| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Hartnäckiger trojan.xxx.xxxWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
15.09.2008, 15:23
| #1 |
 |  Hartnäckiger trojan.xxx.xxx Habe einen sehr hartnäckigen Freund erwischt. Er scheint unter drei verschiedenen Namen aufzutauchen (oder sind es drei Verschiedene ?) und wirft die üblichen fake alerts aus. Prgramme wie sdf oder combofix, alle im abgesicherten Modus, bringen gar nichts. Es scheint mir, es hilft nur die Analyse meines HJT.Logs : Zunächste die korrekten Erscheinungsformen der Fehlermeldung mit dem Vermerk CRITICAL: 1. trojan.downloader.win32.agent.bq 2. trojan.clicker.win32.tiny.h 3. trojan-spy.html.bankfraud.dq Ich hoffe auf Eure Hilfe: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:14:41, on 15.09.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\D-Link\D-Link RangeBooster N 650 DWA-547\acs.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\ehome\mcrdsvc.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\eHome\ehmsas.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\SlySoft\CloneCD\CloneCDTray.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Skype\Phone\Skype.exe C:\WINDOWS\system32\wryvezkd.exe C:\Programme\ANYCOM\Blue USB-200-250\BTTray.exe C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe C:\Programme\OnlineControl\ocontrol.exe C:\Programme\D-Link\D-Link RangeBooster N 650 DWA-547\wirelesscm.exe C:\Programme\HotSpot Manager\HotSpotMgr.exe C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE C:\Programme\iPod\bin\iPodService.exe C:\Programme\Gemeinsame Dateien\T-Com\HotspotMgr\HotSpotFSvc.exe C:\WINDOWS\system32\svchosptd.exe C:\Programme\Skype\Plugin Manager\SkypePM.exe C:\WINDOWS\system32\svchospt.exe C:\WINDOWS\explorer.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wscntfy.exe c:\programme\avira\antivir personaledition classic\avcenter.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O2 - BHO: AL2Spy Class - {DC200356-0864-4F66-8964-5D43A19300F5} - C:\WINDOWS\AUTOLO~1\AL2DLL.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe check O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [SMSTray] C:\Programme\Samsung\EmoDio\SMSTray.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [svchospt] C:\WINDOWS\system32\svchospt.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [admshen] C:\WINDOWS\system32\wryvezkd.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [InfoWebMsg] C:\WINDOWS\system32\kfazmfkn.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: HotSpot Manager.lnk = C:\Programme\HotSpot Manager\HotSpotMgr.exe O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe O4 - Global Startup: Wireless Connection Manager.lnk = C:\Programme\D-Link\D-Link RangeBooster N 650 DWA-547\wirelesscm.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://w*w.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1171722511062 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Atheros Configuration Service (ACS) - Atheros - C:\Programme\D-Link\D-Link RangeBooster N 650 DWA-547\acs.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- End of file - 11268 bytes |
|
15.09.2008, 15:40
| #2 |
  | Hartnäckiger trojan.xxx.xxx Hi und
__________________ Könntest du bitte das Log von ComboFix posten  Dann lässt du mal Malwarebytes laufen und postest das Log. Danach folgendes: Anleitung SmitfraudFix: Lade dir dieses Tool -> SmitfraudFix
__________________ |
|
15.09.2008, 17:54
| #3 |
| | Hartnäckiger trojan.xxx.xxx Das mache ich gerne. MalwareBytes scannt seit 1 h 12 min meine Platte und ich schätze, es werden noch ein paar Minuten mehr. Sofort wenn ich sie habe, poste ich die Logs. Danke für Deine schnelle Info.
__________________ |
|
15.09.2008, 18:34
| #4 |
| | Hartnäckiger trojan.xxx.xxx Anbei die Logs: Log combofix: ComboFix 08-09-14.06 - Maximilian 2008-09-15 17:32:06.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.526 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Maximilian\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ((((((((((((((((((((((( Dateien erstellt von 2008-08-15 bis 2008-09-15 )))))))))))))))))))))))))))))) . 2008-09-15 17:27 . 2008-09-15 17:29 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-09-15 17:27 . 2008-09-15 17:27 <DIR> d-------- C:\Dokumente und Einstellungen\Maximilian\Anwendungsdaten\Malwarebytes 2008-09-15 17:27 . 2008-09-15 17:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-09-15 17:27 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-15 17:27 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-09-15 16:14 . 2008-09-15 16:14 <DIR> d-------- C:\Programme\Trend Micro 2008-09-15 15:34 . 2008-09-15 15:34 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab 2008-09-15 15:34 . 2008-09-15 15:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-09-14 20:06 . 2008-09-14 20:06 580,096 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll 2008-09-14 20:01 . 2008-09-14 20:01 <DIR> d-------- C:\WINDOWS\ERUNT 2008-09-14 19:57 . 2008-09-14 19:57 <DIR> d-------- C:\sdf 2008-09-14 18:47 . 2008-09-14 18:47 81,920 --a------ C:\WINDOWS\system32\wnodulwp.exe 2008-09-14 17:57 . 2008-09-14 18:01 3,096 --a------ C:\WINDOWS\system32\tmp.reg 2008-09-14 17:56 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-09-14 17:56 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-09-14 17:56 . 2008-09-08 23:38 88,576 --a------ C:\WINDOWS\system32\AntiXPVSTFix.exe 2008-09-14 17:56 . 2008-09-02 16:51 86,528 --a------ C:\WINDOWS\system32\VACFix.exe 2008-09-14 17:56 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-09-14 17:56 . 2008-09-13 18:10 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe 2008-09-14 17:56 . 2008-08-18 12:19 82,432 --a------ C:\WINDOWS\system32\404Fix.exe 2008-09-14 17:56 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-09-14 17:56 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-09-14 17:56 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-09-14 17:42 . 2008-09-14 17:42 0 ---hs---- C:\WINDOWS\S36916824.tmp 2008-09-14 17:17 . 2008-09-14 17:17 <DIR> d-------- C:\temp\XPSP2_customer_ready_2180 2008-09-14 17:17 . 2008-09-14 17:17 <DIR> d-------- C:\temp\wininetdebug.6.0.2800.1106 2008-09-14 17:17 . 2008-09-14 17:17 <DIR> d-------- C:\temp\wininetdebug.6.0.2600.0000 2008-09-14 17:17 . 2008-09-14 17:17 <DIR> d-------- C:\temp\wininetdebug.5.50.4807.2300 2008-09-14 17:17 . 2008-09-14 17:17 <DIR> d-------- C:\temp\wininetdebug.5.50.4134.600 2008-09-13 12:34 . 2008-09-13 12:34 94,208 --a------ C:\WINDOWS\system32\zqrmxati.exe 2008-09-13 11:24 . 2008-09-13 11:24 94,208 --a------ C:\WINDOWS\system32\kfazmfkn.exe 2008-09-12 19:42 . 2008-09-12 19:45 <DIR> d-------- C:\Programme\Spybot - Search & Destroy 2008-09-12 19:42 . 2008-09-12 20:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-09-12 19:38 . 2008-09-12 19:38 <DIR> d-------- C:\Programme\Lavasoft 2008-09-12 19:38 . 2008-09-12 19:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-09-12 19:37 . 2008-09-12 19:37 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-09-12 18:42 . 2008-09-12 18:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\khazkdcf 2008-09-12 18:42 . 2008-09-12 18:42 90,112 --a------ C:\WINDOWS\system32\wryvezkd.exe 2008-09-12 18:14 . 2008-09-12 18:14 <DIR> d-------- C:\Dokumente und Einstellungen\Maximilian\Anwendungsdaten\Sony Ericsson 2008-09-12 17:29 . 2008-09-12 17:29 1,419,232 --a------ C:\WINDOWS\system32\wdfcoinstaller01005.dll 2008-09-12 16:54 . 2007-04-23 15:54 108,680 --a------ C:\WINDOWS\system32\drivers\s115mdm.sys 2008-09-12 16:54 . 2007-04-23 15:54 100,488 --a------ C:\WINDOWS\system32\drivers\s115mgmt.sys 2008-09-12 16:54 . 2007-04-23 15:54 98,568 --a------ C:\WINDOWS\system32\drivers\s115obex.sys 2008-09-12 16:54 . 2007-04-23 15:54 83,208 --a------ C:\WINDOWS\system32\drivers\s115bus.sys 2008-09-12 16:54 . 