| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: 7 Viren bzw. Backdoorprogramme gefundenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
30.09.2008, 16:52
| #1 |
 |  7 Viren bzw. Backdoorprogramme gefunden Hallo zusammen! Ich versuche seit Tagen mehrere von Antivir angezeigte Viren zu entfernen! Mein Antivir Programm hat folgendes gefunden: Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 30. September 2008 16:19
Es wird nach 1651806 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: XXX
Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 22.07.2008 11:48:26
AVSCAN.DLL : 8.1.4.0 48897 Bytes 22.07.2008 11:48:26
LUKE.DLL : 8.1.4.5 164097 Bytes 22.07.2008 11:48:26
LUKERES.DLL : 8.1.4.0 12545 Bytes 22.07.2008 11:48:26
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:09:38
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 22:50:50
ANTIVIR2.VDF : 7.0.6.217 3773440 Bytes 26.09.2008 18:33:47
ANTIVIR3.VDF : 7.0.6.230 91648 Bytes 30.09.2008 14:16:30
Engineversion : 8.1.1.35
AEVDF.DLL : 8.1.0.5 102772 Bytes 18.04.2008 22:24:08
AESCRIPT.DLL : 8.1.0.76 319867 Bytes 20.09.2008 10:57:10
AESCN.DLL : 8.1.0.23 119156 Bytes 22.07.2008 11:48:27
AERDL.DLL : 8.1.1.2 438644 Bytes 20.09.2008 10:57:09
AEPACK.DLL : 8.1.2.3 364918 Bytes 27.09.2008 18:33:52
AEOFFICE.DLL : 8.1.0.25 196986 Bytes 20.09.2008 10:57:07
AEHEUR.DLL : 8.1.0.59 1438071 Bytes 20.09.2008 10:57:06
AEHELP.DLL : 8.1.0.15 115063 Bytes 21.06.2008 09:44:52
AEGEN.DLL : 8.1.0.36 315764 Bytes 20.08.2008 10:49:55
AEEMU.DLL : 8.1.0.7 430452 Bytes 03.08.2008 14:02:04
AECORE.DLL : 8.1.1.11 172406 Bytes 04.09.2008 20:26:40
AEBB.DLL : 8.1.0.1 53617 Bytes 22.07.2008 11:48:27
AVWINLL.DLL : 1.0.0.12 15105 Bytes 22.07.2008 11:48:26
AVPREF.DLL : 8.0.2.0 38657 Bytes 22.07.2008 11:48:26
AVREP.DLL : 8.0.0.2 98344 Bytes 03.08.2008 14:02:01
AVREG.DLL : 8.0.0.1 33537 Bytes 22.07.2008 11:48:26
AVARKT.DLL : 1.0.0.23 307457 Bytes 18.04.2008 22:24:07
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 22.07.2008 11:48:26
SQLITE3.DLL : 3.3.17.1 339968 Bytes 18.04.2008 22:24:07
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 22.07.2008 11:48:26
NETNT.DLL : 8.0.0.1 7937 Bytes 18.04.2008 22:24:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 22.07.2008 11:48:23
RCTEXT.DLL : 8.0.52.0 86273 Bytes 22.07.2008 11:48:23
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Beginn des Suchlaufs: Dienstag, 30. September 2008 16:19
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroRd32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TFncKy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFXFER.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MemOptimizer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TOSCDSPD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPSBattM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'a2guard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFSServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PadExe.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApntEx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TvsTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPSMain.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TCtrlIOHook.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZoomingHook.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FnKeyHook.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CeEKey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmmsg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MWAGENT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MWASER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFSvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'a2service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Smc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '53' Prozesse mit '53' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '61' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\XXX\Desktop\Essays\Dokumente\Profile of Norman England and the Tudor Monarchy.doc
[WARNUNG] Eine Exception wurde abgefangen!
[WARNUNG] Im Modul aecore.dll ist eine Exception aufgetreten.
Aufruf der Funktion AVEPROC_TestFile in file: \\?\C:\Dokumente und Einstellungen\XXX\Desktop\Essays\Dokumente\Profile of Norman England and the Tudor Monarchy.doc
Fehlerbeschreibung:ACCESS_VIOLATION
EAX = 0135D002 EBX = 01B5E890
ECX = 000274B8 EDX = FFFFFFFD
ESI = 00000000 EDI = 013730f0
EIP = 015E94E3 EBP = 01361A70
ESP = 01B5E574 Flg = 00010217
CS = 00000023 SS = 0000001B
C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP56\A0038098.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4912401f.qua' verschoben!
C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP56\A0038101.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49124022.qua' verschoben!
C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP56\A0038102.sys
[FUND] Ist das Trojanische Pferd TR/Agent.wzl
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49124024.qua' verschoben!
C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP56\A0038124.dll
[FUND] Ist das Trojanische Pferd TR/TDss.G
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49124049.qua' verschoben!
C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP56\A0038125.dll
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/UltimateDefender.17920
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4912404e.qua' verschoben!
C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP56\A0038126.dll
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.rfv
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49124053.qua' verschoben!
C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP56\A0038127.dll
[FUND] Ist das Trojanische Pferd TR/Agent.8704.76
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49124057.qua' verschoben!
Ende des Suchlaufs: Dienstag, 30. September 2008 17:13
Benötigte Zeit: 54:21 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
6815 Verzeichnisse wurden überprüft
212622 Dateien wurden geprüft
7 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
7 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
212613 Dateien ohne Befall
6789 Archive wurden durchsucht
3 Warnungen
7 Hinweise
|
|
30.09.2008, 16:56
| #2 |
| | 7 Viren bzw. Backdoorprogramme gefunden hier folgt jetzt noch das HijackThis log:
__________________Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:43:22, on 30/09/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Unable to get Internet Explorer version! Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\a-squared Anti-Malware\a2service.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Apoint2K\Apoint.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\TOSHIBA\E-KEY\CeEKey.exe C:\Programme\TOSHIBA\TouchPad\TPTray.exe C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe C:\WINDOWS\system32\ZoomingHook.exe C:\WINDOWS\system32\TCtrlIOHook.exe C:\WINDOWS\system32\TPSMain.exe C:\Programme\TOSHIBA\Tvs\TvsTray.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Apoint2K\Apntex.exe C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe C:\Programme\TOSHIBA\ConfigFree\CFSServ.exe C:\Programme\a-squared Anti-Malware\a2guard.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\TPSBattM.exe C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe C:\WINDOWS\System32\alg.exe C:\Programme\TOSHIBA\ConfigFree\CFXFER.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Toshiba\TOSHIBA Controls\TFncKy.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\XXX\Desktop\HiJackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Asz.Citavi.IEAddon.IEPickerButton - {609D670F-B735-4da7-AC6D-F3BD358E325E} - C:\WINDOWS\system32\mscoree.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe O4 - HKLM\..\Run: [TOSHIBA Accessibility] C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe O4 - HKLM\..\Run: [SVPWUTIL] "C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe" SVPwUTIL O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe O4 - HKLM\..\Run: [TPSMain] TPSMain.exe O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [SmcService] "C:\PROGRA~1\Sygate\SPF\smc.exe" -startgui O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [HWSetup] "C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe" hwSetUP O4 - HKLM\..\Run: [PadTouch] "C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe" /d=60 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Citavi Picker... - file://C:\Programme\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute Lite Edition\vrie.dll O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute Lite Edition\vrie.dll O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: Citavi Picker - {619D670F-B735-4da7-AC6D-F3BD358E325E} - C:\WINDOWS\system32\mscoree.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: eBay - {670C5F66-0866-4DD7-8A3F-1EDE62C2E8BB} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (file missing) (HKCU) O17 - HKLM\System\CCS\Services\Tcpip\..\{AE11FA69-D128-4C74-A773-C90986404273}: NameServer = 192.168.122.252,192.168.122.253 O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe -- End of file - 9351 bytes Bitte helft mir, das hört sich ja alles echt nicht so gut an  |
|
30.09.2008, 18:19
| #3 |
| | 7 Viren bzw. Backdoorprogramme gefunden und ich habe jetzt auch das malwarebytes' Ant-Malware log rausgesucht:
__________________Code:
ATTFilter Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1219
Windows 5.1.2600 Service Pack 2
28/09/2008 17:41:13
mbam-log-2008-09-28 (17-41-13).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 56229
Laufzeit: 8 minute(s), 7 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp\TDSSd104.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Code:
ATTFilter Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1209
Windows 5.1.2600 Service Pack 2
27/09/2008 14:57:09
mbam-log-2008-09-27 (14-57-09).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 14822
Laufzeit: 47 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders (Broken.SecurityProviders) -> Bad: (msapsspc.dll schannel.dll digest.dll msnsspc.dll) Good: (msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1212
Windows 5.1.2600 Service Pack 2
27/09/2008 15:35:37
mbam-log-2008-09-27 (15-35-37).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 54045
Laufzeit: 5 minute(s), 50 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\rhclc9j0e963 (Rogue.AntivirusXP2008) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1219
Windows 5.1.2600 Service Pack 2
28/09/2008 16:30:06
mbam-log-2008-09-28 (16-30-06).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 57390
Laufzeit: 4 minute(s), 16 second(s)
Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3
Infizierte Speicherprozesse:
C:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Failed to unload process.
