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-14 08:58 . 2004-08-04 05:00	4,224	--a------	C:\WINDOWS\system32\drivers\beep.sys
2008-08-14 08:58 . 2004-08-04 05:00	4,224	--a------	C:\WINDOWS\system32\dllcache\beep.sys
2008-08-14 08:45 . 2008-08-14 08:45	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-08-14 08:45 . 2008-08-14 08:45	<DIR>	d--------	C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2008-08-14 08:45 . 2008-08-14 08:45	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-14 08:45 . 2008-07-30 20:07	38,472	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-14 08:45 . 2008-07-30 20:07	17,144	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-08-07 09:02 . 2008-08-07 09:02	<DIR>	d--hs----	C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\wsnpoem
2008-08-07 08:58 . 	30,720		C:\WINDOWS\system32\drivers\Beh71.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-20 17:39	247,296	----a-w	C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:39	247,296	----a-w	C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 17:39	148,992	----a-w	C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 10:45	360,320	----a-w	C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:45	360,320	----a-w	C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 10:44	138,368	----a-w	C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 10:44	138,368	----a-w	C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 09:52	225,920	----a-w	C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-20 09:52	225,920	----a-w	C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-14 17:57	273,024	------w	C:\WINDOWS\system32\drivers\bthport.sys
2008-06-14 17:57	273,024	------w	C:\WINDOWS\system32\dllcache\bthport.sys
2003-01-21 01:00	13,095,560	----a-r	C:\WINDOWS\system32\config\systemprofile\MpSetup.exe
2003-01-21 01:00	13,095,560	----a-r	C:\Dokumente und Einstellungen\Gast\MpSetup.exe
2003-01-21 01:00	13,095,560	----a-r	C:\Dokumente und Einstellungen\Default User\MpSetup.exe
2003-01-21 01:00	13,095,560	------r	C:\Dokumente und Einstellungen\Besitzer\MpSetup.exe
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"preload"="C:\Windows\RUNXMLPL.exe" [2004-04-20 16:49 40960]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 10:49 98304]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 10:49 536576]
"PCMService"="C:\Program Files\Aspire Arcade\PCMService.exe" [2004-03-25 18:41 81920]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-07-13 14:48 4141056]
"LaunchAp"="C:\Program Files\Launch Manager\LaunchAp.exe" [2004-08-06 14:04 32768]
"PowerKey"="C:\Program Files\Launch Manager\PowerKey.exe" [2002-08-30 15:02 94208]
"LManager"="C:\Program Files\Launch Manager\HotkeyApp.exe" [2004-07-15 17:24 49152]
"CtrlVol"="C:\Program Files\Launch Manager\CtrlVol.exe" [2004-01-28 17:48 184320]
"LMgrOSD"="C:\Program Files\Launch Manager\OSDCtrl.exe" [2004-09-08 11:28 245760]
"Wbutton"="C:\Program Files\Launch Manager\Wbutton.exe" [2004-08-13 22:40 73728]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"MMTray"="C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe" [2002-05-20 20:21 90112]
"REGSHAVE"="C:\Programme\REGSHAVE\REGSHAVE.EXE" [2002-02-04 22:32 53248]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 23:12 49152]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-08-14 11:39 266497]
"VTTimer"="VTTimer.exe" [2004-07-13 09:57 53248 C:\WINDOWS\system32\VTTimer.exe]
"VTTrayp"="VTtrayp.exe" [2004-06-22 02:57 143360 C:\WINDOWS\system32\VTTrayp.exe]
"nwiz"="nwiz.exe" [2004-07-13 14:48 880640 C:\WINDOWS\system32\nwiz.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2003-07-25 11:22 88363 C:\WINDOWS\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 05:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
ISDNWatch.lnk - C:\Programme\ComCenter\IWatch.exe [2006-08-25 13:36:13 229376]
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Beh71.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\System32\\lexpps.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 Beh71;Beh71;C:\WINDOWS\system32\Drivers\Beh71.sys []
R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 11:27]
R2 AVMPORT;AVMPORT;C:\WINDOWS\system32\drivers\avmport.sys [2004-05-26 17:52]
R3 AVMCOWAN;AVMCOWAN;C:\WINDOWS\system32\DRIVERS\AVMCOWAN.sys [2004-11-29 01:00]
R3 IPN2220;acer IPN2220 Wireless LAN Card Driver;C:\WINDOWS\system32\DRIVERS\i2220ntx.sys [2004-03-29 17:23]
R3 NETPPPOI;PPP over ISDN;C:\WINDOWS\system32\DRIVERS\NETPPPOI.SYS [2003-11-03 11:58]
R3 POWERKEY;POWERKEY;C:\Program Files\Launch Manager\POWERKEY.sys [2000-12-19 18:29]
S1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys []
S3 FXUSBASE;Eumex 400 (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fxusbase.sys [2004-11-29 01:00]
S3 naecd;naecd;C:\DOKUME~1\Besitzer\LOKALE~1\Temp\naecd.sys []