2007-04-23 15:54 15,112 --a------ C:\WINDOWS\system32\drivers\s115mdfl.sys 2008-09-12 16:54 . 2007-04-23 15:54 12,424 --a------ C:\WINDOWS\system32\drivers\s115whnt.sys 2008-09-12 16:54 . 2007-04-23 15:54 12,424 --a------ C:\WINDOWS\system32\drivers\s115wh.sys 2008-09-12 16:54 . 2007-04-23 15:54 12,424 --a------ C:\WINDOWS\system32\drivers\s115cmnt.sys 2008-09-12 16:54 . 2007-04-23 15:54 12,424 --a------ C:\WINDOWS\system32\drivers\s115cm.sys 2008-09-12 15:24 . 2008-09-12 18:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson 2008-09-10 20:14 . 2008-09-10 20:14 <DIR> d-------- C:\Programme\Safari 2008-09-06 15:09 . 2008-09-06 15:09 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx 2008-09-06 15:09 . 2008-09-06 15:09 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts 2008-09-05 17:07 . 2008-09-11 13:33 <DIR> d-------- C:\Dokumente und Einstellungen\Maximilian\Anwendungsdaten\SPORE Creature Creator 2008-09-05 17:06 . 2008-09-05 17:06 <DIR> d-------- C:\Programme\Electronic Arts 2008-09-03 18:27 . 2008-09-03 18:27 32 --a------ C:\WINDOWS\Menu.INI 2008-08-29 16:54 . 2008-08-31 10:54 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll 2008-08-27 20:13 . 2008-09-05 11:40 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll 2008-08-27 20:02 . 2008-08-27 20:02 <DIR> d-------- C:\Programme\Eidos 2008-08-27 10:11 . 2008-08-27 11:33 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Real 2008-08-27 00:45 . 2008-08-27 00:45 <DIR> d-------- C:\WINDOWS\Logs 2008-08-23 19:16 . 2008-08-23 19:16 <DIR> d-------- C:\WINDOWS\system32\de 2008-08-23 19:16 . 2008-08-23 19:16 <DIR> d-------- C:\WINDOWS\system32\bits 2008-08-23 19:16 . 2008-08-23 19:16 <DIR> d-------- C:\WINDOWS\l2schemas 2008-08-23 19:13 . 2008-08-23 19:16 <DIR> d-------- C:\WINDOWS\ServicePackFiles 2008-08-23 16:23 . 2008-08-23 16:27 <DIR> d-------- C:\WINDOWS\system32\XPSViewer 2008-08-23 16:23 . 2008-08-23 16:23 <DIR> d-------- C:\Programme\Reference Assemblies 2008-08-23 16:23 . 2008-08-23 16:23 <DIR> d-------- C:\Programme\MSBuild 2008-08-23 16:21 . 2006-06-29 13:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll 2008-08-23 16:16 . 2008-08-23 16:16 <DIR> d-------- C:\Programme\MSXML 6.0 2008-08-20 20:33 . 2008-04-14 04:22 1,737,856 --------- C:\WINDOWS\system32\mtxparhd.dll 2008-08-20 20:32 . 2008-04-14 04:22 1,888,992 --------- C:\WINDOWS\system32\ati3duag.dll 2008-08-18 20:30 . 2008-04-13 20:45 26,112 --a------ C:\WINDOWS\system32\drivers\usbser.sys 2008-08-18 20:30 . 2008-08-18 20:30 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf 2008-08-18 20:29 . 2008-08-18 20:30 <DIR> d-------- C:\Dokumente und Einstellungen\Maximilian\Anwendungsdaten\PC Suite 2008-08-18 20:29 . 2008-08-18 21:13 <DIR> d-------- C:\Dokumente und Einstellungen\Maximilian\Anwendungsdaten\Nokia 2008-08-18 20:29 . 2008-08-18 20:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite 2008-08-18 20:28 . 2008-08-18 20:28 <DIR> d-------- C:\Programme\PC Connectivity Solution 2008-08-18 20:28 . 2008-08-18 20:28 <DIR> d-------- C:\Programme\DIFX 2008-08-18 20:28 . 2007-09-17 15:53 21,632 --a------ C:\WINDOWS\system32\drivers\pccsmcfd.sys 2008-08-18 20:27 . 2008-08-23 15:32 <DIR> d-------- C:\Programme\Nokia 2008-08-18 20:27 . 2008-05-07 07:38 90,624 --a------ C:\WINDOWS\system32\nmwcdcls.dll 2008-08-18 20:23 . 2008-08-18 20:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations 2008-08-15 17:48 . 2008-08-15 17:50 <DIR> d-------- C:\Programme\TrackMania . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-15 15:24 --------- d-----w C:\Dokumente und Einstellungen\Maximilian\Anwendungsdaten\Skype 2008-09-15 08:56 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-09-15 08:54 --------- d-----w C:\Programme\Davilex 2008-09-14 15:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2008-09-12 16:42 --------- d-----w C:\Programme\Sony Ericsson 2008-09-12 16:42 --------- d-----w C:\Programme\Gemeinsame Dateien\Teleca Shared 2008-09-12 16:42 --------- d-----w C:\Dokumente und Einstellungen\Maximilian\Anwendungsdaten\Teleca 2008-09-12 16:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HotSpot Manager 2008-09-12 15:29 21,672 ----a-w C:\WINDOWS\system32\drivers\ggsemc.sys 2008-09-12 15:29 13,352 ----a-w C:\WINDOWS\system32\drivers\ggflt.sys 2008-09-12 13:04 --------- d-----w C:\Programme\Norton Security Scan 2008-09-10 18:17 --------- d-----w C:\Dokumente und Einstellungen\Maximilian\Anwendungsdaten\Apple Computer 2008-09-10 18:16 --------- d-----w C:\Programme\Apple Software Update 2008-09-10 17:54 --------- d-----w C:\Programme\QuickTime 2008-09-10 17:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple 2008-09-10 13:04 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help 2008-09-10 13:01 --------- d-----w C:\Programme\Microsoft Works 2008-09-05 10:17 --------- d-----w C:\Dokumente und Einstellungen\Maximilian\Anwendungsdaten\ChessBase 2008-08-15 13:08 --------- d-----w C:\Programme\Google 2008-08-13 13:13 --------- d-----w C:\Programme\GMX 2008-08-13 10:40 --------- d-----w C:\Programme\WinPcap 2008-08-13 10:40 --------- d-----w C:\Programme\BlueSprite 2008-08-13 09:52 --------- d-----w C:\Programme\Videograbber 5.0 2008-08-13 09:11 --------- d-----w C:\Dokumente und Einstellungen\Maximilian\Anwendungsdaten\AD ON Multimedia 2008-08-12 10:51 --------- d-----w C:\Programme\ParentsFriend8 2008-08-10 09:23 --------- d-----w C:\Programme\iTunes 2008-08-10 09:23 --------- d-----w C:\Programme\iPod 2008-08-10 09:23 --------- d-----w C:\Programme\Bonjour 2008-08-10 09:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer 2008-08-10 09:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple 2008-08-08 07:25 --------- d-----w C:\Dokumente und Einstellungen\Maximilian\Anwendungsdaten\Media Player Classic 2008-08-07 10:20 --------- d-----w C:\Programme\K-Lite Codec Pack 2008-08-04 16:35 --------- d-----w C:\Programme\Samsung 2008-08-04 15:24 65,024 ----a-w C:\WINDOWS\IFinst26.exe 2008-08-04 15:24 --------- d-----w C:\Programme\XviD 2008-08-04 15:24 --------- d-----w C:\Programme\Lame MP3 Codec 2008-08-04 15:23 --------- d-----w C:\Programme\MarkAny 2008-08-04 15:23 --------- d-----w C:\Dokumente und Einstellungen\Maximilian\Anwendungsdaten\DataCast 2008-07-31 13:58 --------- d-----w C:\Programme\sixteen tons entertainment 2008-07-29 08:43 149,120 ----a-w C:\WINDOWS\system32\drivers\uigxrdr.SYS 2008-07-28 18:28 --------- d-----w C:\Programme\Franzis 2008-07-25 16:08 --------- d-----w C:\Programme\Java 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll 2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll 2008-07-18 18:39 587,776 ----a-w C:\WINDOWS\WLXPGSS.SCR 2008-07-15 10:36 --------- d-----w C:\Programme\ChessBase 2008-07-09 18:07 942,080 ------w C:\WINDOWS\system32\svchospt.exe 2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-06-24 16:42 74,240 ----a-w C:\WINDOWS\system32\mscms.dll 2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll 2008-06-23 16:14 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-03-12 16:26 2,608 ----a-w C:\Dokumente und Einstellungen\Maximilian\Anwendungsdaten\wklnhst.dat 2007-04-18 17:44 827,024 ----a-w C:\Programme\PhotoGreetingCards.exe 2007-04-18 17:00 1,376,400 ----a-w C:\Programme\Kodak Software 6.2.exe 2007-02-04 09:06 28,083,392 -c--a-w C:\Programme\Flight Simulator 2004 (Aktualisierung).exe . ((((((((((((((((((((((((((((( snapshot@2008-09-14_20.52.48.93 ))))))))))))))))))))))))))))))))))))))))) . - 2008-09-14 18:02:02 8,384,512 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\NTUSER.DAT + 2008-09-15 11:37:28 8,400,896 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\NTUSER.DAT - 2008-09-14 18:02:02 217,088 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat + 2008-09-15 11:37:28 217,088 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat + 2005-05-24 