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\ (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\ (Trojan.Agent) -> Quarantined and deleted successfully.
|
|
30.09.2008, 20:04
| #4 |
| | 7 Viren bzw. Backdoorprogramme gefunden Kann mir niemand helfen?? Backdoorprogramm BDS/Agent.rfv Backdoorprogrammes BDS/UltimateDefender.17920 was sind denn das für Programme?? und warum findet denn keins der antispyware programme was? ..Brauche Hilfe!!!!!  |
|
30.09.2008, 20:13
| #5 |
| | 7 Viren bzw. Backdoorprogramme gefunden ich habe jetzt auch nochmal RSIT laufen lassen.. hier die logs: Code:
ATTFilter Logfile of random's system information tool 1.04 (written by random/random) Run by XXX at 2008-09-30 21:08:58 Microsoft Windows XP Home Edition Service Pack 2 System drive C: has 44 GB (76%) free of 57 GB Total RAM: 510 MB (25% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:09:14, on 30/09/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Unable to get Internet Explorer version! Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\a-squared Anti-Malware\a2service.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Apoint2K\Apoint.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\TOSHIBA\E-KEY\CeEKey.exe C:\Programme\TOSHIBA\TouchPad\TPTray.exe C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe C:\WINDOWS\system32\ZoomingHook.exe C:\WINDOWS\system32\TCtrlIOHook.exe C:\WINDOWS\system32\TPSMain.exe C:\Programme\TOSHIBA\Tvs\TvsTray.exe C:\Programme\Apoint2K\Apntex.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\TPSBattM.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe C:\Programme\TOSHIBA\ConfigFree\CFSServ.exe C:\Programme\a-squared Anti-Malware\a2guard.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe C:\Programme\TOSHIBA\ConfigFree\CFXFER.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Toshiba\TOSHIBA Controls\TFncKy.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\msiexec.exe C:\Dokumente und Einstellungen\XXX\Desktop\RSIT.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Dokumente und Einstellungen\XXX\Desktop\XXX.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Asz.Citavi.IEAddon.IEPickerButton - {609D670F-B735-4da7-AC6D-F3BD358E325E} - C:\WINDOWS\system32\mscoree.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe O4 - HKLM\..\Run: [TOSHIBA Accessibility] C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe O4 - HKLM\..\Run: [SVPWUTIL] "C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe" SVPwUTIL O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe O4 - HKLM\..\Run: [TPSMain] TPSMain.exe O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [SmcService] "C:\PROGRA~1\Sygate\SPF\smc.exe" -startgui O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [HWSetup] "C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe" hwSetUP O4 - HKLM\..\Run: [PadTouch] "C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe" /d=60 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Citavi Picker... - file://C:\Programme\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute Lite Edition\vrie.dll O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute Lite Edition\vrie.dll O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: Citavi Picker - {619D670F-B735-4da7-AC6D-F3BD358E325E} - C:\WINDOWS\system32\mscoree.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: eBay - {670C5F66-0866-4DD7-8A3F-1EDE62C2E8BB} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (file missing) (HKCU) O17 - HKLM\System\CCS\Services\Tcpip\..\{AE11FA69-D128-4C74-A773-C90986404273}: NameServer = 192.168.122.252,192.168.122.253 O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe -- End of file - 9339 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\1-Click Maintenance.job C:\WINDOWS\tasks\1-Klick-Wartung.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}] Yahoo! Toolbar Helper - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll [2006-10-26 440384] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] Adobe PDF Reader Link Helper - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-12-18 59032] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}] Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2008-07-07 1562448] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{609D670F-B735-4da7-AC6D-F3BD358E325E}] Asz.Citavi.IEAddon.IEPickerButton - C:\WINDOWS\system32\mscoree.dll [2007-10-24 282112] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Yahoo! Toolbar mit Pop-Up-Blocker - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll [2006-10-26 440384] {D0943516-5076-4020-A3B5-AEFAF26AB263} - Veoh Browser Plug-in - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll [2008-04-01 352256] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Apoint"=C:\Programme\Apoint2K\Apoint.exe [2003-10-30 192512] "AGRSMMSG"=C:\WINDOWS\AGRSMMSG.exe [2004-10-28 88363] "CeEKEY"=C:\Programme\TOSHIBA\E-KEY\CeEKey.exe [2005-01-21 675840] "TPNF"=C:\Programme\TOSHIBA\TouchPad\TPTray.exe [2004-11-29 53248] "TOSHIBA Accessibility"=C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe [2004-12-07 24576] "SVPWUTIL"=C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe [2005-02-25 65536] "Zooming"=C:\WINDOWS\system32\ZoomingHook.exe [2004-07-14 24576] "TCtryIOHook"=C:\WINDOWS\system32\TCtrlIOHook.exe [2005-02-16 28672] "TPSMain"=C:\WINDOWS\system32\TPSMain.exe [2005-01-21 266240] "Tvs"=C:\Programme\TOSHIBA\Tvs\TvsTray.exe [2004-11-12 73728] "ATIPTA"=C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe [2005-02-22 339968] "SmcService"=C:\PROGRA~1\Sygate\SPF\smc.exe [2004-02-24 2372760] "avgnt"=C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe [2008-07-22 266497] "HWSetup"=C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe [2004-12-23 28672] "PadTouch"=C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe [2004-11-17 1077327] "QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2008-03-28 413696] "CFSServ.exe"=CFSServ.exe -NoClient [] "a-squared"=C:\Programme\a-squared Anti-Malware\a2guard.exe [2008-07-31 2131600] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360] "TOSCDSPD"=C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe [2005-03-02 65536] "TuneUp MemOptimizer"=C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe [2007-04-27 312328] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] C:\Programme\MSN Messenger\MsnMsgr.Exe /background [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck] C:\WINDOWS\system32\NeroCheck.exe [2003-07-13 155648] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] C:\Programme\Skype\Phone\Skype.exe [2006-10-13 20058152] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] C:\PROGRA~1\Adobe\ACROBA~2.0\Reader\READER~1.EXE [2005-09-23 29696] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Cisco Systems VPN Client.lnk] C:\PROGRA~1\CISCOS~1\VPNCLI~1\vpngui.exe [2004-09-17 1470480] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk] C:\PROGRA~1\WinZip\WZQKPICK.EXE [2004-08-16 118784] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^wmplayer.exe] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\wmplayer.exe [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] C:\WINDOWS\system32\Ati2evxx.dll [2005-02-23 61440] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] C:\WINDOWS\system32\WgaLogon.dll [2007-03-15 236928] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSserv.sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\TDSSserv.sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "NoDispScrSavPage"=0 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 "SynchronousMachineGroupPolicy"=0 "SynchronousUserGroupPolicy"=0 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=0 "MaxRecentDocs"=6 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveAutoRun"= "NoDriveTypeAutoRun"= "NoDrives"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019" "C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWAGENT.EXE"="C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWAGENT.EXE:*:Enabled:MicroWorld