|
Log-Analyse und Auswertung: Hintergrundbild "Windows Warning Message"Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
08.09.2008, 16:21 | #1 |
| Hintergrundbild "Windows Warning Message" Hallo zusammen, plötzlich nach dem surfen erscheint als Hintergundbild "Windows Warning Message" mit " Spyware detected on your computer". Ich kann auch plötzlich das Hintergrundbild nicht mehr ändern. Reiter bei Anzeige Einstellungen fehlt komplett. Virescanner avast hat nicht gefunden. Sonst keine Systemeinschrenkungen. Hijackthis log hier: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:15:16, on 08.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\sm56hlpr.exe C:\Programme\avmclient\avmbtservice.exe C:\Programme\VIAudioi\SBADeck\ADeck.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe C:\Programme\avmclient\bluefritz.exe C:\Programme\avmclient\panapp.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe C:\Programme\CyberLink\PowerCinema\PCMService.exe C:\Programme\avmclient\AvmObex.exe C:\WINDOWS\system32\lphclk7j0ea91.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\WINDOWS\system32\drivers\svchost.exe C:\Programme\Sitecom\Bluetooth Software\BTTray.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\FRITZ!\FriWeb32.exe C:\Programme\avmclient\AvmObexService.exe C:\Programme\avmclient\AvmObex.exe C:\WINDOWS\system32\bmwebcfg.exe C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\svchost.exe C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Dokumente und Einstellungen\Tobias Schöwel\Lokale Einstellungen\Temp\.tt15.tmp C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1 O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [AVMBLUEOBEX] C:\Programme\avmclient\AvmObex.exe -pushclient -ftpclient O4 - HKLM\..\Run: [lphclk7j0ea91] C:\WINDOWS\system32\lphclk7j0ea91.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: FRITZ!web.lnk = C:\Programme\FRITZ!\FriWeb32.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\flashget.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing) O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing) O10 - Unknown file in Winsock LSP: bmnet.dll O10 - Unknown file in Winsock LSP: bmnet.dll O10 - Unknown file in Winsock LSP: bmnet.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{C8D65EA2-CF93-4F60-A792-B7357D6BB0CF}: NameServer = 192.168.120.252,192.168.120.253 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe -- End of file - 9390 bytes Danke und Gruß DT |
09.09.2008, 08:41 | #2 | |
/// AVZ-Toolkit Guru | Hintergrundbild "Windows Warning Message" Halli hallo DonTobente
__________________Dein System ist nicht aktuell und du hast dir wahrscheinlich einen Backdoor eingefangen. Ändere deine Surf Gewohnheiten und trenne den Rechner vom Netz! Folge dieser Anleitung (Analyse und Bereinigung) und poste den rapport. Dateien Online überprüfen lassen: * Lasse dir auch die versteckten Dateien anzeigen! * Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"! * Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen. Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)
__________________ |
09.09.2008, 16:00 | #3 |
| Hintergrundbild "Windows Warning Message" Das mit den Surfgewohnheiten wede ich weitergeben.