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
*Newly Created Service* - SSMDRV
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\5dj6f0jm.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-14 12:54:05
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  MMTray = C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe?????w???g????V??g????SOFTWARE\MusicMatch\MusicMatch Jukebox\4.0\TrayApp??????? ?w?????????????\?wp ?w???????w???g???????????g?RY??QY????????g????2???????$???8???? @??%X??%X?????????????????x?Y?????^?Q????? 

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-14 12:54:29
ComboFix-quarantined-files.txt  2008-08-14 10:54:28

Pre-Run: 28 Verzeichnis(se), 25,422,495,744 Bytes frei
Post-Run: 32 Verzeichnis(se), 26,641,858,560 Bytes frei

134	--- E O F ---	2008-07-09 07:30:21
und Hijackthis
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:55:59, on 14.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Aspire Arcade\PCMService.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ComCenter\IWatch.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Aspire Arcade\PCMService.exe"
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\ComCenter\IWatch.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{FC3858BD-7F63-4F65-92E4-2FCDA0D3C53C}: NameServer = 192.168.121.252,192.168.121.253
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 5446 bytes
__________________
Alt 14.08.2008, 13:26   #4
Chris4You
 
Diverse Vieren und Maleware - Standard

Diverse Vieren und Maleware


Bitte folgende Files prüfen (nur zur Sicherheit):
Zitat:
C:\WINDOWS\system32\drivers\beep.sys
C:\Windows\RUNXMLPL.exe
C:\WINDOWS\system32\drivers\Beh71.sys
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\naecd.sys
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
Poste jeweils das Ergebnis mit Filename;

Eins macht mich etwas stutzig:
*Newly Created Service* - SSMDRV
Der Service wird aber nicht gelistet...?
Hast Du da schon was entfernt?

Bitte noch MBR-Rootkitsuche:
Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:
Zitat:
D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
In dem Verzeichnis wo mbr.exe liegt findest Du das Log,

poste es im Thread;

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 14.08.2008, 16:33   #5
MbHelm
 