Management Agent" "C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype" "C:\Programme\Microsoft ActiveSync\rapimgr.exe"="C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager" "C:\Programme\Microsoft ActiveSync\wcescomm.exe"="C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager" "C:\Programme\Microsoft ActiveSync\WCESMgr.exe"="C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application" "C:\Programme\TOSHIBA\ConfigFree\CFXFER.exe"="C:\Programme\TOSHIBA\ConfigFree\CFXFER.exe:*:Enabled:ConfigFree SUMMIT Engine" "C:\Programme\PPMate\ppmate.exe"="C:\Programme\PPMate\ppmate.exe:*:Enabled:PPMate" "C:\Programme\ICQ6\ICQ.exe"="C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6" "C:\Programme\Veoh Networks\Veoh\VeohClient.exe"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe:*:Enabled:Veoh Client" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWAGENT.EXE"="C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWAGENT.EXE:*:Enabled:MicroWorld Management Agent" "C:\PROGRA~1\GEMEIN~1\MICROW~1\eScanRAD\ESCANRAD.EXE"="C:\PROGRA~1\GEMEIN~1\MICROW~1\eScanRAD\ESCANRAD.EXE:*:Enabled:eScan Remote Administration Tool" "C:\Programme\Microsoft ActiveSync\rapimgr.exe"="C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager" "C:\Programme\Microsoft ActiveSync\wcescomm.exe"="C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager" "C:\Programme\Microsoft ActiveSync\WCESMgr.exe"="C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application" "C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{96f9d5d8-e742-11db-a1bb-00059a3c7800}] shell\AutoRun\command - E:\setupSNK.exe |
|
30.09.2008, 20:14
| #6 |
| | 7 Viren bzw. Backdoorprogramme gefunden der zweite Teil: Code:
ATTFilter ======File associations====== .reg - open - regedit.exe "%1" %* ======List of files/folders created in the last 1 months====== 2008-09-30 21:08:58 ----D---- C:\rsit 2008-09-30 20:27:00 ----A---- C:\WINDOWS\ntbtlog.txt 2008-09-30 20:06:15 ----A---- C:\WINDOWS\gmer.ini 2008-09-30 20:06:11 ----A---- C:\WINDOWS\gmer_uninstall.cmd 2008-09-30 20:06:11 ----A---- C:\WINDOWS\gmer.exe 2008-09-30 20:06:11 ----A---- C:\WINDOWS\gmer.dll 2008-09-27 18:37:51 ----D---- C:\Dokumente und Einstellungen\XXX Steinke\Anwendungsdaten\vlc 2008-09-27 17:43:16 ----D---- C:\Programme\JAP 2008-09-27 01:20:50 ----D---- C:\WatchNow 2008-09-26 15:01:43 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier 2008-09-13 11:45:24 ----A---- C:\WINDOWS\system32\TASKMGR.COM 2008-09-13 11:45:24 ----A---- C:\WINDOWS\REGEDIT.COM 2008-09-10 16:16:58 ----HDC---- C:\WINDOWS\$NtUninstallKB938464$ 2008-09-10 16:15:37 ----HDC---- C:\WINDOWS\$NtUninstallKB954154_WM11$ 2008-09-09 20:15:39 ----D---- C:\Programme\VisualRoute Lite Edition 2008-09-06 17:52:44 ----N---- C:\WINDOWS\system32\msxml3a.dll 2008-09-06 17:36:57 ----D---- C:\Programme\Audible ======List of files/folders modified in the last 1 months====== 2008-09-30 20:59:57 ----D---- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-09-30 20:46:30 ----D---- C:\WINDOWS\system32\drivers 2008-09-30 20:45:27 ----D---- C:\Programme\Mozilla Firefox 2008-09-30 20:37:54 ----D---- C:\WINDOWS\TEMP 2008-09-30 20:27:00 ----D---- C:\WINDOWS 2008-09-30 20:25:27 ----A---- C:\WINDOWS\SchedLgU.Txt 2008-09-30 19:56:56 ----D---- C:\WINDOWS\Prefetch 2008-09-30 19:26:07 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-09-30 17:27:06 ----D---- C:\WINDOWS\system32\Restore 2008-09-30 16:15:56 ----D---- C:\Programme\AntiVir PersonalEdition Classic 2008-09-30 16:15:54 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2008-09-29 14:08:17 ----D---- C:\Programme\Spybot - Search & Destroy 2008-09-28 22:51:05 ----D---- C:\Dokumente und Einstellungen 2008-09-28 22:24:16 ----SHD---- C:\WINDOWS\Installer 2008-09-28 19:15:09 ----D---- C:\Programme\a-squared Anti-Malware 2008-09-28 18:33:37 ----AD---- C:\Programme 2008-09-28 17:41:12 ----D---- C:\WINDOWS\system32 2008-09-28 17:31:56 ----D---- C:\WINDOWS\system32\CatRoot2 2008-09-28 17:31:49 ----D---- C:\fixwareout 2008-09-27 18:37:15 ----D---- C:\Programme\VideoLAN 2008-09-27 14:58:25 ----D---- C:\WINDOWS\Internet Logs 2008-09-26 15:01:12 ----HD---- C:\WINDOWS\inf 2008-09-23 22:36:39 ----D---- C:\WINDOWS\Minidump 2008-09-23 17:53:03 ----D---- C:\Program Files 2008-09-22 20:29:06 ----D---- C:\Programme\TuneUp Utilities 2007 2008-09-22 16:50:05 ----D---- C:\Programme\ICQ6 2008-09-21 12:55:36 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2008-09-10 16:34:25 ----D---- C:\WINDOWS\Debug 2008-09-10 16:16:59 ----D---- C:\WINDOWS\WinSxS 2008-09-10 16:16:10 ----HD---- C:\WINDOWS\$hf_mig$ 2008-09-09 23:33:26 ----D---- C:\WINDOWS\Downloaded Installations 2008-09-09 22:44:31 ----D---- C:\Dokumente und Einstellungen\XXX Steinke\Anwendungsdaten\Adobe 2008-09-09 22:44:30 ----SD---- C:\WINDOWS\Downloaded Program Files 2008-09-09 19:55:14 ----D---- C:\WINDOWS\system32\config 2008-08-31 23:38:56 ----SHD---- C:\RECYCLER 2008-08-31 21:11:52 ----D---- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\ICQ ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 avgntdd;avgntdd; C:\WINDOWS\SYSTEM32\DRIVERS\avgntdd.sys [2008-07-22 45376] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2008-07-22 75072] R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-04 40192] R1 NETDSL;AVM PPP over Ethernet; C:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-11-21 11264] R1 sdcplh;sdcplh; C:\WINDOWS\System32\drivers\sdcplh.sys [2006-01-06 55168] R1 SerTVOutCtlr;TOSHIBA Controls Driver -EPIOMngr; C:\WINDOWS\system32\drivers\EPIOMngr.sys [2004-07-30 6400] R1 SrvcEKIOMngr;SrvcEKIOMngr; C:\WINDOWS\System32\Drivers\EKIoMngr.sys [2004-07-29 6400] R1 SrvcSSIOMngr;SrvcSSIOMngr; C:\WINDOWS\System32\Drivers\SSIoMngr.sys [2004-07-29 6400] R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2008-04-19 21248] R1 TPwSav;Common Driver; C:\WINDOWS\System32\Drivers\TPwSav.sys [2005-02-25 8704] R1 wpsdrvnt;wpsdrvnt; \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys [] R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2004-08-04 12032] R2 CVPNDRVA;Cisco Systems IPsec Driver; \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys [] R2 irda;IrDA-Protokoll; C:\WINDOWS\system32\DRIVERS\irda.sys [2004-08-04 87424] R2 Netdevio;TOSHIBA Network Device Usermode I/O Protocol; C:\WINDOWS\system32\DRIVERS\netdevio.sys [2003-01-29 12032] R2 wg3n;SyGate for NT, wg3n; C:\WINDOWS\SYSTEM32\Drivers\wg3n.sys [2004-02-02 11914] R3 AgereSoftModem;TOSHIBA V92 Software Modem; C:\WINDOWS\system32\DRIVERS\AGRSM.sys [2004-10-28 1270572] R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2004-10-27 2284864] R3 ApfiltrService;Alps Pointing-device Filter Driver; C:\WINDOWS\system32\DRIVERS\Apfiltr.sys [2004-05-08 101833] R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2004-08-04 60800] R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2005-02-23 986624] R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2004-08-04 14080] R3 DNE;Deterministic Network Enhancer Miniport; C:\WINDOWS\system32\DRIVERS\dne2000.sys [2003-07-24 139604] R3 NETFWDSL;AVM FRITZ!web DSL PPP; C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-11-21 367104] R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2004-08-04 61824] R3 Rasirda;WAN-Miniport (IrDA); C:\WINDOWS\system32\DRIVERS\rasirda.sys [2001-08-17 19584] R3 RTL8023xp;Realtek RTL8139/810x/8169/8110 all in one NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtlnicxp.sys [2004-06-28 69760] R3 sdbus;sdbus; C:\WINDOWS\system32\DRIVERS\sdbus.sys [2004-08-04 67584] R3 Tvs;Toshiba Virtual Sound with SRS technologies; C:\WINDOWS\system32\DRIVERS\Tvs.sys [2005-01-08 29184] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-04 26624] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-04 57600] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-04 20480] R3 w29n51;Intel(R) PRO/Wireless 2200BG Netzwerkverbindungstreiber für Windows XP; C:\WINDOWS\system32\DRIVERS\w29n51.sys [2004-10-29 3222784] S3 AR5211;Atheros Wireless Network Adapter Service; C:\WINDOWS\system32\DRIVERS\ar5211.sys [2004-12-22 393600] S3 catchme;catchme; \??