__________________Anbei der Log. SmitFraudFix v2.346 Scan done at 20:22:24,93, 08.09.2008 Run from C:\Dokumente und Einstellungen\Tobias *******\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost 192.168.0.2 rechner2 192.168.0.1 rechner1 »»»»»»»»»»»»»»»»»»»»»»»» VACFix VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\WINDOWS\system32\drivers\svchost.exe Deleted »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix AntiXPVSTFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» RK »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{C8D65EA2-CF93-4F60-A792-B7357D6BB0CF}: NameServer=192.168.120.252,192.168.120.253 HKLM\SYSTEM\CS1\Services\Tcpip\..\{C8D65EA2-CF93-4F60-A792-B7357D6BB0CF}: NameServer=192.168.120.252,192.168.120.253 HKLM\SYSTEM\CS2\Services\Tcpip\..\{C8D65EA2-CF93-4F60-A792-B7357D6BB0CF}: NameServer=192.168.120.252,192.168.120.253 HKLM\SYSTEM\CS3\Services\Tcpip\..\{C8D65EA2-CF93-4F60-A792-B7357D6BB0CF}: NameServer=192.168.120.252,192.168.120.253 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End Geändert von DonTobente (09.09.2008 um 16:55 Uhr) |
09.09.2008, 16:27 | #4 |
| Hintergrundbild "Windows Warning Message" svchost; Die Datei wurde bereits analysiert: MD5: 65a819b121eb6fdab4400ea42bdffe64 First received: 2007.06.16 12:47:36 (CET) Datum 2008.06.03 20:36:20 (CET) [>97D] Ergebnisse 1/32 Permalink: analisis/69ae15152b8158a271f14a70858a8f66 Datei svchost.exe empfangen 2008.06.03 20:36:20 (CET) Status: Beendet Ergebnis: 1/32 (3.12%) Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 - - - AntiVir - - - Authentium - - - Avast - - - AVG - - - BitDefender - - - CAT-QuickHeal - - - ClamAV - - - DrWeb - - - eSafe - - - eTrust-Vet - - - Ewido - - - F-Prot - - - F-Secure - - - Fortinet - - - GData - - - Ikarus - - - Kaspersky - - - McAfee - - - Microsoft - - - NOD32v2 - - - Norman - - - Panda - - - Prevx1 - - - Rising - - - Sophos - - - Sunbelt - - - Symantec - - - TheHacker - - - VBA32 - - - VirusBuster - - - Webwasher-Gateway - - BlockReason.0 weitere Informationen MD5: 65a819b121eb6fdab4400ea42bdffe64 SHA1: 0dfdee2871427e9c40ec82541156884ff9b4bfa3 SHA256: 1569ba783cec423f6d01f8aded247d60e17b14f7ade34f58c18b882ab7068bf5 SHA512: b07fc73c236bd312cb775731f1b1fd70820aaaff5f65a0f14bdd7dbedabca186cf291dca243aed39dcd9fb86ee766c58eae0c35f61df7a484ebc7a7da6f1435c lphclk7j0ea91.exe MD5: 02518e8011d1820b9fda851fc744bdfa First received: 2008.09.05 01:32:38 (CET) Datum 2008.09.09 11:41:00 (CET) [<1D] Ergebnisse 17/36 Permalink: analisis/2d78b9f90f1f0de1aec3890f378350ab Datei lphclk7j0ea91.exe empfangen 2008.09.09 17:22:07 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 19/35 (54.29%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit is zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.9.6.0 2008.09.09 Win-Trojan/PEPatched.Gen AntiVir 7.8.1.28 2008.09.09 TR/Spy.Frauder.dk Authentium 5.1.0.4 2008.09.09 - Avast 4.8.1195.0 2008.09.08 - AVG 8.0.0.161 2008.09.09 Downloader.FraudLoad.AC BitDefender 7.2 2008.09.09 Trojan.FakeAlert.AEB CAT-QuickHeal 9.50 2008.09.06 (Suspicious) - DNAScan ClamAV 0.93.1 2008.09.09 - DrWeb 4.44.0.09170 2008.09.09 - eSafe 7.0.17.0 2008.09.09 Win32.Frauder.dk eTrust-Vet 31.6.6080 2008.09.09 Win32/OnerawCryptorA!generic Ewido 4.0 2008.09.09 - F-Prot 4.4.4.56 2008.09.08 - Fortinet 3.112.0.0 2008.09.09 W32/Frauder.DK!tr.bdr GData 19 2008.09.09 Backdoor.Win32.Frauder.dk Ikarus T3.1.1.34.0 2008.09.09 - K7AntiVirus 7.10.448 2008.09.09 - Kaspersky 7.0.0.125 2008.09.09 