Diverse Vieren und Maleware - Standard

Diverse Vieren und Maleware


beep.sys:
Code:
ATTFilter
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.8.13.0	2008.08.14	-
AntiVir	7.8.1.19	2008.08.14	-
Authentium	5.1.0.4	2008.08.14	-
Avast	4.8.1195.0	2008.08.14	-
AVG	8.0.0.161	2008.08.14	-
BitDefender	7.2	2008.08.14	-
CAT-QuickHeal	9.50	2008.08.14	-
ClamAV	0.93.1	2008.08.14	-
DrWeb	4.44.0.09170	2008.08.14	-
eSafe	7.0.17.0	2008.08.14	-
eTrust-Vet	31.6.6032	2008.08.14	-
Ewido	4.0	2008.08.14	-
F-Prot	4.4.4.56	2008.08.14	-
Fortinet	3.14.0.0	2008.08.14	-
GData	2.0.7306.1023	2008.08.14	-
Ikarus	T3.1.1.34.0	2008.08.14	-
K7AntiVirus	7.10.413	2008.08.13	-
Kaspersky	7.0.0.125	2008.08.14	-
McAfee	5360	2008.08.13	-
Microsoft	1.3807	2008.08.14	-
NOD32v2	3356	2008.08.14	-
Norman	5.80.02	2008.08.13	-
Panda	9.0.0.4	2008.08.13	-
PCTools	4.4.2.0	2008.08.14	-
Rising	20.57.32.00	2008.08.14	-
Sophos	4.32.0	2008.08.14	-
Sunbelt	3.1.1542.1	2008.08.13	-
Symantec	10	2008.08.14	-
TheHacker	6.3.0.3.046	2008.08.13	-
TrendMicro	8.700.0.1004	2008.08.14	-
ViRobot	2008.8.14.1337	2008.08.14	-
VirusBuster	4.5.11.0	2008.08.14	-
Webwasher-Gateway	6.6.2	2008.08.14	-
weitere Informationen
File size: 4224 bytes
MD5...: da1f27d85e0d1525f6621372e7b685e9
SHA1..: e3d2dc5eb273fa701de8af13b60d6baac7629260
SHA256: 5a81a46a3bdd19dafc6c87d277267a5d44f3a1b5302f2cc1111d84b7bad5610d
SHA512: 8b8a95965ccaf51d578c2dd761abfc750fe464360e8244e5a06c2089586ac6fd
e2989e3ab7cc8b28a034c8c9fdba69c2641730674ca55d172d0d1a3e7e53fa8b
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1066c
timedatestamp.....: 0x3b7d82e5 (Fri Aug 17 20:47:33 2001)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x424 0x480 5.77 64f775a399d212649b5b58a280791c2d
.rdata 0x780 0xad 0x100 2.62 0ace5f365131534c66de4137833221ad
INIT 0x880 0x284 0x300 4.44 13a9d0bea8490140305ffa9291acfd99
.rsrc 0xb80 0x3c8 0x400 3.22 9b654fc1759147ff04b147754f347be4
.reloc 0xf80 0x9a 0x100 2.80 5c4742feb834ca0995d1e806fe06cc57

( 2 imports )
> ntoskrnl.exe: MmLockPagableDataSection, KeCancelTimer, MmUnlockPagableImageSection, IoStartNextPacket, KeSetTimer, _allmul, IoStartPacket, KeInitializeEvent, KeInitializeTimer, KeInitializeDpc, IoCreateDevice, RtlInitUnicodeString, IoAcquireCancelSpinLock, KeRemoveDeviceQueue, KeRemoveEntryDeviceQueue, IoReleaseCancelSpinLock, IoDeleteDevice, IofCompleteRequest
> HAL.dll: ExReleaseFastMutex, KfRaiseIrql, KfLowerIrql, HalMakeBeep, ExAcquireFastMutex

( 0 exports )
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=da1f27d85e0d1525f6621372e7b685e9
RUNMLPL.exe:
Code:
ATTFilter

AhnLab-V3	2008.8.13.0	2008.08.14	-
AntiVir	7.8.1.19	2008.08.14	-
Authentium	5.1.0.4	2008.08.14	-
Avast	4.8.1195.0	2008.08.14	-
AVG	8.0.0.161	2008.08.14	-
BitDefender	7.2	2008.08.14	-
CAT-QuickHeal	9.50	2008.08.14	-
ClamAV	0.93.1	2008.08.14	-
DrWeb	4.44.0.09170	2008.08.14	-
eSafe	7.0.17.0	2008.08.14	-
eTrust-Vet	31.6.6032	2008.08.14	-
Ewido	4.0	2008.08.14	-
F-Prot	4.4.4.56	2008.08.14	-
F-Secure	7.60.13501.0	2008.08.14	-
Fortinet	3.14.0.0	2008.08.14	-
GData	2.0.7306.1023	2008.08.14	-
Ikarus	T3.1.1.34.0	2008.08.14	-
K7AntiVirus	7.10.413	2008.08.13	-
Kaspersky	7.0.0.125	2008.08.14	-
McAfee	5360	2008.08.13	-
Microsoft	1.3807	2008.08.14	-
NOD32v2	3356	2008.08.14	-
Norman	5.80.02	2008.08.13	-
Panda	9.0.0.4	2008.08.13	-
PCTools	4.4.2.0	2008.08.14	-
Prevx1	V2	2008.08.14	-
Rising	20.57.32.00	2008.08.14	-
Sophos	4.32.0	2008.08.14	-
Sunbelt	3.1.1542.1	2008.08.13	-
Symantec	10	2008.08.14	-
TheHacker	6.3.0.3.046	2008.08.13	-
TrendMicro	8.700.0.1004	2008.08.14	-
VBA32	3.12.8.3	2008.08.14	-
ViRobot	2008.8.14.1337	2008.08.14	-
VirusBuster	4.5.11.0	2008.08.14	-
Webwasher-Gateway	6.6.2	2008.08.14	-
weitere Informationen
File size: 40960 bytes
MD5...: f8952d66674683e3763d4ac930d3c3c1
SHA1..: 5b05e47cc21b4ddaf2a18ddf86800f9cb6b6c687
SHA256: eb60a86b360238458679adff55796670a436653d95b9eb1beed4d2feb6a5c23a
SHA512: 79f799322c216024a5dd0670fdfbf64b6228618dd0ac65aa3d138f3a98194ea3
df34aaa1d54c9dab6904405142b3c2694572a37efcabeb8bf0f48c8dc88d8b37
PEiD..: InstallShield 2000
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401180
timedatestamp.....: 0x4084e430 (Tue Apr 20 08:49:52 2004)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3f06 0x4000 6.41 893a232d05d6e114e3ebef9ef79c40de
.rdata 0x5000 0x842 0x1000 3.33 e2b1dc12fce1ce74aa2ca289284881a6
.data 0x6000 0x3e38 0x3000 0.54 ad3cafda23ae58fb694e5fb31615cb78
.rsrc 0xa000 0x3a0 0x1000 0.95 143ee03b10b79ad9c1cbf63297646b84

( 1 imports )
> KERNEL32.dll: GetExitCodeProcess, WaitForSingleObject, CreateProcessA, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, MultiByteToWideChar, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, WideCharToMultiByte, GetCPInfo, GetACP, GetOEMCP, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, HeapCreate, VirtualFree, RtlUnwind, WriteFile, GetLastError, SetFilePointer, HeapFree, HeapAlloc, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, VirtualAlloc, GetProcAddress, LoadLibraryA, SetStdHandle, FlushFileBuffers, CloseHandle

( 0 exports )
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=f8952d66674683e3763d4ac930d3c3c1
Beh71.sys:
Kann niht gesendet werden
"0 Bytes permited"