\C:\ComboFix\catchme.sys [] S3 CVirtA;Cisco Systems VPN Adapter; C:\WINDOWS\system32\DRIVERS\CVirtA.sys [2003-05-01 5220] S3 gmer;gmer; C:\WINDOWS\System32\DRIVERS\gmer.sys [2008-09-30 85969] S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600] S3 mbr;mbr; \??\C:\DOKUME~1\XXX~1\LOKALE~1\Temp\mbr.sys [] S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288] S3 rtl8139;NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernet-Adapter; C:\WINDOWS\system32\DRIVERS\RTL8139.SYS [2004-08-03 20992] S3 sffdisk;SFF-Speicherklassentreiber; C:\WINDOWS\system32\DRIVERS\sffdisk.sys [2004-08-04 11136] S3 sffp_sd;SFF-Speicherprotokolltreiber für SDBus; C:\WINDOWS\system32\DRIVERS\sffp_sd.sys [2004-08-04 10240] S3 SMCIRDA;SMSC IrCC Miniport Device Driver; C:\WINDOWS\system32\DRIVERS\smcirda.sys [2004-06-16 46080] S3 usb_rndisx;USB RNDIS Adapter; C:\WINDOWS\system32\DRIVERS\usb8023x.sys [2005-10-21 12800] S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104] S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496] S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944] S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\system32\DRIVERS\sr.sys [2004-08-04 73472] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 a2AntiMalware;a-squared Anti-Malware Service; C:\Programme\a-squared Anti-Malware\a2service.exe [2008-07-31 380536] R2 AntiVirScheduler;AntiVir PersonalEdition Classic Planer; C:\Programme\AntiVir PersonalEdition Classic\sched.exe [2008-07-22 68865] R2 AntiVirService;AntiVir PersonalEdition Classic Guard; C:\Programme\AntiVir PersonalEdition Classic\avguard.exe [2008-08-15 149761] R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2005-02-23 352256] R2 AVM IGD CTRL Service;AVM IGD CTRL Service; C:\Programme\FRITZ!DSL\IGDCTRL.EXE [2005-11-21 81920] R2 CFSvcs;ConfigFree Service; C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe [2004-11-10 36864] R2 CVPND;Cisco Systems, Inc. VPN Service; C:\Programme\Cisco Systems\VPN Client\cvpnd.exe [2004-09-17 1437712] R2 ICQ Service;ICQ Service; C:\Programme\ICQ6Toolbar\ICQ Service.exe [2008-06-10 222456] R2 Irmon;Infrarotüberwachung; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336] R2 MWAgent;MWAgent; C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE [2006-03-31 414208] R2 SmcService;Sygate Personal Firewall; C:\Programme\Sygate\SPF\smc.exe [2004-02-24 2372760] R2 UxTuneUp;TuneUp Designerweiterung; C:\WINDOWS\System32\svchost.exe [2004-08-04 14336] R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144] S3 de_serv;AVM FRITZ!web Routing Service; C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe [2005-11-21 315392] S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632] S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136] S3 WMPNetworkSvc;Windows Media Player Network Sharing Service; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576] -----------------EOF----------------- |
|
01.10.2008, 08:08
| #7 |
| | 7 Viren bzw. Backdoorprogramme gefunden hallo nochmal!! was mache ich denn falsch dass mir niemand antwortet?? Ich würde mich wirklich freuen wenn ihr Tipps für mich hättet, oder muss ich neu aufsetzen? Bin verzweifelt und finde auch keine Lösung im Netz! Hab mittlerweile smitfraud eingesetzt und antivir auf die empfohlenen aggressiven einstellungen gestellt. Luke Filewalker bleibt jetzt immer bei tdssserve.sys hängen.. Bitte helft mir!!!!!!! |
|
01.10.2008, 10:47
| #8 | |
| | 7 Viren bzw. Backdoorprogramme gefundenZitat:
Status: Es wird nach versteckten Dateien gesucht! Letztes Objekt: HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv\ Ich hoffe ihr könnt mir irgendwie weiterhelfen!!! Vielen lieben Dank!! |
|
02.10.2008, 14:57
| #9 |
| Administrator > Competence Manager  | 7 Viren bzw. Backdoorprogramme gefunden Hallo marleo und  Bitte tue dir und mir den Gefallen und sichere deine Diplomarbeit auf einem USB-Stick oder CD bevor wir anfangen! Danach bitte das hier abarbeiten: ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. (ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
02.10.2008, 17:03
| #10 |
| | 7 Viren bzw. Backdoorprogramme gefunden Hallo!! Vielen Dank für deine Hilfe!! Ich freu mich wirklich, dass ihr hier so supi arbeit macht  Und hab auch soweit die wichtigsten daten gesichert! also hier das log: Code:
ATTFilter ComboFix 08-10-01.05 - XXX 2008-10-02 17:04:57.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.248 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\XXX\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_MCHINJDRV
-------\Legacy_TDSSSERV
-------\Service_TDSSserv
((((((((((((((((((((((( Dateien erstellt von 2008-09-02 bis 2008-10-02 ))))))))))))))))))))))))))))))
.
2008-10-02 17:10 . 2008-10-02 17:10 <DIR> d-------- C:\Dokumente und Einstellungen\XXX\Startmenü
2008-10-01 11:18 . 2008-10-01 11:18 30,615 --a------ C:\Dokumente und Einstellungen\XXX\x.exe
2008-10-01 11:03 . 2008-10-01 11:03 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared
2008-10-01 10:30 . 2008-10-01 10:31 <DIR> d-------- C:\Programme\QuickTime
2008-10-01 10:30 . 2008-10-01 10:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple
2008-10-01 10:29 . 2008-10-01 10:29 <DIR> d-------- C:\Programme\Apple Software Update
2008-10-01 10:29 . 2008-10-01 10:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-09-30 22:51 . 2008-09-30 22:51 <DIR> d-------- C:\WINDOWS\Content.IE5
2008-09-30 21:44 . 2008-10-02 15:35 3,376 --a------ C:\WINDOWS\system32\tmp.reg
2008-09-30 21:43 . 2008-09-08 23:38 88,576 --a------ C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-09-30 21:43 . 2008-09-19 12:26 82,944 --a------ C:\WINDOWS\system32\o4Patch.exe
2008-09-30 21:08 . 2008-09-30 21:09 <DIR> d-------- C:\rsit
2008-09-30 20:33 . 2008-09-30 20:33 <DIR> d-------- C:\Dokumente und Einstellungen\XXX\DoctorWeb
2008-09-30 20:06 . 2008-09-30 20:06 250 --a------ C:\WINDOWS\gmer.ini
2008-09-27 18:39 . 2008-09-27 18:39 <DIR> d-------- C:\Dokumente und Einstellungen\XXX\dwhelper
2008-09-27 18:37 . 2008-09-27 18:37 <DIR> d-------- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\vlc
2008-09-27 17:43 . 2008-09-27 17:44 <DIR> d-------- C:\Programme\JAP
2008-09-27 01:20 . 2008-09-27 01:20 <DIR> d-------- C:\WatchNow
2008-09-26 19:34 . 2008-09-26 19:34 <DIR> d-------- C:\Dokumente und Einstellungen\marleo\Anwendungsdaten\MailFrontier
2008-09-26 15:01 . 2008-09-26 15:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-09-26 15:01 . 2008-09-26 15:08 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-09-13 11:59 . 2008-09-30 18:09 0 --a------ C:\23990098.$$$
2008-09-09 20:16 . 2008-09-26 15:11 <DIR> d-------- C:\Dokumente und Einstellungen\XXX\vw
2008-09-09 20:15 . 2008-10-01 11:18 <DIR> d-------- C:\Programme\VisualRoute Lite Edition
2008-09-06 17:52 . 2001-08-17 22:43 24,576 --------- C:\WINDOWS\system32\msxml3a.dll
2008-09-06 17:36 . 2008-09-06 17:52 <DIR> d-------- C:\Programme\Audible
2008-09-06 15:09 . 2008-09-06 15:09 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2008-09-06 15:09 . 2008-09-06 15:09 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts
2008-09-04 21:30 . 2008-09-04 21:30 <DIR> d-------- C:\Dokumente und Einstellungen\marleo\Anwendungsdaten\InterVideo
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-01 09:24 --------- d-----w C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\AdobeUM
2008-10-01 09:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-10-01 09:02 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll
2008-10-01 08:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-10-01 08:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-30 18:59 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-30 14:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-29 12:08 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-09-28 17:15 --------- d-----w C:\Programme\a-squared Anti-Malware
2008-09-27 16:37 --------- d-----w C:\Programme\VideoLAN
2008-09-22 18:29 --------- d-----w C:\Programme\TuneUp Utilities 2007