10:27:16 213,048 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavss.dll + 2007-10-21 19:40:14 94,208 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe + 2007-10-21 19:40:16 950,272 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-27 68856] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-01-12 25367592] "admshen"="C:\WINDOWS\system32\wryvezkd.exe" [2008-09-12 90112] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272] "InfoWebMsg"="C:\WINDOWS\system32\kfazmfkn.exe" [2008-09-13 94208] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 64512] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-07-20 7581696] "Muscbrigade"="c:\Musicbrigade\Musicbrigade.exe" [2005-12-20 40960] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2006-01-12 155648] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497] "CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 57344] "SMSTray"="C:\Programme\Samsung\EmoDio\SMSTray.exe" [2008-06-23 479232] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-07-30 289064] "QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696] "svchospt"="C:\WINDOWS\system32\svchospt.exe" [2008-07-09 942080] "SkyTel"="SkyTel.EXE" [2006-05-16 C:\WINDOWS\SkyTel.exe] "RTHDCPL"="RTHDCPL.EXE" [2006-09-12 C:\WINDOWS\RTHDCPL.EXE] "nwiz"="nwiz.exe" [2006-07-20 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360] "Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968] C:\Dokumente und Einstellungen\Maximilian\Startmen\Programme\Autostart\ HotSpot Manager.lnk - C:\Programme\HotSpot Manager\HotSpotMgr.exe [2008-05-01 839680] OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-07 101440] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ BTTray.lnk - C:\Programme\ANYCOM\Blue USB-200-250\BTTray.exe [2006-08-18 561213] Kodak EasyShare Software.lnk - C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2007-02-20 282624] KODAK Software Updater.lnk - C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe [2004-02-13 16423] OnlineControl.lnk - C:\Programme\OnlineControl\ocontrol.exe [2004-07-19 94208] Wireless Connection Manager.lnk - C:\Programme\D-Link\D-Link RangeBooster N 650 DWA-547\wirelesscm.exe [2006-12-30 11354112] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles "InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{88485281-8b4b-4f8d-9ede-82e29a064277}"= "C:\PROGRA~1\MarkAny\CONTEN~1\MACSMA~1.DLL" [2004-11-23 192512] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.iv41"= ir41_32.dll "MSACM.MSNAUDIO"= msnaudio.acm "VIDC.YV12"= yv12vfw.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Kodak\\KODAK Software Updater\\7288971\\Program\\Kodak Software Updater.exe"= "C:\\Programme\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"= "C:\\Program Files\\Davilex\\Taxi Raser\\Taxi Raser.exe"= "C:\\Programme\\Guillemot\\tools\\giWebUpdater.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\WINDOWS\\system32\\dpvsetup.exe"= "C:\\Programme\\Microsoft Games\\Age of Empires\\Empires.exe"= "C:\\Programme\\VirtualDJ\\virtualdj_djc.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\Programme\\Monte Cristo\\Fire Department 2\\FIRE.EXE"= "C:\\Programme\\Microsoft Games\\Flight Simulator 9\\fs9.exe"= "C:\\WINDOWS\\system32\\dplaysvr.exe"= "C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "C:\\Programme\\traktor_racer\\racer.dat"= "C:\\WINDOWS\\system32\\fxsclnt.exe"= "C:\\Programme\\NEW YORK TAXI\\NYT.exe"= "C:\\WINDOWS\\system32\\dpnsvr.exe"= "C:\\Programme\\JoWooD\\King\\king.exe"= "C:\\Programme\\Codemasters\\Race Driver 3\\RD3.exe"= "C:\\WINDOWS\\system32\\muzapp.exe"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "C:\\Programme\\Mozilla Firefox\\firefox.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);C:\WINDOWS\system32\drivers\sfdrv01a.sys [2006-07-05 63352] R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);C:\WINDOWS\system32\drivers\sfsync03.sys [2005-12-06 35328] R2 litsgt;litsgt;C:\WINDOWS\system32\DRIVERS\litsgt.sys [2007-01-10 137344] R2 tansgt;tansgt;C:\WINDOWS\system32\DRIVERS\tansgt.sys [2007-01-10 12032] R3 WSIMD;wsimd Service;C:\WINDOWS\system32\DRIVERS\wsimd.sys [2006-05-26 54464] S3 bfastfao;bfastfao;C:\DOKUME~1\MAXIMI~1\LOKALE~1\Temp\bfastfao.sys [ ] S3 FANTOM;LEGO MINDSTORMS NXT Driver;C:\WINDOWS\system32\DRIVERS\fantom.sys [2006-03-10 39424] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\MAGIX\Common\Database\bin\fbserver.exe [2005-08-10 1527900] S3 ggflt;SEMC USB Flash Driver Filter;C:\WINDOWS\system32\DRIVERS\ggflt.sys [2008-09-12 13352] S3 HDJCtrl;Hercules DJ Control MP3 Service;C:\WINDOWS\system32\Drivers\HDJCtrl.sys [2007-02-08 11008] S3 HDJMidi;Hercules DJ Console MIDI;C:\WINDOWS\system32\DRIVERS\HDJMidi.sys [2007-02-08 39296] S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-06-21 42512] S3 s115bus;Sony Ericsson Device 115 driver (WDM);C:\WINDOWS\system32\DRIVERS\s115bus.sys [2007-04-23 83208] S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s115mdfl.sys [2007-04-23 15112] S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s115mdm.sys [2007-04-23 108680] S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s115mgmt.sys [2007-04-23 100488] S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s115obex.sys [2007-04-23 98568] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2553336c-79d5-11dd-8686-00195b037924}] \Shell\AutoRun\command - K:\Menu.exe . Inhalt des "geplante Tasks" Ordners . . ------- Zusätzlicher Scan ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Maximilian\Anwendungsdaten\Mozilla\Firefox\Profiles\jav7m6l2.default\ FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://de.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de  fficial. ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-15 17:37:14 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-09-15 17:39:46 ComboFix-quarantined-files.txt 2008-09-15 15:39:43 ComboFix2.txt 2008-09-15 12:36:08 ComboFix3.txt 2008-09-14 18:53:10 Pre-Run: 30 Verzeichnis(se), 226,861,469,696 Bytes frei Post-Run: 34 Verzeichnis(se), 226,844,856,320 Bytes frei 291 --- E O F --- 2008-09-10 13:06:38 |
|
15.09.2008, 18:36
| #5 |
| | Hartnäckiger trojan.xxx.xxx Hier der MalwareBytes-Log: Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1155 Windows 5.1.2600 Service Pack 3 15.09.2008 19:22:54 mbam-log-2008-09-15 (19-22-54).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 361357 Laufzeit: 1 hour(s), 40 minute(s), 34 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\admshen (Trojan.FakeAlert.H) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\infowebmsg (Trojan.FakeAlert.H) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\wryvezkd.exe (Trojan.FakeAlert.H) -> Delete on reboot. C:\WINDOWS\system32\kfazmfkn.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully. |
|
15.09.2008, 18:37
| #6 |
| | Hartnäckiger trojan.xxx.xxx Und zuguterletzt der Smitfraud-Log: SmitFraudFix v2.350 Scan done at 19:27:06,00, 15.09.2008 Run from C:\Dokumente und Einstellungen\Maximilian\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» VACFix VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix AntiXPVSTFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» RK »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{D9A6A7CE-B313-4C14-9162-8A0A9D92FD42}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{832D0C01-ED8C-4774-9429-F4260A3D6A72}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{D9A6A7CE-B313-4C14-9162-8A0A9D92FD42}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS3\Services\Tcpip\..\{D9A6A7CE-B313-4C14-9162-8A0A9D92FD42}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End |
|
15.09.2008, 18:39
| #7 | |
| | Hartnäckiger trojan.xxx.xxx Poste noch die Log von Malwarebytes und SmtiFraudFix Werde sie mir morgen durchsehen... Kann aber schon jetzt sagen, dass noch so einiges drauf ist.