Backdoor.Win32.Frauder.dk McAfee 5379 2008.09.08 Downloader-ASH.gen.b Microsoft 1.3903 2008.09.09 TrojanDownloader:Win32/Renos.AS NOD32v2 3428 2008.09.09 - Norman 5.80.02 2008.09.08 W32/Tibs.gen234 Panda 9.0.0.4 2008.09.08 Adware/RogueAntimalware2008 PCTools 4.4.2.0 2008.09.09 - Prevx1 V2 2008.09.09 Malicious Software Rising 20.61.12.00 2008.09.09 - Sophos 4.33.0 2008.09.09 Mal/EncPk-EU Sunbelt 3.1.1616.1 2008.09.09 Backdoor.Win32.Frauder.dk Symantec 10 2008.09.09 Adware.CWSIEFeats TheHacker 6.3.0.8.075 2008.09.06 - TrendMicro 8.700.0.1004 2008.09.09 - VBA32 3.12.8.5 2008.09.09 - ViRobot 2008.9.9.1369 2008.09.09 - VirusBuster 4.5.11.0 2008.09.09 - Webwasher-Gateway 6.6.2 2008.09.09 Trojan.Spy.Frauder.dk weitere Informationen File size: 203776 bytes MD5...: 02518e8011d1820b9fda851fc744bdfa SHA1..: 4759fc16e6656a93f85202292b1a593bc9347ee5 SHA256: 6e16fa0bfb0768332d234bdb6bc1fafe73e6445395561632766dc673d0f94f72 SHA512: 8c86957382cdb1dc900d4e9cd02d49400ff79ade57ea0856266eab25f9d3f16d 6ec43a3e60f29b69f329a5d061b8912661a03a6d47c4327116997786817c01d0 PEiD..: - TrID..: File type identification Win32 Executable Generic (38.4%) Win32 Dynamic Link Library (generic) (34.2%) Clipper DOS Executable (9.1%) Generic Win/DOS Executable (9.0%) DOS Executable Generic (9.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4099f5 timedatestamp.....: 0x48a5befd (Fri Aug 15 17:38:05 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0xec7d 0x9800 8.00 45869d95601175860526d39d787046ec .rdata 0x10000 0x3dde 0x1a00 7.97 dbe35011f96b4335956c1b3379c28b7c .data 0x14000 0xb65af 0x23600 8.00 ad3b02d85bc345b7f293a0f1b1f8f911 .rsrc 0xcb000 0xf000 0x3000 6.62 bac7143e8fffb2c7fad2efb85671d6bc ( 4 imports ) > gdi32.dll: SetRelAbs, StretchBlt, SetICMMode, ResetDCW, UpdateColors, SaveDC, TextOutW, SetDIBColorTable > wsock32.dll: bind, WSAStartup, listen > kernel32.dll: CreatePipe, TerminateProcess, VirtualProtect > shell32.dll: SHAppBarMessage, StrRChrIA, StrStrIA ( 0 exports ) Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=25346046006BBC021CC203CA3FB82A00A6AE1D9D Wie gehts weiter? Gruß DT |
09.09.2008, 17:20 | #5 |
| Hintergrundbild "Windows Warning Message" Hallo, hab Malwarebyte durchlaufen lassen und anschließend die auffälligen Dateien gelöscht. Problem ist optisch nicht mehr vorhanden. Hintergrundbild "windows warning message" ist weg und lässt sich auch wieder ändern. Soll ich noch was tun? Anbei der Log: Malwarebytes' Anti-Malware 1.27 Datenbank Version: 1132 Windows 5.1.2600 Service Pack 2 09.09.2008 18:07:45 mbam-log-2008-09-09 (18-07-30).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 123273 Laufzeit: 32 minute(s), 29 second(s) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 8 Infizierte Registrierungswerte: 7 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 11 Infizierte Dateien: 21 Infizierte Speicherprozesse: C:\WINDOWS\system32\lphclk7j0ea91.exe (Trojan.FakeAlert) -> No action taken. Infizierte Speichermodule: C:\WINDOWS\system32\blphclk7j0ea91.scr (Trojan.FakeAlert) -> No action taken. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\rhcgk7j0ea91 (Rogue.Multiple) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysrest.sys (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sysrest.sys (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sysrest.sys (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysrest.sys (Rootkit.Agent) -> No action taken. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysrest32.