2008-09-22 14:50 --------- d-----w C:\Programme\ICQ6
2008-09-21 10:55 --------- d-----w C:\Programme\Malwarebytes' Anti-Malware
2008-09-09 22:04 38,528 ----a-w C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-09 22:03 17,200 ----a-w C:\WINDOWS\system32\drivers\mbam.sys
2008-08-31 21:38 --------- d-----w C:\Dokumente und Einstellungen\marleo\Anwendungsdaten\TuneUp Software
2008-08-31 19:11 --------- d-----w C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\ICQ
2008-08-31 15:01 --------- d-----w C:\Dokumente und Einstellungen\marleo\Anwendungsdaten\ICQ
2008-08-30 10:13 --------- d-----w C:\Programme\Windows Live
2008-08-30 09:49 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-08-30 09:49 --------- d-----w C:\Programme\SpywareBlaster
2008-08-29 20:28 --------- d-----w C:\Programme\TeaTimer (Spybot - Search & Destroy)
2008-08-27 16:12 --------- dcsh--w C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-08-27 16:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-08-27 15:57 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-27 15:56 --------- d-----w C:\Programme\ICQ6Toolbar
2008-08-27 15:56 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
2008-08-19 17:08 --------- d-----w C:\Programme\Microsoft Silverlight
2008-08-16 18:57 --------- d-----w C:\Dokumente und Einstellungen\marleo\Anwendungsdaten\Academic Software Zurich
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
2008-07-11 23:32 4,706,163 ----a-w C:\WINDOWS\REGBK01.ZIP
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-02 11:33 82,432 ----a-w C:\WINDOWS\system32\IEDFix.C.exe
2008-04-28 07:43 0 ----a-w C:\Programme\Citavi.txt
2006-07-16 16:05 248 ----a-w C:\Dokumente und Einstellungen\XXX\n.bat
2006-07-16 16:05 128 ----a-w C:\Dokumente und Einstellungen\XXX\dr.exe
2006-06-09 17:07 128 ----a-w C:\Dokumente und Einstellungen\XXX\rar.exe
2006-06-09 17:06 128 ----a-w C:\Dokumente und Einstellungen\XXX\mc-110-12-0000137.exe
2005-11-04 13:39 774,144 ----a-w C:\Programme\RngInterstitial.dll
2006-01-15 18:11 152 --sh--r C:\WINDOWS\system32\133949F292.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"TOSCDSPD"="C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-03-02 65536]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" [2007-04-27 312328]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2003-10-30 192512]
"CeEKEY"="C:\Programme\TOSHIBA\E-KEY\CeEKey.exe" [2005-01-21 675840]
"TPNF"="C:\Programme\TOSHIBA\TouchPad\TPTray.exe" [2004-11-29 53248]
"TOSHIBA Accessibility"="C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe" [2004-12-07 24576]
"SVPWUTIL"="C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe" [2005-02-25 65536]
"Tvs"="C:\Programme\TOSHIBA\Tvs\TvsTray.exe" [2004-11-12 73728]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-22 339968]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-02-24 2372760]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-22 266497]
"HWSetup"="C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-12-23 28672]
"PadTouch"="C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe" [2004-11-17 1077327]
"a-squared"="C:\Programme\a-squared Anti-Malware\a2guard.exe" [2008-07-31 2131600]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-10-01 185872]
"AGRSMMSG"="AGRSMMSG.exe" [2004-10-28 C:\WINDOWS\agrsmmsg.exe]
"Zooming"="ZoomingHook.exe" [2004-07-14 C:\WINDOWS\system32\ZoomingHook.exe]
"TCtryIOHook"="TCtrlIOHook.exe" [2005-02-16 C:\WINDOWS\system32\TCtrlIOHook.exe]
"TPSMain"="TPSMain.exe" [2005-01-21 C:\WINDOWS\system32\TPSMain.exe]
"CFSServ.exe"="CFSServ.exe" [BU]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 6 (0x6)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe"
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Cisco Systems VPN Client.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Cisco Systems VPN Client.lnk
backup=C:\WINDOWS\pss\Cisco Systems VPN Client.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk
backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^wmplayer.exe]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\wmplayer.exe
backup=C:\WINDOWS\pss\wmplayer.exeCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
--a------ 2003-07-13 02:49 155648 C:\WINDOWS\system32\NeroCheck.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
"Microsoft Office Outlook"=C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE /recycle
"ICQ"="C:\Programme\ICQ6\ICQ.exe" silent
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe"
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SmoothView"=C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Programme\\TOSHIBA\\ConfigFree\\CFXFER.exe"=
"C:\\Programme\\PPMate\\ppmate.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"11257:TCP"= 11257:TCP:BitComet 11257 TCP
"11257:UDP"= 11257:UDP:BitComet 11257 UDP
"65534:TCP"= 65534:TCP:BitComet 65534 TCP
"65534:UDP"= 65534:UDP:BitComet 65534 UDP
"65535:TCP"= 65535:TCP:BitComet 65535 TCP
"65535:UDP"= 65535:UDP:BitComet 65535 UDP
"65050:TCP"= 65050:TCP:BitComet 65050 TCP
"65050:UDP"= 65050:UDP:BitComet 65050 UDP
"24151:TCP"= 24151:TCP:BitComet 24151 TCP
"24151:UDP"= 24151:UDP:BitComet 24151 UDP
"65316:TCP"= 65316:TCP:BitComet 65316 TCP
"65316:UDP"= 65316:UDP:BitComet 65316 UDP
"55316:TCP"= 55316:TCP:BitComet 55316 TCP
"55316:UDP"= 55316:UDP:BitComet 55316 UDP
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"23608:TCP"= 23608:TCP:BitComet 23608 TCP
"23608:UDP"= 23608:UDP:BitComet 23608 UDP
R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-19 22336]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-22 45376]
R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-11-21 11264]
R2 ICQ Service;ICQ Service;C:\Programme\ICQ6Toolbar\ICQ Service.exe [2008-06-10 222456]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-11-21 367104]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{96f9d5d8-e742-11db-a1bb-00059a3c7800}]
\Shell\AutoRun\command - E:\setupSNK.exe
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
MSConfigStartUp-ICQ Lite - C:\Programme\ICQLite\ICQLite.exe
MSConfigStartUp-MsnMsgr - C:\Programme\MSN Messenger\MsnMsgr.Exe
MSConfigStartUp-Skype - C:\Programme\Skype\Phone\Skype.exe
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\2wqo6rra.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.bebo.com/Profile.jsp?MID=367137231&MemberId=2216397370
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - C:\Programme\Java\jre1.5.0\bin\NPJava11.dll
FF -: plugin - C:\Programme\Java\jre1.5.0\bin\NPJava12.dll
FF -: plugin - C:\Programme\Java\jre1.5.0\bin\NPJava13.dll
FF -: plugin - C:\Programme\Java\jre1.5.0\bin\NPJava14.dll
FF -: plugin - C:\Programme\Java\jre1.5.0\bin\NPJava32.dll
FF -: plugin - C:\Programme\Java\jre1.5.0\bin\NPJPI150.dll
FF -: plugin - C:\Programme\Java\jre1.5.0\bin\NPOJI610.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\NPStreamPlug.dll
FF -: plugin - C:\Programme\Real\RhapsodyPlayerEngine\nprhapengine.dll
FF -: plugin - C:\Programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
FF -: plugin - C:\Programme\Yahoo!\Common\npyaxmpb.dll
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-10-02 17:11:51
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAGENT.EXE
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Apoint2K\ApntEx.exe
C:\WINDOWS\system32\TPSBattM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-02 17:19:17 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-02 15:18:11
ComboFix2.txt 2008-07-15 15:35:26
Vor Suchlauf: 25 Verzeichnis(se), 45,422,329,856 Bytes frei
Nach Suchlauf: 29 Verzeichnis(se), 46,215,221,248 Bytes frei
265 --- E O F --- 2008-09-30 19:52:59
Danke nochmal! |
|
02.10.2008, 23:01
| #11 |
| | 7 Viren bzw. Backdoorprogramme gefunden ich habe mal selber einige Dateien durchgeschaut und mich über folgende Datei gewundert: mc-110-12-0000137.exe, die bei mir unter Dokumente und Einstellungen liegt. Virus Total sagt folgendes: Code:
ATTFilter File mc-110-12-0000137.exe received on 10.02.2008 23:53:34 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 1/36 (2.78%)
Loading server information...