__________________ Kein Support per PN Zitat:
|
|
15.09.2008, 18:39
| #8 |
| | Hartnäckiger trojan.xxx.xxx Ich hoffe, Du kannst irgendetwas finden oder mir sonstwie gute Ratschläge geben. Danke für Deine Mühe. Gehe jetzt aus Frust ---->  |
|
15.09.2008, 18:53
| #9 | |
| | Hartnäckiger trojan.xxx.xxx ...Mach mal folgendes: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\system32\wnodulwp.exe
C:\WINDOWS\system32\tmp.reg
C:\WINDOWS\S36916824.tmp
C:\temp\wininetdebug.6.0.2800.1106
C:\WINDOWS\system32\zqrmxati.exe
C:\WINDOWS\system32\kfazmfkn.exe
C:\WINDOWS\system32\wryvezkd.exe
C:\WINDOWS\system32\wdfcoinstaller01005.dll
C:\WINDOWS\system32\drivers\s115mdm.sys
Msft_Kernel_ccdcmb_010 05.Wdf
C:\WINDOWS\system32\svchospt.exe
Da ist aber noch mehr das du dann noch hochladen solltest... Werde dir morgen schreiben 
__________________ Kein Support per PN Zitat:
|
|
16.09.2008, 12:49
| #10 |
| | Hartnäckiger trojan.xxx.xxx Hi ! Wie kann ich den Hash kopieren ? lieben Gruß !! |
|
16.09.2008, 16:51
| #11 | ||
| | Hartnäckiger trojan.xxx.xxxZitat:
Dann ist der Hash und MD5 Angaben automatisch dabei
__________________ Kein Support per PN Zitat:
|
|
17.09.2008, 17:42
| #12 |
| | Hartnäckiger trojan.xxx.xxx hier virustotal für tmp.reg (die datei wnodulwp.exe hat er auf meiner festplatte nicht gefunden). Datei tmp.reg empfangen 2008.09.17 18:10:48 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.9.13.0 2008.09.17 - AntiVir 7.8.1.28 2008.09.17 - Authentium 5.1.0.4 2008.09.17 - Avast 4.8.1195.0 2008.09.16 - AVG 8.0.0.161 2008.09.17 - BitDefender 7.2 2008.09.17 - CAT-QuickHeal 9.50 2008.09.15 - ClamAV 0.93.1 2008.09.17 - DrWeb 4.44.0.09170 2008.09.17 - eSafe 7.0.17.0 2008.09.17 - eTrust-Vet 31.6.6090 2008.09.15 - Ewido 4.0 2008.09.17 - F-Prot 4.4.4.56 2008.09.16 - F-Secure 8.0.14332.0 2008.09.17 - Fortinet 3.113.0.0 2008.09.17 - GData 19 2008.09.17 - Ikarus T3.1.1.34.0 2008.09.17 - K7AntiVirus 7.10.460 2008.09.17 - Kaspersky 7.0.0.125 2008.09.17 - McAfee 5385 2008.09.17 - Microsoft 1.3903 2008.09.17 - NOD32v2 3448 2008.09.17 - Norman 5.80.02 2008.09.16 - Panda 9.0.0.4 2008.09.16 - PCTools 4.4.2.0 2008.09.17 - Prevx1 V2 2008.09.17 - Rising 20.62.22.00 2008.09.17 - Sophos 4.33.0 2008.09.17 - Sunbelt 3.1.1645.1 2008.09.17 - Symantec 10 2008.09.17 - TheHacker 6.3.0.9.084 2008.09.17 - TrendMicro 8.700.0.1004 2008.09.17 - VBA32 3.12.8.5 2008.09.17 - ViRobot 2008.9.17.1379 2008.09.17 - VirusBuster 4.5.11.0 2008.09.17 - Webwasher-Gateway 6.6.2 2008.09.17 - weitere Informationen File size: 3128 bytes MD5...: 366cc16055e5f0504edc1d64eecf4ec4 SHA1..: 33fe72071f9c49943a560b2b3d65be5e32f4ccb6 SHA256: 057922906568cfc29dcfad2a6f61737018313e1feae0402938f7662ab61d3965 SHA512: 2dedcbc7b1b0db71964713aad4a325818a09b87aeb0152e81f5d31df94257c71<br>8089079e0ca3b1300ff089dafc5076ea17beead35d1f3b44db9e7484412cc6d6 PEiD..: - TrID..: File type identification<br>Windows Registry Data (Ver. 5.0 - UTF16) (96.8%)<br>Text - UTF-16 (LE) encoded (2.0%)<br>MP3 audio (1.0%)<br>Lumena CEL bitmap (0.0%)<br>Corel Photo Paint (0.0%) PEInfo: - hat also nichts gefunden datei S36916824.tmp 0 bytes size received / Se ha recibido un archivo vacio sie hat eine größe von 0 bytes hier die datei wininet.dll aus dem verzeichnis .../wininetdebug.6.0.2800.1106 Datei wininet.dll empfangen 2008.09.17 18:16:53 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.9.13.0 2008.09.17 - AntiVir 7.8.1.28 2008.09.17 - Authentium 5.1.0.4 2008.09.17 - Avast 4.8.1195.0 2008.09.16 - AVG 8.0.0.161 2008.09.17 - BitDefender 7.2 2008.09.17 - CAT-QuickHeal 9.50 2008.09.16 - ClamAV 0.93.1 2008.09.17 - DrWeb 4.44.0.09170 2008.09.17 - eSafe 7.0.17.0 2008.09.17 - eTrust-Vet 31.6.6091 2008.09.16 - Ewido 4.0 2008.09.17 - F-Prot 4.4.4.56 2008.09.16 - F-Secure 8.0.14332.0 2008.09.17 - Fortinet 3.113.0.0 2008.09.17 - GData 19 2008.09.17 - Ikarus T3.1.1.34.0 2008.09.17 - K7AntiVirus 7.10.460 2008.09.17 - Kaspersky 7.0.0.125 2008.09.17 - McAfee 5385 2008.09.17 - Microsoft 1.3903 2008.09.17 - NOD32v2 3448 2008.09.17 - Norman 5.80.02 2008.09.16 - Panda 9.0.0.4 2008.09.16 - PCTools 4.4.2.0 2008.09.17 - Prevx1 V2 2008.09.17 - Rising 20.62.22.00 2008.09.17 - Sophos 4.33.0 2008.09.17 - Sunbelt 3.1.1645.1 2008.09.17 - Symantec 10 2008.09.17 - TheHacker 6.3.0.9.084 2008.09.17 - TrendMicro 8.700.0.1004 2008.09.17 - VBA32 3.12.8.5 2008.09.17 - ViRobot 2008.9.17.1379 2008.09.17 - VirusBuster 4.5.11.0 2008.09.17 - Webwasher-Gateway 6.6.2 2008.09.17 - weitere Informationen File size: 728064 bytes MD5...: faab484d4b2ff37ed359dd7e48d5045a SHA1..: 22ffaac763eb40f577cc38bdc3579f35c92893a3 SHA256: d199a3b8481da8d0611e30996857f2624d38fff9574f543fe0ffcbd9396ac3fc SHA512: 42d1f49a0f06cb2dc676d8d34edefa26f580b6b7843b1102832b423d8c46a8ce<br>c048b928a232b437f50ee0086acf923ef87e23cea5adf2461b337d5df50f3d6e PEiD..: - TrID..: File type identification<br>Win64 Executable Generic (63.0%)<br>Win32 Executable MS Visual C++ (generic) (27.7%)<br>Win32 Executable Generic (6.2%)<br>Generic Win/DOS Executable (1.4%)<br>DOS Executable Generic (1.4%) PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x7029330c<br>timedatestamp.....: 0x3d6e46c3 (Thu Aug 29 16:07:31 2002)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x97602 0x97800 6.70 491ea9e05f605b2b99bd699aa0129d3c<br>.data 0x99000 0xd2b4 0x1200 4.35 e39b09d268bcf848e9db291b96ca45bb<br>.rsrc 0xa7000 0x10908 0x10a00 4.96 3223acde8b2f62f7203e584643ce7a91<br>.reloc 0xb8000 0x8228 0x8400 6.39 1529bd22d77183a0aaadef421d992f69<br><br>( 7 imports ) <br>> msvcrt.dll: memchr, isdigit, strpbrk, isspace, strtoul, isalnum, time, _ftol, ispunct, iscntrl, isalpha, _purecall, _CxxThrowException, wcsncpy, sprintf, rand, wcsstr, srand, wcslen, _wtoi, wcscpy, _wcsnicmp, wcstok, _wcsicmp, wcscmp, malloc, free, realloc, _except_handler3, _initterm, _adjust_fdiv, __dllonexit, _onexit, __1type_info@@UAE@XZ, _terminate@@YAXXZ, wcscat, isxdigit<br>> SHLWAPI.dll: PathRemoveFileSpecW, PathRemoveBackslashA, PathRemoveFileSpecA, StrNCatA, -, StrChrA, -, SHDeleteKeyA, StrCmpNIW, -, wvnsprintfA, -, -, -, -, StrCmpNIA, StrStrA, -, -, UrlCombineW, UrlCanonicalizeW, -, UrlCombineA, UrlCanonicalizeA, -, UrlUnescapeA, PathCreateFromUrlA, StrNCatW, StrToIntW, StrCpyW, -, -, StrStrIA, -, StrCmpW, StrCmpNA, StrToIntA, StrCatBuffA, StrRChrA, StrCmpIW, -, -, SHSetValueW, -, -, -, StrStrIW, SHGetValueW, SHSetValueA, SHGetValueA, wnsprintfA, wnsprintfW, StrCpyNW, -, StrCatW, -, -, -, StrCatBuffW, -, -, -<br>> CRYPT32.dll: CryptDecodeObject, CertFindRDNAttr, CertRDNValueToStrA, CertControlStore, CertNameToStrA, CertCreateCertificateContext, CertGetCertificateContextProperty, CertFindCertificateInStore, CertSetCertificateContextProperty, CertOpenSystemStoreA, CertCloseStore, CertGetIntendedKeyUsage, CertDuplicateCertificateContext, CertFreeCertificateContext, CryptUnprotectData<br>> ADVAPI32.dll: RegDeleteValueW, RegSetValueExW, RegQueryValueExW, RegCreateKeyA, RegEnumKeyA, CryptGetProvParam, CryptSetProvParam, CryptAcquireContextA, CryptReleaseContext, RegCreateKeyExA, RegOpenKeyExA, RegOpenKeyA, RegDeleteValueA, RegCloseKey, RegOpenKeyExW, OpenThreadToken, OpenProcessToken, GetTokenInformation, RegDeleteKeyA, RegSetValueExA, RegQueryInfoKeyA, RegEnumKeyExA, RegEnumValueA, RegQueryValueExA, GetUserNameA, OpenSCManagerA, EnumServicesStatusA, CloseServiceHandle, RegCreateKeyExW<br>> KERNEL32.dll: SuspendThread, TerminateThread, GetACP, RtlMoveMemory, ResetEvent, CreateThread, Sleep, SetErrorMode, FormatMessageA, lstrcatA, GetTickCount, QueryPerformanceFrequency, SystemTimeToFileTime, GetCurrentProcessId, GetCommandLineA, GetLocalTime, QueryPerformanceCounter, GetEnvironmentVariableA, GetStdHandle, WriteConsoleA, OutputDebugStringA, FlushFileBuffers, TlsGetValue, TlsAlloc, ExpandEnvironmentStringsA, TlsSetValue, TlsFree, GetDateFormatA, GetTimeFormatA, lstrcpyA, InterlockedCompareExchange, GetCurrentThread, GetCurrentProcess, GlobalAlloc, GlobalFree, IsBadReadPtr, IsBadStringPtrW, DebugBreak, DeleteFileA, IsBadCodePtr, IsBadWritePtr, SleepEx, GetModuleFileNameA, GetSystemTime, WritePrivateProfileStringA, WriteFile, SetFilePointer, ReadFile, FileTimeToSystemTime, LocalReAlloc, ExitThread, WaitForMultipleObjects, GetFileTime, ReleaseSemaphore, CreateSemaphoreA, LocalFileTimeToFileTime, GetSystemTimeAsFileTime, GetVersion, CompareStringA, GetFileAttributesA, GetWindowsDirectoryA, RemoveDirectoryA, GetShortPathNameA, FileTimeToDosDateTime, GetPrivateProfileStringA, SetFileAttributesA, CreateDirectoryA, SetFileTime, CopyFileA, DeviceIoControl, GetDiskFreeSpaceA, FindClose, FindNextFileA, FindFirstFileA, MoveFileA, DosDateTimeToFileTime, FlushViewOfFile, IsDBCSLeadByte, UnmapViewOfFile, MapViewOfFileEx, CreateFileMappingA, OpenFileMappingA, SetEndOfFile, GetUserDefaultLCID, HeapFree, HeapAlloc, GetProcessHeap, GetComputerNameA, LoadLibraryW, GlobalUnlock, GlobalLock, GlobalSize, GetCurrentThreadId, lstrcmpA, GetProcAddress, LoadLibraryA, lstrcmpiA, GetLastError, FreeLibrary, lstrcpynA, lstrlenA, WideCharToMultiByte, InterlockedExchange, CloseHandle, OpenEventA, LeaveCriticalSection, EnterCriticalSection, SetLastError, LocalFree, GetVersionExA, GetFileSize, CreateFileA, GetSystemDirectoryA, lstrlenW, MultiByteToWideChar, GetModuleHandleA, OpenMutexA, CreateMutexA, ReleaseMutex, WaitForSingleObject, RaiseException, SetEvent, CreateEventA, IsBadStringPtrA, LocalAlloc, InterlockedIncrement, InterlockedDecrement, InitializeCriticalSection, DeleteCriticalSection<br>> USER32.dll: CharNextA, IntersectRect, EqualRect, wsprintfW, LoadIconA, LoadImageA, DestroyIcon, SetForegroundWindow, EnumChildWindows, SetWindowTextA, GetParent, GetWindowRect, ScreenToClient, SetWindowPos, SendDlgItemMessageA, WinHelpA, IsWindow, IsCharAlphaNumericA, SendMessageA, PostMessageA, FindWindowA, LoadStringA, ShowWindow, GetDesktopWindow, wsprintfA, CharLowerA, DestroyWindow, IsDlgButtonChecked, EnableWindow, SetFocus, GetDlgItem, EndDialog, CheckDlgButton, CreateWindowExA, RegisterWindowMessageA, KillTimer, SetTimer, DefWindowProcA, SetWindowLongA, GetWindowLongA, RegisterClassA, CharLowerW, CharToOemA, CharUpperA<br>> OLEAUT32.dll: -, -, -, -, -<br><br>( 224 exports ) <br>CommitUrlCacheEntryA, CommitUrlCacheEntryW, CreateMD5SSOHash, CreateUrlCacheContainerA, CreateUrlCacheContainerW, CreateUrlCacheEntryA, CreateUrlCacheEntryW, CreateUrlCacheGroup, DeleteIE3Cache, DeleteUrlCacheContainerA, DeleteUrlCacheContainerW, DeleteUrlCacheEntry, DeleteUrlCacheEntryA, DeleteUrlCacheEntryW, DeleteUrlCacheGroup, DetectAutoProxyUrl, DllInstall, FindCloseUrlCache, FindFirstUrlCacheContainerA, FindFirstUrlCacheContainerW, FindFirstUrlCacheEntryA, FindFirstUrlCacheEntryExA, FindFirstUrlCacheEntryExW, FindFirstUrlCacheEntryW, FindFirstUrlCacheGroup, FindNextUrlCacheContainerA, FindNextUrlCacheContainerW, FindNextUrlCacheEntryA, FindNextUrlCacheEntryExA, FindNextUrlCacheEntryExW, FindNextUrlCacheEntryW, FindNextUrlCacheGroup, ForceNexusLookup, ForceNexusLookupExW, FreeUrlCacheSpaceA, FreeUrlCacheSpaceW, FtpCommandA, FtpCommandW, FtpCreateDirectoryA, FtpCreateDirectoryW, FtpDeleteFileA, FtpDeleteFileW, FtpFindFirstFileA, FtpFindFirstFileW, FtpGetCurrentDirectoryA, FtpGetCurrentDirectoryW, FtpGetFileA, FtpGetFileEx, FtpGetFileSize, FtpGetFileW, FtpOpenFileA, FtpOpenFileW, FtpPutFileA, FtpPutFileEx, FtpPutFileW, FtpRemoveDirectoryA, FtpRemoveDirectoryW, FtpRenameFileA, FtpRenameFileW, FtpSetCurrentDirectoryA, FtpSetCurrentDirectoryW, GetUrlCacheConfigInfoA, GetUrlCacheConfigInfoW, GetUrlCacheEntryInfoA, GetUrlCacheEntryInfoExA, GetUrlCacheEntryInfoExW, GetUrlCacheEntryInfoW, GetUrlCacheGroupAttributeA, GetUrlCacheGroupAttributeW, GetUrlCacheHeaderData, GopherCreateLocatorA, GopherCreateLocatorW, GopherFindFirstFileA, GopherFindFirstFileW, GopherGetAttributeA, GopherGetAttributeW, GopherGetLocatorTypeA, GopherGetLocatorTypeW, GopherOpenFileA, GopherOpenFileW, HttpAddRequestHeadersA, HttpAddRequestHeadersW, HttpCheckDavCompliance, HttpEndRequestA, HttpEndRequestW, HttpOpenRequestA, HttpOpenRequestW, HttpQueryInfoA, HttpQueryInfoW, HttpSendRequestA, HttpSendRequestExA, HttpSendRequestExW, HttpSendRequestW, IncrementUrlCacheHeaderData, InternetAlgIdToStringA, InternetAlgIdToStringW, InternetAttemptConnect, InternetAutodial, InternetAutodialCallback, InternetAutodialHangup, InternetCanonicalizeUrlA, InternetCanonicalizeUrlW, InternetCheckConnectionA, InternetCheckConnectionW, InternetClearAllPerSiteCookieDecisions, InternetCloseHandle, InternetCombineUrlA, InternetCombineUrlW, InternetConfirmZoneCrossing, InternetConfirmZoneCrossingA, InternetConfirmZoneCrossingW, InternetConnectA, InternetConnectW, InternetCrackUrlA, InternetCrackUrlW, InternetCreateUrlA, InternetCreateUrlW, InternetDial, InternetDialA, InternetDialW, InternetEnumPerSiteCookieDecisionA, InternetEnumPerSiteCookieDecisionW, InternetErrorDlg, InternetFindNextFileA, InternetFindNextFileW, InternetFortezzaCommand, InternetGetCertByURL, InternetGetCertByURLA, InternetGetConnectedState, InternetGetConnectedStateEx, InternetGetConnectedStateExA, InternetGetConnectedStateExW, InternetGetCookieA, InternetGetCookieExA, InternetGetCookieExW, InternetGetCookieW, InternetGetLastResponseInfoA, InternetGetLastResponseInfoW, InternetGetPerSiteCookieDecisionA, InternetGetPerSiteCookieDecisionW, InternetGoOnline, InternetGoOnlineA, InternetGoOnlineW, InternetHangUp, InternetInitializeAutoProxyDll, InternetLockRequestFile, InternetOpenA, InternetOpenUrlA, InternetOpenUrlW, InternetOpenW, InternetQueryDataAvailable, InternetQueryFortezzaStatus, InternetQueryOptionA, InternetQueryOptionW, InternetReadFile, InternetReadFileExA, InternetReadFileExW, InternetSecurityProtocolToStringA, InternetSecurityProtocolToStringW, InternetSetCookieA, InternetSetCookieExA, InternetSetCookieExW, InternetSetCookieW, InternetSetDialState, InternetSetDialStateA, InternetSetDialStateW, InternetSetFilePointer, InternetSetOptionA, InternetSetOptionExA, InternetSetOptionExW, InternetSetOptionW, InternetSetPerSiteCookieDecisionA, InternetSetPerSiteCookieDecisionW, InternetSetStatusCallback, InternetSetStatusCallbackA, InternetSetStatusCallbackW, InternetShowSecurityInfoByURL, InternetShowSecurityInfoByURLA, InternetShowSecurityInfoByURLW, InternetTimeFromSystemTime, InternetTimeFromSystemTimeA, InternetTimeFromSystemTimeW, InternetTimeToSystemTime, InternetTimeToSystemTimeA, InternetTimeToSystemTimeW, InternetUnlockRequestFile, InternetWriteFile, InternetWriteFileExA, InternetWriteFileExW, IsHostInProxyBypassList, IsUrlCacheEntryExpiredA, IsUrlCacheEntryExpiredW, LoadUrlCacheContent, ParseX509EncodedCertificateForListBoxEntry, PrivacyGetZonePreferenceW, PrivacySetZonePreferenceW, ReadUrlCacheEntryStream, RegisterUrlCacheNotification, ResumeSuspendedDownload, RetrieveUrlCacheEntryFileA, RetrieveUrlCacheEntryFileW, RetrieveUrlCacheEntryStreamA, RetrieveUrlCacheEntryStreamW, RunOnceUrlCache, SetUrlCacheConfigInfoA, SetUrlCacheConfigInfoW, SetUrlCacheEntryGroup, SetUrlCacheEntryGroupA, SetUrlCacheEntryGroupW, SetUrlCacheEntryInfoA, SetUrlCacheEntryInfoW, SetUrlCacheGroupAttributeA, SetUrlCacheGroupAttributeW, SetUrlCacheHeaderData, ShowCertificate, ShowClientAuthCerts, ShowSecurityInfo, ShowX509EncodedCertificate, UnlockUrlCacheEntryFile, UnlockUrlCacheEntryFileA, UnlockUrlCacheEntryFileW, UnlockUrlCacheEntryStream, UpdateUrlCacheContentPath, UrlZonesDetach<br> nun die datei C:\WINDOWS\system32\zqrmxati.exe datei auf meiner festplatte nicht vorhanden nun die datei C:\WINDOWS\system32\kfazmfkn.exe datei auf meiner festplatte nicht vorhanden nun die datei C:\WINDOWS\system32\wryvezkd.exe datei auf meiner festplatte nicht vorhanden |
|
17.09.2008, 17:43
| #13 |
| | Hartnäckiger trojan.xxx.xxx nun die datei C:\WINDOWS\system32\wdfcoinstaller01005.dll Datei wdfcoinstaller01005.dll empfangen 2008.09.17 18:31:26 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.9.13.0 2008.09.17 - AntiVir 7.8.1.28 2008.09.17 - Authentium 5.1.0.4 2008.09.17 - Avast 4.8.1195.0 2008.09.16 - AVG 8.0.0.161 2008.09.17 - BitDefender 7.2 2008.09.17 - CAT-QuickHeal 9.50 2008.09.16 - ClamAV 0.93.1 2008.09.17 - DrWeb 4.44.0.09170 2008.09.17 - eSafe 7.0.17.0 2008.09.17 - eTrust-Vet 31.6.6091 2008.09.16 - Ewido 4.0 2008.09.17 - F-Prot 4.4.4.56 2008.09.16 - F-Secure 8.0.14332.0 2008.09.17 - Fortinet 3.113.0.0 2008.09.17 - GData 19 2008.09.17 - Ikarus T3.1.1.34.0 2008.09.17 - K7AntiVirus 7.10.460 2008.09.17 - Kaspersky 7.0.0.125 2008.09.17 - McAfee 5385 2008.09.17 - Microsoft 1.3903 2008.09.17 - NOD32v2 3449 2008.09.17 - Norman 5.80.02 2008.09.16 - Panda 9.0.0.4 2008.09.16 - PCTools 4.4.2.0 2008.09.17 - Prevx1 V2 2008.09.17 - Rising 20.62.22.00 2008.09.17 - Sophos 4.33.0 2008.09.17 - Sunbelt 3.1.1645.1 2008.09.17 - Symantec 10 2008.09.17 - TheHacker 6.3.0.9.084 2008.09.17 - TrendMicro 8.700.0.1004 2008.09.17 - VBA32 3.12.8.5 2008.09.17 - ViRobot 2008.9.17.1379 2008.09.17 - VirusBuster 4.5.11.0 2008.09.17 - Webwasher-Gateway 6.6.2 2008.09.17 - weitere Informationen File size: 1419232 bytes MD5...: f9cf2db8b99dc50eab538c4d860ac1a4 SHA1..: b261c9e7f082eb8649afab9a677e022f84fd2823 SHA256: 865864a32aee78e588764f37847522fdb0bd1940ecd73b3c49d8f68b4d5bad71 SHA512: 59660740b58b1761a4658aeb02f669f1fd8a3fcb07c162a86b9565c5f9219cb9<br>93cc9d94b43b1d39edcd5032b478b8a9b3a388fb82449ca82a83e3c6dd94c02d PEiD..: - TrID..: File type identification<br>Win64 Executable Generic (80.9%)<br>Win32 Executable Generic (8.0%)<br>Win32 Dynamic Link Library (generic) (7.1%)<br>Generic Win/DOS Executable (1.8%)<br>DOS Executable Generic (1.8%) PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x200b1f1<br>timedatestamp.....: 0x4549b22f (Thu Nov 02 08:54:07 2006)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0xb5fc 0xb600 5.65 f22dec48818673ff7c5a195aaf5467fb<br>.data 0xd000 0x4784 0x400 5.82 2f921735b2e4d41f3435b6435a48c224<br>.rsrc 0x12000 0x14c070 0x14c200 8.00 53f650a59a836138ac8c81da1063f671<br>.reloc 0x15f000 0xaca 0xc00 4.24 89d06d197992273fe29c4c1fc272a571<br><br>( 9 imports ) <br>> msvcrt.dll: _amsg_exit, _initterm, _XcptFilter, _wcsnicmp, malloc, free, _wtoi, _wcsicmp, _ultow, _stricmp, memset, memcpy, _vsnwprintf, _adjust_fdiv<br>> SETUPAPI.dll: SetupInstallServicesFromInfSectionW, SetupCloseInfFile, SetupDiGetDriverInfoDetailW, SetupOpenInfFileW, SetupOpenLog, SetupLogErrorW, SetupCloseLog, SetupDiGetActualSectionToInstallW, SetupGetLineCountW, SetupFindFirstLineW, SetupGetStringFieldW, SetupFindNextMatchLineW, SetupDiGetSelectedDriverW<br>> KERNEL32.dll: GetWindowsDirectoryW, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, RtlUnwind, InterlockedCompareExchange, Sleep, InterlockedExchange, LoadLibraryExW, CreateProcessW, WaitForSingleObject, TerminateProcess, GetExitCodeProcess, SetLastError, FindResourceW, LoadResource, LockResource, SizeofResource, WriteFile, RemoveDirectoryW, CreateDirectoryW, FindFirstFileW, DeleteFileW, FindNextFileW, FindClose, CreateFileW, GetFileInformationByHandle, FileTimeToSystemTime, CloseHandle, FormatMessageW, GetLocalTime, OutputDebugStringW, LoadLibraryW, FreeLibrary, lstrlenA, WideCharToMultiByte, GetModuleFileNameW, LocalAlloc, LocalFree, GetLastError, GetProcAddress, GetModuleHandleW, GlobalFree, VerifyVersionInfoW, VerSetConditionMask<br>> ADVAPI32.dll: CloseServiceHandle, LockServiceDatabase, QueryServiceLockStatusW, ChangeServiceConfigW, UnlockServiceDatabase, QueryServiceConfigW, OpenSCManagerW, OpenServiceW, RegSetValueExW, RegFlushKey, RegCreateKeyExW, RegQueryValueExW, RegOpenKeyExW, RegCloseKey<br>> CRYPT32.dll: CertGetCertificateContextProperty<br>> WINTRUST.dll: WTHelperProvDataFromStateData, WTHelperGetProvSignerFromChain, WTHelperGetProvCertFromChain, WinVerifyTrust<br>> SHELL32.dll: CommandLineToArgvW<br>> USER32.dll: IsCharAlphaW, IsCharAlphaNumericW, LoadStringW<br>> ole32.dll: CoTaskMemFree<br><br>( 5 exports ) <br>WdfCoInstaller, WdfPostDeviceInstall, WdfPostDeviceRemove, WdfPreDeviceInstall, WdfPreDeviceRemove<br> packers (Kaspersky): PE_Patch, PE_Patch, PE_Patch nun die datei C:\WINDOWS\system32\drivers\s115mdm.sys Datei s115mdm.sys empfangen 2008.09.17 18:35:31 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.9.13.0 2008.09.17 - AntiVir 7.8.1.28 2008.09.17 - Authentium 5.1.0.4 2008.09.17 - Avast 4.8.1195.0 2008.09.16 - AVG 8.0.0.161 2008.09.17 - BitDefender 7.2 2008.09.17 - CAT-QuickHeal 9.50 2008.09.15 - ClamAV 0.93.1 2008.09.17 - DrWeb 4.44.0.09170 2008.09.17 - eSafe 7.0.17.0 2008.09.17 - eTrust-Vet 31.6.6090 2008.09.15 - Ewido 4.0 2008.09.17 - F-Prot 4.4.4.56 2008.09.16 - F-Secure 8.0.14332.0 2008.09.17 - Fortinet 3.113.0.0 2008.09.17 - GData 19 2008.09.17 - Ikarus T3.1.1.34.0 2008.09.17 - K7AntiVirus 7.10.460 2008.09.17 - Kaspersky 7.0.0.125 2008.09.17 - McAfee 5385 2008.09.17 - Microsoft 1.3903 2008.09.17 - NOD32v2 3449 2008.09.17 - Norman 5.80.02 2008.09.16 - Panda 9.0.0.4 2008.09.16 - PCTools 4.4.2.0 2008.09.17 - Prevx1 V2 2008.09.17 - Rising 20.62.22.00 2008.09.17 - Sophos 4.33.0 2008.09.17 - Sunbelt 3.1.1645.1 2008.09.17 - Symantec 10 2008.09.17 - TheHacker 6.3.0.9.084 2008.09.17 - TrendMicro 8.700.0.1004 2008.09.17 - VBA32 3.12.8.5 2008.09.17 - ViRobot 2008.9.17.1379 2008.09.17 - VirusBuster 4.5.11.0 2008.09.17 - Webwasher-Gateway 6.6.2 2008.09.17 - weitere Informationen File size: 108680 bytes MD5...: 4029e49e7c673aa0670bd206b0af1b5b SHA1..: a4b43d99be5c04b847db07e2f1242b5f8b9b603b SHA256: 7999ee1147a94748fed5ba6d295cd51449d01b89312bdd47a22a7dc015fb33fd SHA512: 8bac13e9a5212f94950b3648890b47a685b02f3f83a4b402374c99c00928adef<br>927e6996a934f89fcdcfe4b5d15ebf922b01fe42d170c7fa41fcc55a7ff997a8 PEiD..: - TrID..: File type identification<br>Win32 Executable Generic (68.0%)<br>Generic Win/DOS Executable (15.9%)<br>DOS Executable Generic (15.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x10300<br>timedatestamp.....: 0x462d0bae (Mon Apr 23 19:40:30 2007)<br>machinetype.......: 0x14c (I386)<br><br>( 6 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x300 0x15800 0x15800 6.46 90c77e94281a417d51ec2cccb1de55bc<br>.rdata 0x15b00 0x179f 0x1800 4.53 5474435fe91dedecb412c29e32cf1f81<br>.data 0x17300 0xb0 0x100 3.21 5b0665ace962061b8c14f4b40e426eec<br>INIT 0x17400 0x88a 0x900 5.31 a1c37eb6c68532546d9d5da8449197df<br>.rsrc 0x17d00 0x3d0 0x400 3.28 18061947ad0ac0fc736657c9cbf0b58a<br>.reloc 0x18100 0xc5a 0xc80 6.36 764d20102b1a500fff07eadbf86927f2<br><br>( 4 imports ) <br>> ntoskrnl.exe: ExQueueWorkItem, IoInitializeIrp, InterlockedDecrement, InterlockedIncrement, IofCompleteRequest, IoReleaseCancelSpinLock, KeInsertQueueDpc, ObfDereferenceObject, KeSetTimer, _allmul, KeQuerySystemTime, KeInitializeTimer, InterlockedExchange, KeSetEvent, IoCreateUnprotectedSymbolicLink, RtlWriteRegistryValue, IoDeleteSymbolicLink, KeInitializeDpc, KeInitializeSpinLock, KeInitializeEvent, KeTickCount, KeQueryTimeIncrement, KeWaitForSingleObject, KeClearEvent, RtlCompareMemory, IoAcquireCancelSpinLock, KeSetTimerEx, PoRequestPowerIrp, PoStartNextPowerIrp, KeInitializeTimerEx, IoAttachDeviceToDeviceStack, IofCallDriver, RtlInitUnicodeString, RtlAppendUnicodeToString, ObReferenceObjectByPointer, IoDeleteDevice, IoDetachDevice, ZwClose, ZwSetValueKey, ZwQueryValueKey, KeDelayExecutionThread, KeResetEvent, KefAcquireSpinLockAtDpcLevel, IoFreeIrp, IoAllocateIrp, IoCreateDevice, ExAllocatePoolWithTag, KeReadStateTimer, IoGetDeviceProperty, RtlEqualUnicodeString, _except_handler3, IoCancelIrp, RtlDeleteRegistryValue, KeCancelTimer, KeRemoveQueueDpc, memmove, ExFreePool<br>> HAL.dll: KeGetCurrentIrql, KfAcquireSpinLock, KfReleaseSpinLock<br>> USBD.SYS: USBD_GetUSBDIVersion<br>> s115cm.sys: _MCCICM_RemoveSerialDevice@4, _MCCIWH_FindIoSetDeviceInterfaceState@4, _MCCICM_AddSerialDevice@8, _MCCICM_ReestablishSerialConnection@4, _MCCIWH_FindIoRegisterDeviceInterface@4, _MCCIWH_QuerySystem98Gold@0, _MCCIWH_QuerySystemVersion@4, _MCCIWH_FindPoSetPowerState@4, _MCCIWH_FindPoRequestPowerIrp@4, _MCCIWH_FindPoStartNextPowerIrp@4, _MCCIWH_FindPoCallDriver@4, _MCCIWH_FindIoOpenDeviceRegistryKey@4, _MCCIWH_FindPDOByDevNode@8, _MCCIWH_FindPDOByReference@20<br><br>( 0 exports ) <br> nun die datei Msft_Kernel_ccdcmb_010 05.Wdf 0 bytes size received / Se ha recibido un archivo vacio die datei ist 0 bytes groß und zuletzt die datei C:\WINDOWS\system32\svchospt.exe Datei svchosptd.exe empfangen 2008.09.17 18:39:03 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.9.13.0 2008.09.17 - AntiVir 7.8.1.28 2008.09.17 - Authentium 5.1.0.4 2008.09.17 - Avast 4.8.1195.0 2008.09.16 - AVG 8.0.0.161 2008.09.17 - BitDefender 7.2 2008.09.17 - CAT-QuickHeal 9.50 2008.09.16 - ClamAV 0.93.1 2008.09.17 - DrWeb 4.44.0.09170 2008.09.17 - eSafe 7.0.17.0 2008.09.17 - eTrust-Vet 31.6.6091 2008.09.16 - Ewido 4.0 2008.09.17 - F-Prot 4.4.4.56 2008.09.16 - F-Secure 8.0.14332.0 2008.09.17 - Fortinet 3.113.0.0 2008.09.17 - GData 19 2008.09.17 - Ikarus T3.1.1.34.0 2008.09.17 - K7AntiVirus 7.10.460 2008.09.17 Trojan.Win32.Malware.1 Kaspersky 7.0.0.125 