|
Plagegeister aller Art und deren Bekämpfung: Bifrost-Trojaner!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
01.10.2008, 22:56 | #1 |
| Bifrost-Trojaner! Guten Abend! Kurz gesagt habe ich nen Programm geöffnet, bei dem ich dachte es sei etwas anderes und dann hat jmd die Kontrolle über mein System erlangt! Hat sogar die "Überschriften" in den Programmen geändert! Hab sofort das NEtzwerkkabel rausgerissen und nen Virenscan laufen lassen! Dabei wurde dann die Datei Bifrost (oder so ähnlich gefunden), die ich dann auch gelöscht habe! Dann hab ich mit der Person, von der ich den Trojaner habe geredet und gesagt er sei gelöscht! Dieser hat darauf genatwortet der Trojaner sei in der explorer.exe und auch auf dem mbr, d.h. auf gut-Deutsch nicht mehr zu löschen! Hab den mbr gecheckt, hat aber keinen Trojaner gefunden! Darauf der "blöde" (sry) Hacker: Der Virus is fud(fully undetected)! Was soll ich jetzt machen? ICH denke ich werde wohl formatieren müssen, aber was mach ich mit dem mbr? Bitte keine Beiträge wie blöd ich doch sei so ein PRog zu öffnen! Ich weiß es selbst! Naja, viele Grüße und Danke für die Hilfe! Felix |
01.10.2008, 23:11 | #2 |
| Bifrost-Trojaner! Hallo Felix
__________________Lade dir bitte mbr detector herunter und führe ihn aus. Poste das Ergebnis dann hier. falls nichts gefunden wird, gehts für dich hier weiter Klick |
02.10.2008, 09:10 | #3 |
| Bifrost-Trojaner! Stealth MBR rootkit detector 0.2.4 by Gmer, http://***.gmer.net
__________________device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK =>Also kein Virus gefunden! Genau das hab ich schon gemacht! Daraufhin hat der Typ aber gesagt der Trojaner sei nicht zu erkennen(ud=undetected) da er ihn selbst geschrieben hätte! Er hat auch gesagt er hat mich aus seiner vic liste, also der liste mit allen gehackten pc, gelöscht! ICh glaub ihm aber net! Der hat mich schonmal angelogen in Sachen des TRojaners! Hat behauptet es wär nen nützliches Programm...! Vielen DAnk für die scnelle Hilfe, Felix |
02.10.2008, 09:32 | #4 |
| Bifrost-Trojaner! Hi, interessant, jemand mit Zugang zu Hackerkreisen... Bevor Du der Empfehlung von erty folgst, hätte ich gern noch folgende Sachen von Dir (bzw. von Deinem Rechner): - Die genau Meldung des Scanners (Bifrost...l) - RSIT-Log - MAM-Log -AVIRA-Rootkitscanner RSIT: Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ speichere es auf Deinem Desktop. Starte mit Doppelklick die RSIT.exe. Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. MAM: Malwarebytes Antimalware. Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Avira: Downloade Avira Antirootkit und Scanne dein system, poste das logfile. http://dl.antivir.de/down/windows/antivir_rootkit.zip chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
02.10.2008, 14:42 | #5 |
| Bifrost-Trojaner! Hier die log.txt (kp ob das jetzt richtig ist, ist nämlich ziiieeehmlich lang!) Logfile of random's system information tool 1.04 (written by random/random) Run by **** at 2008-10-02 15:36:41 Microsoft Windows XP Home Edition Service Pack 3 System drive C: has 91 GB (64%) free of 143 GB Total RAM: 1023 MB (46% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:36:43, on 02.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\CPUCooL\CooLSrv.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\Dit.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\WINDOWS\AGRSMMSG.exe C:\PROGRA~1\Medion\KeyStat\KeyStat.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe D:\Ulead\Monitor.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\NetRatingsNetSight\NetSight\NielsenOnline.exe C:\Programme\QuickTime\qttask.exe C:\Programme\NetRatingsNetSight\NetSight\NielsenOnline.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe D:\spiele\ICQ6\ICQ.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\taskmgr.exe C:\Dokumente und Einstellungen\Felix\Desktop\RSIT.exe D:\spiele\Hijackthis\Felix.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\spiele\ICQToolbar\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\spiele\ICQToolbar\toolbaru.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [Ulead AutoDetector] D:\Ulead\Monitor.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" O4 - HKCU\..