Your file is queued in position: 1.
Estimated start time is between 39 and 56 seconds.
Do not close the window until scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.
Compact Compact
Print results Print results
Your file has expired or does not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.
You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:
Antivirus Version Last Update Result
AhnLab-V3 2008.10.3.0 2008.10.02 -
AntiVir 7.8.1.34 2008.10.02 -
Authentium 5.1.0.4 2008.10.02 -
Avast 4.8.1248.0 2008.10.02 -
AVG 8.0.0.161 2008.10.02 -
BitDefender 7.2 2008.10.02 -
CAT-QuickHeal 9.50 2008.10.01 -
ClamAV 0.93.1 2008.10.02 -
DrWeb 4.44.0.09170 2008.10.02 -
eSafe 7.0.17.0 2008.10.02 -
eTrust-Vet 31.6.6125 2008.10.02 -
Ewido 4.0 2008.10.02 -
F-Prot 4.4.4.56 2008.10.02 -
F-Secure 8.0.14332.0 2008.10.02 -
Fortinet 3.113.0.0 2008.10.02 -
GData 19 2008.10.02 -
Ikarus T3.1.1.34.0 2008.10.02 -
K7AntiVirus 7.10.481 2008.10.02 -
Kaspersky 7.0.0.125 2008.10.02 -
McAfee 5397 2008.10.02 -
Microsoft 1.4005 2008.10.02 -
NOD32 3490 2008.10.02 -
Norman 5.80.02 2008.10.02 -
Panda 9.0.0.4 2008.10.02 -
PCTools 4.4.2.0 2008.10.02 -
Prevx1 V2 2008.10.02 Malicious Software
Rising 20.63.62.00 2008.09.28 -
SecureWeb-Gateway 6.7.6 2008.10.02 -
Sophos 4.34.0 2008.10.02 -
Sunbelt 3.1.1668.1 2008.09.24 -
Symantec 10 2008.10.02 -
TheHacker 6.3.1.0.098 2008.10.02 -
TrendMicro 8.700.0.1004 2008.10.02 -
VBA32 3.12.8.6 2008.10.02 -
ViRobot 2008.10.2.1403 2008.10.02 -
VirusBuster 4.5.11.0 2008.10.02 -
Additional information
File size: 128 bytes
MD5...: f09f35a5637839458e462e6350ecbce4
SHA1..: 0ae4f711ef5d6e9d26c611fd2c8c8ac45ecbf9e7
SHA256: 38723a2e5e8a17aa7950dc008209944e898f69a7bd10a23c839d341e935fd5ca
SHA512: ab942f526272e456ed68a979f50202905ca903a141ed98443567b11ef0bf25a5
52d639051a01be58558122c58e3de07d749ee59ded36acf0c55cd91924d6ba11
PEiD..: -
TrID..: File type identification
OpenGL object (36.1%)
Lotus 123 Worksheet (generic) (18.0%)
MacBinary 1 header (9.2%)
Targa bitmap (Original TGA Format - No Image ID) (9.0%)
MacBinary 2 header (9.0%)
PEInfo: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=F09F35A5806378390045008E462E630050ECBCE4
kann ich das dingen einfach löschen? und einfach in den Papierkorb? Lieben Dank!! |
|
05.10.2008, 10:32
| #12 |
| |  7 Viren bzw. Backdoorprogramme gefunden Hallo!! mm kann mir denn keiner helfen? was kann ich denn noch machen, um sicherzugehen, dass die Trojaner runter sind?? Wär echt super wenn ihr mir helfen könnt!!! |
|
05.10.2008, 10:56
| #13 |
| Administrator > Competence Manager | 7 Viren bzw. Backdoorprogramme gefundenDateien Online überprüfen lassen:
Code:
ATTFilter C:\Programme\RngInterstitial.dll
C:\WINDOWS\system32\133949F292.dll
Scripten mit Combofix
Code:
ATTFilter FILE::
C:\Dokumente und Einstellungen\XXX\n.bat
C:\Dokumente und Einstellungen\XXX\dr.exe
C:\Dokumente und Einstellungen\XXX\rar.exe
C:\Dokumente und Einstellungen\XXX\mc-110-12-0000137.exe
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Kaspersky Online-Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
05.10.2008, 11:10
| #14 |
| | 7 Viren bzw. Backdoorprogramme gefunden Hallo! Vielen Dank für deine Hilfe  hier VirusTotal: Code:
ATTFilter File RngInterstitial.dll received on 10.05.2008 12:03:43 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 0/36 (0%)
Loading server information...
Your file is queued in position: 2.
Estimated start time is between 42 and 60 seconds.
Do not close the window until scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.
Compact Compact
Print results Print results
Your file has expired or does not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.
You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:
Antivirus Version Last Update Result
AhnLab-V3 2008.10.3.2 2008.10.03 -
AntiVir 7.8.1.34 2008.10.04 -
Authentium 5.1.0.4 2008.10.04 -
Avast 4.8.1248.0 2008.10.04 -
AVG 8.0.0.161 2008.10.04 -
BitDefender 7.2 2008.10.05 -
CAT-QuickHeal 9.50 2008.10.04 -
ClamAV 0.93.1 2008.10.04 -
DrWeb 4.44.0.09170 2008.10.05 -
eSafe 7.0.17.0 2008.10.02 -
eTrust-Vet 31.6.6129 2008.10.04 -
Ewido 4.0 2008.10.05 -
F-Prot 4.4.4.56 2008.10.04 -
F-Secure 8.0.14332.0 2008.10.05 -
Fortinet 3.113.0.0 2008.10.04 -
GData 19 2008.10.05 -
Ikarus T3.1.1.34.0 2008.10.05 -
K7AntiVirus 7.10.484 2008.10.04 -
Kaspersky 7.0.0.125 2008.10.05 -
McAfee 5398 2008.10.04 -
Microsoft 1.4005 2008.10.05 -
NOD32 3495 2008.10.04 -
Norman 5.80.02 2008.10.03 -
Panda 9.0.0.4 2008.10.04 -
PCTools 4.4.2.0 2008.10.04 -
Prevx1 V2 2008.10.05 -
Rising 20.63.62.00 2008.09.28 -
SecureWeb-Gateway 6.7.6 2008.10.05 -
Sophos 4.34.0 2008.10.05 -
Sunbelt 3.1.1668.1 2008.09.24 -
Symantec 10 2008.10.05 -
TheHacker 6.3.1.0.101 2008.10.04 -
TrendMicro 8.700.0.1004 2008.10.03 -
VBA32 3.12.8.6 2008.10.04 -
ViRobot 2008.10.4.1406 2008.10.04 -
VirusBuster 4.5.11.0 2008.10.04 -
Additional information
File size: 774144 bytes
MD5...: 77d3a60b2e838e1cc6a682bd9761da63
SHA1..: 57fd5a21e7ef01bf29c96660d9389809227e6f7f
SHA256: 4713c36b92a9ea330dbf90255e30c62ce742c1ded5664b870432bb7a5d159a83
SHA512: b9dbaa53cd93ffee6bacd684f93bc139470417ea14780d3df291ce3e5ab1b749
bf334bb0e7c1401c69065d7cdd9eab3ec851767dbd57b3885f1a04976b8183c0
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
Win64 Executable Generic (80.9%)
Win32 Executable Generic (8.0%)
Win32 Dynamic Link Library (generic) (7.1%)
Generic Win/DOS Executable (1.8%)
DOS Executable Generic (1.8%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1000382b
timedatestamp.....: 0x426ea8cc (Tue Apr 26 20:47:08 2005)
machinetype.......: 0x14c (I386)
( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2921 0x3000 5.66 0df655d0720d3fcba24e78765e795ea9
.rdata 0x4000 0xdec 0x1000 4.84 e553d093c6b7b99cc9954d3d48da7fc4
.data 0x5000 0x24f0 0x1000 2.38 9c09fc1dc29ff05bdb8f4852d6bc7860
.rsrc 0x8000 0xb5ad8 0xb6000 5.26 fbf6696a97bfedc8ee88c1fb374f7037
.reloc 0xbe000 0xb56 0x1000 2.04 3ecb8769da3c0217a174a42ddfa590e1
( 6 imports )
> KERNEL32.dll: MulDiv, GetPrivateProfileIntA, WinExec, GetModuleHandleA, GetPrivateProfileStringA, GetFileAttributesA, GetModuleFileNameA, FindFirstFileA, lstrcpyA, GetShortPathNameA, GetCommandLineA, WaitForMultipleObjects, InterlockedDecrement, OutputDebugStringA, CloseHandle, InterlockedIncrement, CreateProcessA, GetStartupInfoA, GetCurrentDirectoryA, WritePrivateProfileStringA, GetLastError, CreateEventA, SetFileAttributesA, FindClose
> USER32.dll: SetWindowTextA, SetWindowLongA, GetWindowLongA, wsprintfA, DestroyWindow, SetCursor, MessageBoxA, ReleaseDC, DialogBoxParamA, LoadStringA, GetDC, LoadImageA, DrawTextA, EndDialog, GetWindowRect, SetWindowPos, LoadCursorA, CharLowerA, GetSystemMetrics, CharNextA
> GDI32.dll: GetObjectA, SelectObject, GetDeviceCaps, BitBlt, DeleteObject, GetTextExtentPoint32A, CreateCompatibleDC, SetTextColor, SetBkMode, CreateFontIndirectA
> ADVAPI32.dll: RegDeleteValueA, RegOpenKeyA, RegQueryValueA, RegCloseKey, RegCreateKeyExA, RegSetValueExA, RegOpenKeyExA, RegQueryValueExA
> WINMM.dll: PlaySoundA
> MSVCRT.dll: _adjust_fdiv, _splitpath, __3@YAXPAX@Z, free, _onexit, _initterm, _stricmp, __dllonexit, malloc, __2@YAPAXI@Z, strstr, sprintf, __CxxFrameHandler