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphclk7j0ea91 (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> No action taken. HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> No action taken. HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> No action taken. HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> No action taken. Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken. Infizierte Verzeichnisse: C:\Dokumente und Einstellungen\Tobias xxxxx\Anwendungsdaten\rhcgk7j0ea91 (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\Tobias xxxxx\Anwendungsdaten\rhcgk7j0ea91\Quarantine (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\Tobias xxxxx\Anwendungsdaten\rhcgk7j0ea91\Quarantine\Autorun (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\Tobias xxxxx\Anwendungsdaten\rhcgk7j0ea91\Quarantine\Autorun\HKCU (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\Tobias xxxxx\Anwendungsdaten\rhcgk7j0ea91\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\Tobias xxxxx\Anwendungsdaten\rhcgk7j0ea91\Quarantine\Autorun\HKLM (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\Tobias xxxxx\Anwendungsdaten\rhcgk7j0ea91\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\Tobias xxxxx\Anwendungsdaten\rhcgk7j0ea91\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\Tobias xxxxx\Anwendungsdaten\rhcgk7j0ea91\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\Tobias xxxxx\Anwendungsdaten\rhcgk7j0ea91\Quarantine\BrowserObjects (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\Tobias xxxxx\Anwendungsdaten\rhcgk7j0ea91\Quarantine\Packages (Rogue.Multiple) -> No action taken. Infizierte Dateien: C:\WINDOWS\system32\blphclk7j0ea91.scr (Trojan.FakeAlert) -> No action taken. C:\Dokumente und Einstellungen\Tobias xxxxxl\Lokale Einstellungen\Temp\B.tmp (Backdoor.Rustock) -> No action taken. C:\WINDOWS\system32\sysrest32.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> No action taken. C:\Dokumente und Einstellungen\Anna xxxxx\Lokale Einstellungen\Temp\.ttF.tmp (Trojan.Downloader) -> No action taken. C:\WINDOWS\system32\lphclk7j0ea91.exe (Trojan.FakeAlert) -> No action taken. C:\WINDOWS\system32\phclk7j0ea91.bmp (Trojan.FakeAlert) -> No action taken. C:\WINDOWS\system32\sysrest.sys (Rootkit.Agent) -> No action taken. C:\Dokumente und Einstellungen\Tobias xxxxx\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> No action taken. C:\Dokumente und Einstellungen\Tobias xxxxx\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> No action taken. C:\Dokumente und Einstellungen\Tobias xxxxx\Lokale Einstellungen\Temp\.tt3.tmp (Trojan.Downloader) -> No action taken. C:\Dokumente und Einstellungen\Tobias xxxxx\Lokale Einstellungen\Temp\.tt5.tmp (Trojan.Downloader) -> No action taken. C:\Dokumente und Einstellungen\Tobias xxxxx\Lokale Einstellungen\Temp\.tt7.tmp (Trojan.Downloader) -> No action taken. C:\Dokumente und Einstellungen\Tobias xxxxx\Lokale Einstellungen\Temp\.ttD.tmp (Trojan.Downloader) -> No action taken. |
10.09.2008, 08:12 | #6 |
/// AVZ-Toolkit Guru | Hintergrundbild "Windows Warning Message" Hast du die Anti-Malware Funde wirklich löschen lassen? Im log steht: no action taken. Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden. Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen! GMER - Rootkit Detection
ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Wichtiger Hinweis: Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste danach ein frisches HJT log.