2008.09.17 - McAfee 5385 2008.09.17 - Microsoft 1.3903 2008.09.17 - NOD32v2 3449 2008.09.17 probably unknown NewHeur_PE virus Norman 5.80.02 2008.09.16 - Panda 9.0.0.4 2008.09.16 - PCTools 4.4.2.0 2008.09.17 - Prevx1 V2 2008.09.17 - Rising 20.62.22.00 2008.09.17 - Sophos 4.33.0 2008.09.17 - Sunbelt 3.1.1645.1 2008.09.17 - Symantec 10 2008.09.17 - TheHacker 6.3.0.9.084 2008.09.17 - TrendMicro 8.700.0.1004 2008.09.17 - VBA32 3.12.8.5 2008.09.17 - ViRobot 2008.9.17.1379 2008.09.17 - VirusBuster 4.5.11.0 2008.09.17 - Webwasher-Gateway 6.6.2 2008.09.17 - weitere Informationen File size: 40960 bytes MD5...: 14a1dcc5fbbdab8703b8aeeb294738f2 SHA1..: 9bd5ee07c3a3ee83ef8d8c14feac1da397854d01 SHA256: f81020a8c4f79055ff70228a961d746ad85f16926602d1fd051a54a3028767bd SHA512: 67b96ca83b310220088d54becba32771a783e8d5607f16a59516115621887b72<br>afa436fd1f0c8ecf25ec0fd391166d2fe1ff126807063da056309938464c1fed PEiD..: - TrID..: File type identification<br>Win32 Executable Microsoft Visual Basic 6 (90.9%)<br>Win32 Executable Generic (6.1%)<br>Generic Win/DOS Executable (1.4%)<br>DOS Executable Generic (1.4%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x4015b4<br>timedatestamp.....: 0x47a6115d (Sun Feb 03 19:09:17 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 3 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x5300 0x6000 4.39 7f57be2540ad344ce4b4b3e4b4cf0134<br>.data 0x7000 0xb9c 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110<br>.rsrc 0x8000 0x1d0a 0x2000 2.79 b522f6dd6f34bbfe1b00277b3cdf744f<br><br>( 1 imports ) <br>> MSVBVM60.DLL: _CIcos, _adj_fptan, __vbaVarMove, __vbaStrI4, __vbaFreeVar, __vbaStrVarMove, __vbaLenBstr, __vbaEnd, _adj_fdiv_m64, _adj_fprem1, __vbaRecAnsiToUni, __vbaStrCat, __vbaLsetFixstr, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaAryDestruct, __vbaExitProc, __vbaOnError, __vbaObjSet, _adj_fdiv_m16i, __vbaObjSetAddref, _adj_fdivr_m16i, -, __vbaStrFixstr, _CIsin, -, -, __vbaChkstk, __vbaFileClose, -, EVENT_SINK_AddRef, __vbaGenerateBoundsError, __vbaAryConstruct2, DllFunctionCall, _adj_fpatan, __vbaRedim, __vbaRecUniToAnsi, EVENT_SINK_Release, -, _CIsqrt, EVENT_SINK_QueryInterface, __vbaExceptHandler, __vbaStrToUnicode, _adj_fprem, _adj_fdivr_m64, __vbaFPException, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen, -, __vbaNew2, __vbaInStr, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy, __vbaFreeStrList, _adj_fdivr_m32, _adj_fdiv_r, -, __vbaI4Var, __vbaAryLock, __vbaStrToAnsi, -, __vbaFpI4, -, _CIatan, __vbaStrMove, _allmul, _CItan, __vbaAryUnlock, _CIexp, __vbaFreeObj, __vbaFreeStr<br><br>( 0 exports ) <br> !!!!!!!!!!!!!!! In der letzten datei hat er 2 einträge gefunden !!!!!!!!!!!!!!!! kannst du mir jetzt sagen , was zu tun ist !! besten dank in die schweiz |
|
17.09.2008, 18:00
| #14 | |
| | Hartnäckiger trojan.xxx.xxx Folgendes: 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter files to delete:
C:\WINDOWS\system32\zqrmxati.exe
C:\WINDOWS\system32\svchospt.exe
C:\WINDOWS\system32\wnodulwp.exe
C:\WINDOWS\S36916824.tmp
4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag. Poste dann nochmals ein HJT bitte
__________________ Kein Support per PN Zitat:
|
|
18.09.2008, 09:27
| #15 |
| | Hartnäckiger trojan.xxx.xxx Hi Trojan-death. Anbei die beiden logs. 1. avenger-log Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "C:\WINDOWS\system32\zqrmxati.exe" not found! Deletion of file "C:\WINDOWS\system32\zqrmxati.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "C:\WINDOWS\system32\svchospt.exe" deleted successfully. Error: file "C:\WINDOWS\system32\wnodulwp.exe" not found! Deletion of file "C:\WINDOWS\system32\wnodulwp.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "C:\WINDOWS\S36916824.tmp" deleted successfully. Completed script processing. ******************* Finished! Terminate. 2. hjt-log Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:23:45, on 18.09.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\D-Link\D-Link RangeBooster N 650 DWA-547\acs.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\SlySoft\CloneCD\CloneCDTray.exe C:\Programme\Samsung\EmoDio\SMSTray.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\ANYCOM\Blue USB-200-250\BTTray.exe C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe C:\WINDOWS\eHome\ehmsas.exe C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe C:\Programme\OnlineControl\ocontrol.exe C:\Programme\D-Link\D-Link RangeBooster N 650 DWA-547\wirelesscm.exe C:\Programme\HotSpot Manager\HotSpotMgr.exe C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE C:\Programme\iPod\bin\iPodService.exe C:\Programme\Skype\Plugin Manager\SkypePM.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Gemeinsame Dateien\T-Com\HotspotMgr\HotSpotFSvc.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O2 - BHO: AL2Spy Class - {DC200356-0864-4F66-8964-5D43A19300F5} - C:\WINDOWS\AUTOLO~1\AL2DLL.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe check O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [SMSTray] C:\Programme\Samsung\EmoDio\SMSTray.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [svchospt] C:\WINDOWS\system32\svchospt.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: HotSpot Manager.lnk = C:\Programme\HotSpot Manager\HotSpotMgr.exe O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe O4 - Global Startup: Wireless Connection Manager.lnk = C:\Programme\D-Link\D-Link RangeBooster N 650 DWA-547\wirelesscm.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1171722511062 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Atheros Configuration Service (ACS) - Atheros - C:\Programme\D-Link\D-Link RangeBooster N 650 DWA-547\acs.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- End of file - 10760 bytes Ich hoffe, wir kommen dem Ende nahe !! Danke nochmal ! |
|
| Themen zu Hartnäckiger trojan.xxx.xxx |
| abgesicherten modus, ad-aware, adobe, antivir, antivirus, avira, bho, bonjour, combofix, excel, explorer, fehlermeldung, google, hijack, hijackthis, hkus\s-1-5-18, hotspot, internet, internet explorer, magix, object, rundll, senden, server, software, solution, system, trojan.downloader.wi, windows, windows xp, windows xp sp3, xp sp3 |
Linear-Darstellung