( 25 exports )
__0CInterstitial@@QAE@XZ, __1CInterstitial@@QAE@XZ, __4CInterstitial@@QAEAAV0@ABV0@@Z, _BeginGame@CInterstitial@@QAEHH@Z, _DrawLogoBtn@CInterstitial@@QAEHPAUtagDRAWITEMSTRUCT@@@Z, _EndGame@CInterstitial@@QAEHH@Z, _GetEpcotPath@CInterstitial@@QAEHXZ, _GetGameName@CInterstitial@@QAEPADXZ, _GetRealcomUrl@CInterstitial@@QAEPADXZ, _GetRegion@CInterstitial@@QAEHXZ, _GetUpsellUrl@CInterstitial@@QAEPADXZ, _LoadProfile@CInterstitial@@QAEHPAD@Z, _PlaceBitmap@CInterstitial@@QAEHPAUHWND__@@PADPAUtagPOINT@@@Z, _SetProfilePath@CInterstitial@@QAEHPAD@Z, _SetRegion@CInterstitial@@QAEHH@Z, _ShowButtonLabels@CInterstitial@@QAEXPAUHWND__@@@Z, _ShowGameName@CInterstitial@@QAEXPAUHWND__@@@Z, _ShowGamesText@CInterstitial@@QAEXPAUHWND__@@@Z, _ShowLaunchDialog@CInterstitial@@QAEXPAUHWND__@@@Z, _ShowRealGraphic@CInterstitial@@QAEXPAUHWND__@@@Z, _ShowUpsellGraphic@CInterstitial@@QAEXPAUHWND__@@@Z, _ShowUpsellText@CInterstitial@@QAEXPAUHWND__@@@Z, DllRegisterServer, DllUnRegisterServer, fnGameBeginEnd
Code:
ATTFilter File 133949F292.dll received on 10.05.2008 12:07:46 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 0/36 (0%)
Loading server information...
Your file is queued in position: ___.
Estimated start time is between ___ and ___ .
Do not close the window until scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.
Compact Compact
Print results Print results
Your file has expired or does not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.
You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:
Antivirus Version Last Update Result
AhnLab-V3 2008.10.3.2 2008.10.03 -
AntiVir 7.8.1.34 2008.10.04 -
Authentium 5.1.0.4 2008.10.04 -
Avast 4.8.1248.0 2008.10.04 -
AVG 8.0.0.161 2008.10.04 -
BitDefender 7.2 2008.10.05 -
CAT-QuickHeal 9.50 2008.10.04 -
ClamAV 0.93.1 2008.10.04 -
DrWeb 4.44.0.09170 2008.10.05 -
eSafe 7.0.17.0 2008.10.02 -
eTrust-Vet 31.6.6129 2008.10.04 -
Ewido 4.0 2008.10.05 -
F-Prot 4.4.4.56 2008.10.04 -
F-Secure 8.0.14332.0 2008.10.05 -
Fortinet 3.113.0.0 2008.10.04 -
GData 19 2008.10.05 -
Ikarus T3.1.1.34.0 2008.10.05 -
K7AntiVirus 7.10.484 2008.10.04 -
Kaspersky 7.0.0.125 2008.10.05 -
McAfee 5398 2008.10.04 -
Microsoft 1.4005 2008.10.05 -
NOD32 3495 2008.10.04 -
Norman 5.80.02 2008.10.03 -
Panda 9.0.0.4 2008.10.04 -
PCTools 4.4.2.0 2008.10.04 -
Prevx1 V2 2008.10.05 -
Rising 20.63.62.00 2008.09.28 -
SecureWeb-Gateway 6.7.6 2008.10.05 -
Sophos 4.34.0 2008.10.05 -
Sunbelt 3.1.1675.1 2008.09.27 -
Symantec 10 2008.10.05 -
TheHacker 6.3.1.0.101 2008.10.04 -
TrendMicro 8.700.0.1004 2008.10.03 -
VBA32 3.12.8.6 2008.10.04 -
ViRobot 2008.10.4.1406 2008.10.04 -
VirusBuster 4.5.11.0 2008.10.04 -
Additional information
File size: 152 bytes
MD5...: b1fba59318da0aa67fb130bd35fb563d
SHA1..: 636661b9bbc0ff8147b2a81d8d50ea2d54e01728
SHA256: acf94013de9e0ec2325f540cdb05413d70cab3e746e39a37c2026c5bd64b77f8
SHA512: e6f50ffbe3e2d4b971566109e463fe6aa8e2e68125054736e0b7e386fc62ea1c
306a5d5dea898bfe12f8ce40eeb07b0dbc9bd9a016ffac230e32ad3fa07c6c89
PEiD..: -
TrID..: File type identification
MS Flight Simulator Aircraft Performance Info (100.0%)
PEInfo: -
|
|
05.10.2008, 11:43
| #15 |
| | 7 Viren bzw. Backdoorprogramme gefunden und hier jetzt die beiden Combofix logs: Code:
ATTFilter ComboFix 08-10-04.07 - XXX 2008-10-05 12:26:11.4 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.187 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\XXX\Desktop\ComboFix.exe Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ((((((((((((((((((((((( Dateien erstellt von 2008-09-05 bis 2008-10-05 )))))))))))))))))))))))))))))) . 2008-10-05 11:27 . 2008-10-05 11:27 61,440 --a------ C:\WINDOWS\system32\drivers\xetlv.sys 2008-10-03 16:02 . 2008-10-03 16:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Startmen³ 2008-10-02 17:10 . 2008-10-02 17:10 <DIR> d-------- C:\Dokumente und Einstellungen\XXX\Startmen³ 2008-10-01 11:18 . 2008-10-01 11:18 30,615 --a------ C:\Dokumente und Einstellungen\XXX\x.exe 2008-10-01 11:03 . 2008-10-01 11:03 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared 2008-10-01 10:30 . 2008-10-01 10:31 <DIR> d-------- C:\Programme\QuickTime 2008-10-01 10:30 . 2008-10-01 10:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple 2008-10-01 10:29 . 2008-10-01 10:29 <DIR> d-------- C:\Programme\Apple Software Update 2008-10-01 10:29 . 2008-10-01 10:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple 2008-09-30 22:51 . 2008-09-30 22:51 <DIR> d-------- C:\WINDOWS\Content.IE5 2008-09-30 21:44 . 2008-10-02 15:35 3,376 --a------ C:\WINDOWS\system32\tmp.reg 2008-09-30 21:43 . 2008-09-08 23:38 88,576 --a------ C:\WINDOWS\system32\AntiXPVSTFix.exe 2008-09-30 21:43 . 2008-09-19 12:26 82,944 --a------ C:\WINDOWS\system32\o4Patch.exe 2008-09-30 21:08 . 2008-09-30 21:09 <DIR> d-------- C:\rsit 2008-09-30 20:33 . 2008-09-30 20:33 <DIR> d-------- C:\Dokumente und Einstellungen\XXX\DoctorWeb 2008-09-30 20:06 . 2008-09-30 20:06 250 --a------ C:\WINDOWS\gmer.ini 2008-09-27 18:39 . 2008-09-27 18:39 <DIR> d-------- C:\Dokumente und Einstellungen\XXX\dwhelper 2008-09-27 18:37 . 2008-09-27 18:37 <DIR> d-------- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\vlc 2008-09-27 01:20 . 2008-09-27 01:20 <DIR> d-------- C:\WatchNow 2008-09-26 19:34 . 2008-09-26 19:34 <DIR> d-------- C:\Dokumente und Einstellungen\marleo\Anwendungsdaten\MailFrontier 2008-09-26 15:01 . 2008-09-26 15:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier 2008-09-26 15:01 . 2008-09-26 15:08 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat 2008-09-13 11:59 . 2008-09-30 18:09 0 --a------ C:\23990098.$$$ 2008-09-09 20:16 . 2008-09-26 15:11 <DIR> d-------- C:\Dokumente und Einstellungen\XXX\vw 2008-09-06 17:52 . 2001-08-17 22:43 24,576 --------- C:\WINDOWS\system32\msxml3a.dll 2008-09-06 17:36 . 2008-09-06 17:52 <DIR> d-------- C:\Programme\Audible 2008-09-06 15:09 . 2008-09-06 15:09 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx 2008-09-06 15:09 . 2008-09-06 15:09 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-05 09:08 --------- d-----w C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\AdobeUM 2008-10-04 22:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2008-10-03 13:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-10-02 23:27 --------- d-----w C:\Programme\Trend Micro 2008-10-01 09:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Real 2008-10-01 09:02 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll 2008-10-01 08:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer 2008-09-30 18:59 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-09-27 16:37 --------- d-----w C:\Programme\VideoLAN 2008-09-22 18:29 --------- d-----w C:\Programme\TuneUp Utilities 2007 2008-09-22 14:50 --------- d-----w C:\Programme\ICQ6 2008-09-21 10:55 --------- d-----w C:\Programme\Malwarebytes' Anti-Malware 2008-09-09 22:04 38,528 ----a-w C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-09 22:03 17,200 ----a-w C:\WINDOWS\system32\drivers\mbam.sys 2008-09-04 19:30 --------- d-----w C:\Dokumente