__________________ --> Hintergrundbild "Windows Warning Message" |
10.09.2008, 16:14 | #7 |
| Hintergrundbild "Windows Warning Message" Hallo, blacklight funktioniert nicht. kann die exe nicht öffnen. hier der GMER log GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2008-09-10 17:12:28 Windows 5.1.2600 Service Pack 3, v.3311 ---- System - GMER 1.0.14 ---- SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xEE176618] <-- ROOTKIT !!! SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xEE1764D4] <-- ROOTKIT !!! SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xEE1769B2] <-- ROOTKIT !!! SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xEE1760AC] <-- ROOTKIT !!! SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xEE1765AE] <-- ROOTKIT !!! SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xEE175FEC] <-- ROOTKIT !!! SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xEE176050] <-- ROOTKIT !!! SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xEE1766CE] <-- ROOTKIT !!! SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xEE17668E] <-- ROOTKIT !!! SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xEE17680E] <-- ROOTKIT !!! ---- User IAT/EAT - GMER 1.0.14 ---- IAT C:\WINDOWS\system32\services.exe[1108] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00380002 IAT C:\WINDOWS\system32\services.exe[1108] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00380000 ---- Devices - GMER 1.0.14 ---- AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software) AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software) Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdePort0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdePort1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software) AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software) ---- Services - GMER 1.0.14 ---- Service system32\drivers\TDSSserv.sys (*** hidden *** ) [SYSTEM] TDSSserv <-- ROOTKIT !!! ---- Registry - GMER 1.0.14 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060a77583 Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060a77583@001247c675a8 0xFD 0x26 0x07 0xF5 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060a77583@0016b890a222 0x3C 0x18 0x31 0x7A ... Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch@Epoch 38936 Reg HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{F055E02A-C29F-4910-BFA3-8526C1ED2E51}@DhcpRetryTime 314 Reg HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{F055E02A-C29F-4910-BFA3-8526C1ED2E51}@DhcpRetryStatus 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@start 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001060a77583 Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001060a77583@001247c675a8 0xFD 0x26 0x07 0xF5 ... Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001060a77583@0016b890a222 0x3C 0x18 0x31 0x7A ... Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv@start 1 Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv@type 1 Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001060a77583 Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001060a77583@001247c675a8 0xFD 0x26 0x07 0xF5 ... Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001060a77583@0016b890a222 0x3C 0x18 0x31 0x7A ... Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@start 1 Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@type 1 Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys Reg HKLM\SYSTEM\ControlSet004\Services\BTHPORT\Parameters\Keys\001060a77583 Reg HKLM\SYSTEM\ControlSet004\Services\BTHPORT\Parameters\Keys\001060a77583@001247c675a8 0xFD 0x26 0x07 0xF5 ... Reg HKLM\SYSTEM\ControlSet004\Services\BTHPORT\Parameters\Keys\001060a77583@0016b890a222 0x3C 0x18 0x31 0x7A ... Reg HKLM\SYSTEM\ControlSet004\Services\TDSSserv@start 1 Reg HKLM\SYSTEM\ControlSet004\Services\TDSSserv@type 1 Reg HKLM\SYSTEM\ControlSet004\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys ---- EOF - GMER 1.0.14 ---- |