naecd.sys:
Nicht mehr vorhanden

mm_tray.exe:
Code:
ATTFilter
AhnLab-V3	2008.8.13.0	2008.08.14	-
AntiVir	7.8.1.19	2008.08.14	-
Authentium	5.1.0.4	2008.08.14	-
Avast	4.8.1195.0	2008.08.14	-
AVG	8.0.0.161	2008.08.14	-
BitDefender	7.2	2008.08.14	-
CAT-QuickHeal	9.50	2008.08.14	-
ClamAV	0.93.1	2008.08.14	-
DrWeb	4.44.0.09170	2008.08.14	-
eSafe	7.0.17.0	2008.08.14	-
eTrust-Vet	31.6.6032	2008.08.14	-
Ewido	4.0	2008.08.14	-
F-Prot	4.4.4.56	2008.08.14	-
F-Secure	7.60.13501.0	2008.08.14	-
Fortinet	3.14.0.0	2008.08.14	-
GData	2.0.7306.1023	2008.08.14	-
Ikarus	T3.1.1.34.0	2008.08.14	-
K7AntiVirus	7.10.413	2008.08.13	-
Kaspersky	7.0.0.125	2008.08.14	-
McAfee	5360	2008.08.13	-
Microsoft	1.3807	2008.08.14	-
NOD32v2	3356	2008.08.14	-
Norman	5.80.02	2008.08.13	-
Panda	9.0.0.4	2008.08.13	-
PCTools	4.4.2.0	2008.08.14	-
Prevx1	V2	2008.08.14	-
Rising	20.57.32.00	2008.08.14	-
Sophos	4.32.0	2008.08.14	-
Sunbelt	3.1.1542.1	2008.08.13	-
TheHacker	6.3.0.3.046	2008.08.13	-
TrendMicro	8.700.0.1004	2008.08.14	-
VBA32	3.12.8.3	2008.08.14	-
ViRobot	2008.8.14.1337	2008.08.14	-
VirusBuster	4.5.11.0	2008.08.14	-
Webwasher-Gateway	6.6.2	2008.08.14	-
weitere Informationen
File size: 90112 bytes
MD5...: 9a8e5ba07cba9b2d9991abdb0e2e5a35
SHA1..: 709901bf4f1306f248d96c713e151014e7ba9c6b
SHA256: f0fafa1efb3d28b9670971db264517df0bbbf3e743b65c829a0b812137579505
SHA512: 2cc984284681da97398899ff42c779d5d0e04ba17225b1a0d0795755dd336977
a88b5a84b31ae931c7fde9ff9fb72e190d15d9e4b0c5bded0daeedbe39ca5d80
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4095f6
timedatestamp.....: 0x3ce9bb92 (Tue May 21 03:14:26 2002)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x88e4 0x9000 5.87 e4c5f2ebd08bbee4003ac55e6c463c3f
.rdata 0xa000 0x192c 0x2000 4.67 11e2d08244ff543e7cf77aba4c1f7720
.data 0xc000 0x19ac 0x1000 4.47 2229918d31eed059d362a46ddcf41054
.rsrc 0xe000 0x8248 0x9000 2.85 dbbc16f3bc401cfa6507771dc28a45c3