\Run: [ICQ] "D:\spiele\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\spiele\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: RF - Formular ausfüllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html O8 - Extra context menu item: RF - Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html O8 - Extra context menu item: RF - Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\spiele\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\spiele\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\spiele\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\spiele\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=****://www.aldi.com/ O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - ****://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - ****://www.bitdefender.de/scan_de/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - ****://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106843944468 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - ****://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1199012133515 O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - ****://www.sibelius.com/download/software/win/ActiveXPlugin.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: Buzzsaw_Defragmentation - SpyderComm, Inc. - C:\Programme\MATCO\BuzzSawService.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: DirMS_Defragmentation - Unknown owner - C:\Programme\MATCO\DirmsService.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Common\Database\bin\fbserver.exe O23 - Service: Google Desktop Manager 5.7.712.18632 (GoogleDesktopManager-121807-210419) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 12769 bytes Den Rest auch noch? FElix |
02.10.2008, 14:45 | #6 |
| Bifrost-Trojaner! ======Scheduled tasks folder====== C:\WINDOWS\tasks\AppleSoftwareUpdate.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] Adobe PDF Reader Link Helper - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-12-18 59032] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{724d43a9-0d85-11d4-9908-00400523e39a}] C:\Programme\Siber Systems\AI RoboForm\roboform.dll [2008-09-04 5751624] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}] Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2007-09-20 328752] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}] Google Toolbar Helper - c:\programme\google\googletoolbar3.dll [2007-01-20 2427968] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}] Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll [2007-06-17 325048] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {855F3B16-6D32-4fe6-8A56-BBB695989046} - ICQ Toolbar - D:\spiele\ICQToolbar\toolbaru.dll [2005-01-19 446464] {2318C2B1-4965-11d4-9B18-009027A5CD4F} - &Google - c:\programme\google\googletoolbar3.dll [2007-01-20 2427968] {724d43a0-0d85-11d4-9908-00400523e39a} - &RoboForm - C:\Programme\Siber Systems\AI RoboForm\roboform.dll [2008-09-04 5751624] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"=C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe [2005-01-12 344064] "Dit"=C:\WINDOWS\Dit.exe [2004-07-20 90112] "Cmaudio"=RunDll32 cmicnfg.cpl [] "AGRSMMSG"=C:\WINDOWS\AGRSMMSG.exe [2005-03-04 88209] "Keyboard Status"=C:\PROGRA~1\Medion\KeyStat\KeyStat.exe [2005-01-25 411648] "NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648] "PCMService"=C:\Programme\Home Cinema\PowerCinema\PCMService.exe [2005-02-21 118926] "Ulead AutoDetector"=D:\Ulead\Monitor.exe [2003-11-19 45056] "avgnt"=C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe [2008-07-23 266497] "QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2008-03-28 413696] "MSConfig"=C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe [2008-04-14 172544] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] "swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2007-06-17 68856] "RoboForm"=C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe [2008-09-04 160592] "ICQ"=D:\spiele\ICQ6\ICQ.exe [2008-09-01 173304] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] D:\spiele\DAEMON Tools\daemon.exe [2007-04-04 165784] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search] C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe [2007-12-27 29744] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe [2008-03-30 267048] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] C:\WINDOWS\system32\dumprep 0 -k [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] C:\Programme\MSN Messenger\MsnMsgr.Exe /background [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NielsenOnline] C:\Programme\NetRatingsNetSight\NetSight\NielsenOnline.exe [2007-08-28 45056] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] C:\Programme\QuickTime\QTTask.exe [2008-03-28 