10.09.2008, 16:34 | #8 |
| Hintergrundbild "Windows Warning Message" hier der combofix log ComboFix 08-09-05.12 - Tobias Schöwel 2008-09-10 17:19:42.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.612 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Tobias Schöwel\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\_004048_.tmp.dll C:\WINDOWS\system32\_004187_.tmp.dll C:\WINDOWS\system32\_004188_.tmp.dll C:\WINDOWS\system32\_004189_.tmp.dll C:\WINDOWS\system32\_004190_.tmp.dll C:\WINDOWS\system32\_004197_.tmp.dll C:\WINDOWS\system32\_004198_.tmp.dll C:\WINDOWS\system32\_004199_.tmp.dll C:\WINDOWS\system32\_004200_.tmp.dll C:\WINDOWS\system32\_004202_.tmp.dll C:\WINDOWS\system32\_004203_.tmp.dll C:\WINDOWS\system32\_004206_.tmp.dll C:\WINDOWS\system32\_004207_.tmp.dll C:\WINDOWS\system32\_004209_.tmp.dll C:\WINDOWS\system32\_004210_.tmp.dll C:\WINDOWS\system32\_004211_.tmp.dll C:\WINDOWS\system32\_004213_.tmp.dll C:\WINDOWS\system32\_004216_.tmp.dll C:\WINDOWS\system32\_004217_.tmp.dll C:\WINDOWS\system32\_004221_.tmp.dll C:\WINDOWS\system32\_004222_.tmp.dll C:\WINDOWS\system32\_004224_.tmp.dll C:\WINDOWS\system32\_004227_.tmp.dll C:\WINDOWS\system32\_004229_.tmp.dll C:\WINDOWS\system32\_004230_.tmp.dll C:\WINDOWS\system32\_004231_.tmp.dll C:\WINDOWS\system32\_004232_.tmp.dll C:\WINDOWS\system32\_004233_.tmp.dll C:\WINDOWS\system32\_004236_.tmp.dll C:\WINDOWS\system32\_004237_.tmp.dll C:\WINDOWS\system32\_004238_.tmp.dll C:\WINDOWS\system32\_004239_.tmp.dll C:\WINDOWS\system32\_004240_.tmp.dll C:\WINDOWS\system32\_004245_.tmp.dll . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_NPF -------\Legacy_SYSREST.SYS -------\Legacy_TDSSSERV -------\Service_TDSSserv ((((((((((((((((((((((( Dateien erstellt von 2008-08-10 bis 2008-09-10 )))))))))))))))))))))))))))))) . 2008-09-10 17:01 . 2008-09-10 17:01 250 --a------ C:\WINDOWS\gmer.ini 2008-09-09 19:28 . 2008-02-12 01:00 1,897,408 --------- C:\WINDOWS\system32\drivers\nv4_mini.sys 2008-09-09 19:27 . 2008-02-12 01:42 404,990 --------- C:\WINDOWS\system32\drivers\slntamr.sys 2008-09-09 19:25 . 2006-12-29 00:31 19,569 --a------ C:\WINDOWS\002637_.tmp 2008-09-08 20:33 . 2008-09-08 20:33 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-09-08 20:33 . 2008-09-08 20:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-09-08 20:33 . 2008-09-08 00:11 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-08 20:33 . 2008-09-08 00:11 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-09-08 20:14 . 2008-09-08 20:25 3,526 --a------ C:\WINDOWS\system32\tmp.reg 2008-09-08 20:10 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-09-08 20:10 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-09-08 20:10 . 2008-09-02 23:58 88,576 --a------ C:\WINDOWS\system32\AntiXPVSTFix.exe 2008-09-08 20:10 . 2008-09-02 16:51 86,528 --a------ C:\WINDOWS\system32\VACFix.exe 2008-09-08 20:10 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-09-08 20:10 . 2008-08-28 22:36 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe 2008-09-08 20:10 . 2008-08-18 12:19 82,432 --a------ C:\WINDOWS\system32\404Fix.exe 2008-09-08 20:10 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-09-08 20:10 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-09-08 20:10 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-09-08 19:56 . 2008-02-12 15:55 110,592 --a------ C:\WINDOWS\system32\SET10D6.tmp 2008-09-08 19:56 . 2008-02-12 15:55 30,208 --a------ C:\WINDOWS\system32\SET10D5.tmp 2008-09-08 19:55 . 2008-09-09 19:35 <DIR> d-------- C:\WINDOWS\system32\de-de 2008-09-08 19:55 . 2008-09-09 19:35 <DIR> d-------- C:\WINDOWS\system32\de 2008-09-08 19:55 . 2008-09-09 19:35 <DIR> d-------- C:\WINDOWS\system32\bits 2008-09-08 19:55 . 2008-09-09 19:35 <DIR> d-------- C:\WINDOWS\l2schemas 2008-09-08 19:55 . 