und Einstellungen\marleo\Anwendungsdaten\InterVideo 2008-08-31 21:38 --------- d-----w C:\Dokumente und Einstellungen\marleo\Anwendungsdaten\TuneUp Software 2008-08-31 19:11 --------- d-----w C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\ICQ 2008-08-31 15:01 --------- d-----w C:\Dokumente und Einstellungen\marleo\Anwendungsdaten\ICQ 2008-08-30 10:13 --------- d-----w C:\Programme\Windows Live 2008-08-30 09:49 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-08-30 09:49 --------- d-----w C:\Programme\SpywareBlaster 2008-08-27 16:12 --------- dcsh--w C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller 2008-08-27 16:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller 2008-08-27 15:57 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-08-27 15:56 --------- d-----w C:\Programme\ICQ6Toolbar 2008-08-27 15:56 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ 2008-08-19 17:08 --------- d-----w C:\Programme\Microsoft Silverlight 2008-08-16 18:57 --------- d-----w C:\Dokumente und Einstellungen\marleo\Anwendungsdaten\Academic Software Zurich 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll 2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll 2008-07-11 23:32 4,706,163 ----a-w C:\WINDOWS\REGBK01.ZIP 2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-04-28 07:43 0 ----a-w C:\Programme\Citavi.txt 2005-11-04 13:39 774,144 ----a-w C:\Programme\RngInterstitial.dll 2006-01-15 18:11 152 --sh--r C:\WINDOWS\system32\133949F292.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360] "TOSCDSPD"="C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-03-02 65536] "TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" [2007-04-27 312328] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2003-10-30 192512] "CeEKEY"="C:\Programme\TOSHIBA\E-KEY\CeEKey.exe" [2005-01-21 675840] "TPNF"="C:\Programme\TOSHIBA\TouchPad\TPTray.exe" [2004-11-29 53248] "TOSHIBA Accessibility"="C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe" [2004-12-07 24576] "SVPWUTIL"="C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe" [2005-02-25 65536] "Tvs"="C:\Programme\TOSHIBA\Tvs\TvsTray.exe" [2004-11-12 73728] "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-22 339968] "SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-02-24 2372760] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-22 266497] "HWSetup"="C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-12-23 28672] "PadTouch"="C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe" [2004-11-17 1077327] "QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-10-01 185872] " Malwarebytes Anti-Malware (reboot)"="C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" [2008-09-10 1253040] "AGRSMMSG"="AGRSMMSG.exe" [2004-10-28 C:\WINDOWS\agrsmmsg.exe] "Zooming"="ZoomingHook.exe" [2004-07-14 C:\WINDOWS\system32\ZoomingHook.exe] "TCtryIOHook"="TCtrlIOHook.exe" [2005-02-16 C:\WINDOWS\system32\TCtrlIOHook.exe] "TPSMain"="TPSMain.exe" [2005-01-21 C:\WINDOWS\system32\TPSMain.exe] "CFSServ.exe"="CFSServ.exe" [BU] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "SynchronousMachineGroupPolicy"= 0 (0x0) "SynchronousUserGroupPolicy"= 0 (0x0) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "MaxRecentDocs"= 6 (0x6) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe" [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Cisco Systems VPN Client.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Cisco Systems VPN Client.lnk backup=C:\WINDOWS\pss\Cisco Systems VPN Client.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^wmplayer.exe] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\wmplayer.exe backup=C:\WINDOWS\pss\wmplayer.exeCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck] --a------ 2003-07-13 02:49 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "Microsoft Office Outlook"=C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE /recycle "ICQ"="C:\Programme\ICQ6\ICQ.exe" silent "H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" "updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "SmoothView"=C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe "KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\\WINDOWS\\system32\\sessmgr.exe"= "C:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"= "C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "C:\\Programme\\TOSHIBA\\ConfigFree\\CFXFER.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-19 22336] R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-22 45376] R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-11-21 11264] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336] R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-11-21 367104] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{96f9d5d8-e742-11db-a1bb-00059a3c7800}] \Shell\AutoRun\command - E:\setupSNK.exe . Inhalt des "geplante Tasks" Ordners 2008-10-03 C:\WINDOWS\Tasks\1-Click Maintenance.job - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2007-04-27 06:51] 2008-10-03 C:\WINDOWS\Tasks\1-Klick-Wartung.job - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2007-04-27 06:51] 2008-10-01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34] . . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\2wqo6rra.default\ FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.bebo.com/Profile.jsp?MID=367137231&MemberId=2216397370 FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll FF -: plugin - C:\Programme\DivX\DivX Content Uploader\npUpload.dll FF -: plugin - C:\Programme\Java\jre1.5.0\bin\NPJava11.dll FF -: plugin - C:\Programme\Java\jre1.5.0\bin\NPJava12.dll FF -: plugin - C:\Programme\Java\jre1.5.0\bin\NPJava13.dll FF -: plugin - C:\Programme\Java\jre1.5.0\bin\NPJava14.dll FF -: plugin - C:\Programme\Java\jre1.5.0\bin\NPJava32.dll FF -: plugin - C:\Programme\Java\jre1.5.0\bin\NPJPI150.dll FF -: plugin - C:\Programme\Java\jre1.5.0\bin\NPOJI610.dll FF -: plugin - C:\Programme\Mozilla Firefox\plugins\NPStreamPlug.dll FF -: plugin - C:\Programme\Real\RhapsodyPlayerEngine\nprhapengine.dll FF -: plugin - C:\Programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll FF -: plugin - C:\Programme\Yahoo!\Common\npyaxmpb.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net Rootkit scan 2008-10-05 12:27:49 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-10-05 12:29:17 ComboFix-quarantined-files.txt 2008-10-05 10:29:08 ComboFix2.txt 2008-10-05 10:22:05 ComboFix3.txt 2008-10-02 15:19:20 Vor Suchlauf: 23 Verzeichnis(se), 46,688,161,792 Bytes frei Nach Suchlauf: 26 Verzeichnis(se), 46,684,377,088 Bytes frei 212 --- E O F --- 2008-10-05 08:46:44 |
|
| Themen zu 7 Viren bzw. Backdoorprogramme gefunden |
| .dll, 0 bytes, 7 viren, antivir, avg, avgnt.exe, ctfmon.exe, dateien, desktop, einstellungen, entfernen, icq, igdctrl.exe, logon.exe, lsass.exe, m.exe, mehrere, modul, norman, nt.dll, programm, programme, prozesse, registry, sched.exe, services.exe, suchlauf, svchost.exe, system volume information, verweise, viren, virus, virus gefunden, warnung, windows, winlogon.exe, wuauclt.exe |
Linear-Darstellung