413696] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2007-06-17 68856] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrayServer] C:\Programme\MAGIX\Video_deluxe_2008_PLUS\TrayServer.exe [2007-03-29 90112] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] C:\PROGRA~1\Adobe\ACROBA~1.0\Reader\READER~1.EXE [2008-04-23 29696] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe BlueSoleil.lnk - C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLS"="C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] C:\WINDOWS\system32\Ati2evxx.dll [2005-01-12 94208] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] C:\WINDOWS\system32\WgaLogon.dll [2006-06-19 702768] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} - C:\WINDOWS\system32\upnpui.dll [2008-04-14 239616] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"=msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\aawservice] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*:enabled:Remoteunterstützung" "C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:enabled:Windows Messenger" "C:\Programme\AOL 9.0\AOL.exe"="C:\Programme\AOL 9.0\AOL.exe:*:enabled:AOL 9.0" "C:\Programme\AOL 9.0\WAOL.exe"="C:\Programme\AOL 9.0\WAOL.exe:*:enabled:AOL 9.0" "C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service)" "C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer)" "C:\WINDOWS\system32\fxsclnt.exe"="C:\WINDOWS\system32\fxsclnt.exe:*:enabled:Faxkonsole" "C:\Programme\CA\eTrust Antivirus\InocIT.exe"="C:\Programme\CA\eTrust Antivirus\InocIT.exe:*:enabled:eTrust Antivirus - Local Scanner" "C:\Programme\CA\eTrust Antivirus\Realmon.exe"="C:\Programme\CA\eTrust Antivirus\Realmon.exe:*:enabled:eTrust Antivirus - Realtime monitor" "C:\Programme\CA\eTrust Antivirus\InoRpc.exe"="C:\Programme\CA\eTrust Antivirus\InoRpc.exe:*:enabled:eTrust Antivirus - RPC Server" "C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe"="C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe:*:enabled:BlueSoleil (BlueTooth)" "D:\spiele\Splinter Cell 2\Splinter Cell Pandora Tomorrow\pandora.exe"="D:\spiele\Splinter Cell 2\Splinter Cell Pandora Tomorrow\pandora.exe:*:Enabledandora" "D:\spiele\DFXDemo.exe"="D:\spiele\DFXDemo.exe:*:EnabledFXDemo" "D:\spiele\ICQLite\ICQLite.exe"="D:\spiele\ICQLite\ICQLite.exe:*:Enabled:ICQ Lite" "D:\spiele\Vietnam.exe"="D:\spiele\Vietnam.exe:*:Enabled:Vietnam" "D:\StubInstaller.exe"="D:\StubInstaller.exe:*:Enabled:LimeWire swarmed installer" "D:\musik\Programme\LimeWire\LimeWire.exe"="D:\musik\Programme\LimeWire\LimeWire.exe:*:Enabled:LimeWire" "C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test" "D:\spiele\GRAW_demo.exe"="D:\spiele\GRAW_demo.exe:*isabled:GRAW_demo" "D:\spiele\LimeWire\LimeWire.exe"="D:\spiele\LimeWire\LimeWire.exe:*:Enabled:LimeWire" "D:\spiele\americas army\System\ArmyOps.exe"="D:\spiele\americas army\System\ArmyOps.exe:*:Enabled:ArmyOps" "C:\Programme\Internet Explorer\IEXPLORE.EXE"="C:\Programme\Internet Explorer\IEXPLORE.EXE:*:Enabled:Internet Explorer" "D:\spiele\LimeWire\Inhalt\LimeWire.exe"="D:\spiele\LimeWire\Inhalt\LimeWire.exe:*:Enabled:LimeWire" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "D:\spiele\Wolfenstein\ET.exe"="D:\spiele\Wolfenstein\ET.exe:*:Enabled:ET" "D:\spiele\XIII\system\XIII.exe"="D:\spiele\XIII\system\XIII.exe:*:Enabled:XIII" "D:\spiele\BoilingPoint\Xenus.exe"="D:\spiele\BoilingPoint\Xenus.exe:*isabled:Xenus" "C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype" "D:\spiele\ICQ6\ICQ.exe"="D:\spiele\ICQ6\ICQ.exe:*:Enabled:ICQ6" "C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes" "C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe"="C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe:LocalSubNet:Enabled:Magix UPnP Service" "D:\spiele\WET\ET.exe"="D:\spiele\WET\ET.exe:*:Enabled:ET" "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\WINDOWS\system32\rundll32.exe"="C:\WINDOWS\system32\rundll32.exe:*:Enabled:Eine DLL-Datei als Anwendung ausführen" "D:\spiele\skype\Phone\Skype.exe"="D:\spiele\skype\Phone\Skype.exe:*:Enabled:Skype. Take a deep breath " "C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*:enabled:Remoteunterstützung" "C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:enabled:Windows Messenger" "C:\Programme\AOL 9.0\AOL.exe"="C:\Programme\AOL 9.0\AOL.exe:*:enabled:AOL 9.0" "C:\Programme\AOL 9.0\WAOL.exe"="C:\Programme\AOL 9.0\WAOL.exe:*:enabled:AOL 