( 9 imports )
> KERNEL32.dll: FreeLibrary, GetProcAddress, SystemTimeToFileTime, GetModuleHandleA, GetSystemTime, SetEnvironmentVariableA, OutputDebugStringA, GetShortPathNameA, LoadLibraryA, FormatMessageA, LocalFree, GetVersionExA, CreateMutexA, GetLastError, ReleaseMutex, CloseHandle, GetEnvironmentVariableA, GlobalAlloc, CreateProcessA, GlobalFree, MultiByteToWideChar, FindResourceExA, LoadResource, WideCharToMultiByte, GetStartupInfoA
> USER32.dll: EnableMenuItem, GetCursorPos, MoveWindow, BringWindowToTop, CheckRadioButton, IsDlgButtonChecked, GetClientRect, GetParent, CharUpperA, LoadImageA, GetDesktopWindow, DestroyWindow, DefWindowProcA, PostQuitMessage, RegisterWindowMessageA, UpdateWindow, LoadIconA, LoadCursorA, RegisterClassExA, LoadAcceleratorsA, GetMessageA, TranslateAcceleratorA, TranslateMessage, DispatchMessageA, GetSysColor, GetSystemMetrics, SetMenuItemInfoA, GetMenuItemCount, GetMenuItemID, InsertMenuA, GetWindowRect, EnableWindow, SetForegroundWindow, TrackPopupMenu, PostMessageA, DestroyMenu, LoadMenuA, GetSubMenu, GetMenuStringA, SetWindowLongA, MessageBeep, CallWindowProcA, DialogBoxParamA, InvertRect, LoadStringA, GetDlgItem, ReleaseDC, ScreenToClient, CreateWindowExA, SendMessageA, ShowWindow, GetDC, SendDlgItemMessageA, EndDialog, KillTimer, SetTimer, MessageBoxA
> GDI32.dll: GetTextMetricsA, DeleteObject, ExtTextOutA, PatBlt, SetBkColor, SetTextColor, SelectObject, CreateFontIndirectA, GetObjectA, GetTextExtentPoint32A, TextOutA, GetStockObject
> comdlg32.dll: GetOpenFileNameA
> ADVAPI32.dll: RegSetValueExA, RegCloseKey, RegQueryValueExA, RegCreateKeyExA, RegOpenKeyExA, RegCreateKeyA
> SHELL32.dll: Shell_NotifyIconA, ShellExecuteA, DragQueryFileA, DragAcceptFiles, DragFinish
> COMCTL32.dll: InitCommonControlsEx
> MSVCP60.dll: __Split@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@AAEXXZ, _find@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QBEIPBGII@Z, __Eos@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@AAEXI@Z, __Xlen@std@@YAXXZ, __Grow@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@AAE_NI_N@Z, __Xran@std@@YAXXZ, _assign@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAEAAV12@PBGI@Z, __0_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAE@ABV_$allocator@G@1@@Z, _find@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QBEIABV12@I@Z, _replace@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAEAAV12@IIABV12@II@Z, _append@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAEAAV12@PBGI@Z, __Tidy@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@AAEX_N@Z, __Freeze@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@AAEXXZ, _erase@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAEAAV12@II@Z, _append@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAEAAV12@IG@Z, _npos@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@2IB, _resize@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAEXI@Z, _assign@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAEAAV12@ABV12@II@Z, __C@_1___Nullstr@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@CAPBGXZ@4GB, _c_str@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QBEPBGXZ, __1_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAE@XZ
> MSVCRT.dll: strcat, sprintf, __getmainargs, _controlfp, __setusermatherr, _initterm, __p__fmode, _mbsnbcpy, _XcptFilter, _acmdln, exit, _exit, free, _except_handler3, strcpy, strlen, localtime, time, __2@YAPAXI@Z, __CxxFrameHandler, wcslen, memset, wcsncpy, _mbscmp, _mbsncmp, fclose, fgetc, fopen, fprintf, __p__commode, _adjust_fdiv, __set_app_type

( 5 exports )
_GetStringFromID@DMMLocalizeDll@@QAEHIPAPAD@Z, _MMJB_MultiByteToWideChar@DMMLocalizeDll@@QAEHPBDHPAGH@Z, _MMJB_WideCharToMultiByte@DMMLocalizeDll@@QAEHPBGHPADH@Z, _uCodePage@_1__MMJB_MultiByteToWideChar@DMMLocalizeDll@@QAEHPBDHPAGH@Z@4IA, _uCodePage@_1__MMJB_WideCharToMultiByte@DMMLocalizeDll@@QAEHPBGHPADH@Z@4IA

mbr-Log:
zeigt nichts auffälliges an, sieht genau so aus, wie du's beschrieben hattest.

Geändert von MbHelm (14.08.2008 um 16:39 Uhr) Grund: mbr-Log

Alt 14.08.2008, 17:57   #6
Chris4You
 
Diverse Vieren und Maleware - Standard

Diverse Vieren und Maleware


Hi,

Okay (hatte ich eigentlich erwartet, darum das nur "zur Sicherheit").

Hmm, allerdings ist die karina.dat nicht gefunden worden, obwohl sie angezeigt wurde im Log.... das Gleiche gilt für die Beh71.sys und naecd.sys:
(Oder war das Log veraltet?). Kontrollieren wir also ob sie jetzt tatsächlich weg sind, wenn nicht wird es interessant ;o)

Abschließend daher noch ein ComboFix-Lauf (wegen Systeminformationen), da DSS z. Z. einige "Probleme" hat...