2008-02-12 03:12 2,981,888 --a------ C:\WINDOWS\system32\SET1061.tmp 2008-09-08 19:55 . 2008-02-12 15:55 1,135,616 --a------ C:\WINDOWS\system32\SET1047.tmp 2008-09-08 19:55 . 2008-02-12 15:55 354,304 --a------ C:\WINDOWS\system32\SET1053.tmp 2008-09-08 19:55 . 2008-02-12 15:55 108,032 --a------ C:\WINDOWS\system32\SET104C.tmp 2008-09-08 19:55 . 2008-02-12 15:55 80,896 --a------ C:\WINDOWS\system32\SET104E.tmp 2008-09-08 19:55 . 2008-02-12 15:55 6,656 --a------ C:\WINDOWS\system32\SET1045.tmp 2008-09-08 19:53 . 2008-09-09 19:35 <DIR> d-------- C:\WINDOWS\ServicePackFiles 2008-09-08 19:53 . 2008-02-12 15:55 1,036,800 --a------ C:\WINDOWS\SET4DB.tmp 2008-09-08 19:50 . 2006-12-29 00:31 19,569 --a------ C:\WINDOWS\002630_.tmp 2008-09-08 19:46 . 2008-02-12 15:35 2,068,224 --a------ C:\WINDOWS\system32\ntkrnlpa.exe 2008-09-08 19:41 . 2008-09-09 19:20 <DIR> d-------- C:\WINDOWS\EHome 2008-09-07 12:12 . 2008-09-07 12:12 <DIR> d-------- C:\Programme\Trend Micro 2008-09-07 11:55 . 2008-09-07 11:55 <DIR> d-------- C:\Programme\CCleaner . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-04 16:42 --------- d-----w C:\Programme\avmclient 2004-10-07 12:52 303,104 ----a-w C:\Dokumente und Einstellungen\FirstSteps\FirstSteps.exe 2004-03-09 17:24 4,008,129 ----a-w C:\Programme\divX505bundle.exe 2004-02-07 11:39 3,773,576 ----a-w C:\Programme\DivXPlayerInstaller.exe 2003-03-31 12:00 5,632 ----a-w C:\Dokumente und Einstellungen\FirstSteps\Interop.SCRIPTOSYSLib.dll 2003-03-31 12:00 49,152 ----a-w C:\Dokumente und Einstellungen\FirstSteps\Interop.IWshRuntimeLibrary.dll 2003-03-31 12:00 32,768 ----a-w C:\Dokumente und Einstellungen\FirstSteps\Interop.Scripting.dll 2003-03-31 12:00 3,584 ----a-w C:\Dokumente und Einstellungen\FirstSteps\Interop.WSHControllerLibrary.dll 2001-07-30 16:22 4,096 ----a-w C:\Dokumente und Einstellungen\FirstSteps\Interop.WMISCRIPTUTILSLib.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-02-12 15360] "H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2005-01-04 405583] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-28 344064] "SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2005-03-18 98393] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-03-18 688217] "AudioDeck"="C:\Programme\VIAudioi\SBADeck\ADeck.exe" [2005-08-23 450560] "RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2005-04-15 45056] "HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664] "HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe" [2004-03-04 172032] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648] "AVMBlueClient"="C:\Programme\avmclient\bluefritz.exe" [2007-07-03 1859584] "SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 36975] "HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152] "PCMService"="C:\Programme\CyberLink\PowerCinema\PCMService.exe" [2005-07-28 127118] "AVMBLUEOBEX"="C:\Programme\avmclient\AvmObex.exe" [2007-07-03 491520] "SMSERIAL"="sm56hlpr.exe" [2005-08-01 C:\WINDOWS\sm56hlpr.exe] "BluetoothAuthenticationAgent"="bthprops.cpl" [2008-02-12 C:\WINDOWS\system32\bthprops.cpl] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-02-12 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.WJPG"= wb9967.dll "MSACM.CEGSM"= mobilev.acm "SENTINEL"= snti386.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Notification Packages REG_MULTI_SZ scecli scecli [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"= "C:\\Programme\\InterVideo\\DVD7\\WinDVD.exe"= "C:\\Programme\\Hewlett-Packard\\HP Software Update\\HPWUCli.exe"= "C:\\Programme\\CyberLink\\PowerCinema\\PowerCinema.exe"= "C:\\Programme\\Gemeinsame Dateien\\PocketSoft\\RTPatch\\AutoRTP\\artpschd.exe"= "C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"= "C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 R0 W9967CAM;%W9967CAM.Dev%;C:\WINDOWS\system32\DRIVERS\W9967STI.SYS [2001-10-30 10256] R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560] R2 AVM BT Connection Service;AVM BT Connection Service;C:\Programme\avmclient\avmbtservice.exe [2007-07-03 405504] R2 AVM BT PAN Service;AVM BT PAN Service;C:\Programme\avmclient\panapp.exe [2007-07-03 135168] R2 AvmObexService;AVM BT OBEX Service;C:\Programme\avmclient\AvmObexService.exe [2007-07-03 221184] R2 AVMPORT;AVMPORT;C:\WINDOWS\system32\drivers\avmport.sys [2001-10-23 59520] R3 AVMBTPARALLEL;AVM Bluetooth Druckeranschluss;C:\WINDOWS\system32\DRIVERS\avmbtpar.sys [2007-07-03 61952] R3 AVMBTSERIAL;AVM Bluetooth Kommunikationsanschluss;C:\WINDOWS\system32\DRIVERS\avmbtser.sys [2007-07-03 60928] R3 AVMBTSND;AVM Bluetooth Audio Driver;C:\WINDOWS\system32\drivers\avmbtsnd.sys [2007-07-03 52352] R3 AVMCOWAN;AVMCOWAN;C:\WINDOWS\system32\DRIVERS\avmcowan.sys [2007-07-03 53632] R3 bfubase;BlueFRITZ! USB;C:\WINDOWS\system32\DRIVERS\bfubase.sys [2007-07-03 882688] R3 CAPI_CIP;AVM Bluetooth CAPI-Controller;C:\WINDOWS\system32\DRIVERS\capi_cip.sys [2007-07-03 374144] R3 NETBFPAN;AVM Bluetooth Netzwerkadapter;C:\WINDOWS\system32\DRIVERS\netbfpan.sys [2007-07-03 33354] R3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\system32\DRIVERS\NETFRITZ.SYS [2005-09-23 316928] S1 75d16779;75d16779;C:\WINDOWS\system32\drivers\75d16779.sys [ ] S3 USBW9967;Medion Digital Camcorder D5 II;C:\WINDOWS\system32\DRIVERS\2kw9967.sys [2002-10-29 114144] . . ------- Zus„tzlicher Scan ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Tobias Schöwel\Anwendungsdaten\Mozilla\Firefox\Profiles\eo922f3o.default\ . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-10 17:26:27 Windows 5.1.2600 Service Pack 3, v.3311 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere, laufende Prozesse ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\bmwebcfg.exe C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe C:\WINDOWS\system32\ati2evxx.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\Sitecom\Bluetooth Software\BTTray.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\FRITZ!\FriWeb32.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-09-10 17:30:42 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-09-10 15:30:35 Pre-Run: 12 Verzeichnis(se), 38,193,905,664 Bytes frei Post-Run: 14 Verzeichnis(se), 38,113,132,544 Bytes frei 210 |
10.09.2008, 21:03 | #9 |
/// AVZ-Toolkit Guru | Hintergrundbild "Windows Warning Message" Blacklight sollte jetzt wwieder funktionieren. Mache noch einen Scan damit und wiederhole den Scan mit gmer. Poste beide logs.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
11.09.2008, 10:16 | #10 |
| Hintergrundbild "Windows Warning Message" Ich hatte auch diesen Virus ! hatte... Auf meinem laptop kamm das und fand 800 viren oder so alle im syste 32 ordner ( das programm will das du alles löscht was du auf keinen falll machen sollst ) naja ich dachte mir nix und schaltete einfach den pc ab und ging einen tag später wieder daran und boom hatte es mich schon kaum war ich im benutzerkonto eingeloggt kamm die scheiße immer und fuhr den pc automatisch herunter ( blue screen ) naja einen tag daruaf konnte ich mich nichtmal mehr einloggen! Bei mir half nur das System neu aufsetzten hoffe das es bei dir nicht so weit kommt |
11.09.2008, 10:24 | #11 | ||
/// AVZ-Toolkit Guru | Hintergrundbild "Windows Warning Message"Zitat:
Zitat:
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
11.09.2008, 15:48 | #12 |
| Hintergrundbild "Windows Warning Message" streicht meine antwort sorry hab mich nicht wirklich an die regeln gehalten mit dieser antwrot <----- |
Themen zu Hintergrundbild "Windows Warning Message" |
adobe, antivirus, askbar, avast, avast!, bho, computer, dll, drivers, einstellungen, excel, explorer, firefox, fritz!, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, internet, internet explorer, log, mozilla, programme, rundll, senden, software, spyware, surfen, temp, windows, windows xp, windows\system32\drivers |