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

chris
__________________
--> Diverse Vieren und Maleware

Alt 14.08.2008, 19:34   #7
MbHelm
 
Diverse Vieren und Maleware - Standard

Diverse Vieren und Maleware


Danke Chris,

den Rechner musste ich der Betreffenden Person vorerst wiedergeben, da er noch einiges daran erledigen musst.
Aber nach dem ich die die aktuellste Version von Avira, Malewarebyt und was ich jetzt alles hatte, und diese nichts mehr gefunden haben, bin ich vorerst voller Hoffnung, dass alles weg ist.

Ich hoffe, dass ich morgen nochmal an den Rechner komme, um Combofix nochmals drüber laufen zu lassen.

Vorerst vielen Dank und viele Grüße

Antwort

Themen zu Diverse Vieren und Maleware
adobe, besitzer, dateien, desktop, diverse, dll, einstellungen, explorer, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, launch, logfile, maleware, messenger, micro, microsoft, notebook, nvidia, rundll, software, system, taskleiste, weißem kreuz, windows, windows xp


« Programme starten nach einiger Zeit nichtmehr | Ständig neue Datei nach dem löschen in temp Ordner »


Ähnliche Themen: Diverse Vieren und Maleware


  1. Diverse Maleware-Meldungen über Avira - FlowSurf - Teil 1
    Log-Analyse und Auswertung - 19.01.2015 (6)
  2. Hab ich Vieren eventuel auf den Computer?
    Plagegeister aller Art und deren Bekämpfung - 24.08.2014 (4)
  3. Email vieren
    Plagegeister aller Art und deren Bekämpfung - 25.11.2013 (2)
  4. Vieren Problem?
    Plagegeister aller Art und deren Bekämpfung - 27.06.2013 (3)
  5. Diverse Maleware, ngnix Probleme, viele Prozesse
    Log-Analyse und Auswertung - 20.06.2013 (28)
  6. Spyhunter 4, Maleware oder Maleware Security Suite?
    Plagegeister aller Art und deren Bekämpfung - 07.05.2013 (5)
  7. Diverse Maleware bereinigt - alles weg? (OTL Log)
    Log-Analyse und Auswertung - 12.09.2012 (3)
  8. haufenweise vieren eingefangen
    Log-Analyse und Auswertung - 26.04.2010 (14)
  9. 3 Vieren/Trojaner und evt Rootkid
    Plagegeister aller Art und deren Bekämpfung - 03.10.2009 (9)
  10. hilfe ich habe vieren
    Log-Analyse und Auswertung - 14.07.2009 (0)
  11. ???formante von vieren???
    Mülltonne - 27.06.2008 (0)
  12. Viele Vieren
    Plagegeister aller Art und deren Bekämpfung - 22.06.2008 (3)
  13. PC Check gegen vieren
    Plagegeister aller Art und deren Bekämpfung - 12.08.2006 (4)
  14. sind das vieren???
    Log-Analyse und Auswertung - 14.03.2005 (5)
  15. Ein gutes vieren Programm
    Antiviren-, Firewall- und andere Schutzprogramme - 29.01.2005 (6)
  16. Trojaner und Vieren
    Plagegeister aller Art und deren Bekämpfung - 25.01.2005 (16)
  17. eScan ... Trojaner und Vieren auf dem PC
    Log-Analyse und Auswertung - 10.12.2004 (6)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Diverse Vieren und Maleware - Hallo, ich hab wieder mal einen Total verseuchten Rechner bekommen. (Angefangen hat es mit einer Sprechblase in der Taskleiste: Winows has detected...." einem roten Kreis mit weißem Kreuz) Vieles konnte - Diverse Vieren und Maleware...
Archiv
Du betrachtest: Diverse Vieren und Maleware auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55