9.0" "C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service)" "C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer)" "C:\WINDOWS\system32\fxsclnt.exe"="C:\WINDOWS\system32\fxsclnt.exe:*:enabled:Faxkonsole" "C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:enabled:Skype" "C:\Programme\CA\eTrust Antivirus\InocIT.exe"="C:\Programme\CA\eTrust Antivirus\InocIT.exe:*:enabled:eTrust Antivirus - Local Scanner" "C:\Programme\CA\eTrust Antivirus\Realmon.exe"="C:\Programme\CA\eTrust Antivirus\Realmon.exe:*:enabled:eTrust Antivirus - Realtime monitor" "C:\Programme\CA\eTrust Antivirus\InoRpc.exe"="C:\Programme\CA\eTrust Antivirus\InoRpc.exe:*:enabled:eTrust Antivirus - RPC Server" "C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe"="C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe:*:enabled:BlueSoleil (BlueTooth)" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0f039ae1-8468-11d9-8a72-001109df9636}] shell\AutoRun\command - L:\OEMBranding.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{176ebe7a-8522-11d9-8a7e-001109df94c7}] shell\AutoRun\command - K:\OEMBranding.exe ======File associations====== .reg - open - regedit.exe "%1" %* .scr - open - "%1" %* ======List of files/folders created in the last 1 months====== 2008-10-02 15:33:30 ----D---- C:\rsit 2008-10-01 22:03:47 ----D---- C:\WINDOWS\BDOSCAN8 2008-10-01 22:03:46 ----D---- C:\WINDOWS\LastGood 2008-10-01 21:45:08 ----D---- C:\Programme\WinPcap 2008-10-01 21:44:32 ----D---- C:\Programme\Wireshark 2008-09-30 13:44:51 ----D---- C:\Programme\NetRatingsNetSight 2008-09-30 13:44:51 ----A---- C:\WINDOWS\nswatchdog.exe 2008-09-25 14:09:43 ----SHD---- C:\Config.Msi 2008-09-10 22:04:59 ----HDC---- C:\WINDOWS\$NtUninstallKB938464$ 2008-09-04 16:06:23 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RoboForm 2008-09-04 16:05:04 ----D---- C:\Programme\Siber Systems ======List of files/folders modified in the last 1 months====== 2008-10-02 15:33:38 ----D---- C:\WINDOWS\Prefetch 2008-10-02 13:15:49 ----D---- C:\WINDOWS\Temp 2008-10-01 23:30:27 ----D---- C:\Programme\Mozilla Firefox 2008-10-01 23:22:34 ----D---- C:\WINDOWS\Debug 2008-10-01 23:22:34 ----D---- C:\WINDOWS 2008-10-01 22:10:05 ----RASH---- C:\boot.ini 2008-10-01 22:10:05 ----A---- C:\WINDOWS\win.ini 2008-10-01 22:10:05 ----A---- C:\WINDOWS\system.ini 2008-10-01 22:03:51 ----SD---- C:\WINDOWS\Downloaded Program Files 2008-10-01 22:03:47 ----HD---- C:\WINDOWS\inf 2008-10-01 21:46:50 ----D---- C:\Programme\AntiVir PersonalEdition Classic 2008-10-01 21:46:47 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2008-10-01 21:45:12 ----D---- C:\WINDOWS\system32\CatRoot2 2008-10-01 21:45:08 ----RD---- C:\Programme 2008-10-01 21:45:08 ----D---- C:\WINDOWS\system32\drivers 2008-10-01 21:45:08 ----D---- C:\WINDOWS\system32 2008-10-01 21:31:37 ----A---- C:\WINDOWS\NeroDigital.ini 2008-10-01 20:07:25 ----A---- C:\WINDOWS\ModemLog_Bluetooth DUN Modem.txt 2008-10-01 20:07:19 ----A---- C:\WINDOWS\ModemLog_Bluetooth Fax Modem.txt 2008-10-01 20:07:19 ----A---- C:\WINDOWS\ModemLog_Agere Systems PCI Soft Modem.txt 2008-10-01 17:18:01 ----A---- C:\WINDOWS\system32\PnkBstrB.exe 2008-09-30 23:56:14 ----N---- C:\WINDOWS\SchedLgU.Txt 2008-09-25 14:10:17 ----SHD---- C:\WINDOWS\Installer 2008-09-25 14:10:05 ----DC---- C:\WINDOWS\system32\DRVSTORE 2008-09-25 14:09:44 ----D---- C:\WINDOWS\WinSxS 2008-09-25 14:09:44 ----D---- C:\Programme\Windows Live 2008-09-25 14:08:36 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller 2008-09-22 16:32:31 ----A---- C:\WINDOWS\BRWMARK.INI 2008-09-13 23:22:00 ----D---- C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Skype 2008-09-13 16:02:08 ----D---- C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\skypePM 2008-09-09 15:05:01 ----D---- C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\ICQ 2008-09-08 15:41:55 ----A---- C:\WINDOWS\HPODJC05.INI 2008-09-03 19:11:50 ----D---- C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\teamspeak2 ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 avgio;avgio; \??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2008-07-23 75072] R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448] R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720] R1 nnrnstdi;nnrnstdi; C:\WINDOWS\system32\drivers\nnrnstdi.sys [2008-06-27 14336] R1 ntiopnp;ntiopnp; C:\WINDOWS\system32\drivers\ntiopnp.sys [2007-02-12 12800] R1 oreans32;oreans32; \??\C:\WINDOWS\system32\drivers\oreans32.sys [] R2 acedrv10;acedrv10; \??\C:\WINDOWS\system32\drivers\acedrv10.sys [] R2 acehlp10;acehlp10; \??\C:\WINDOWS\system32\drivers\acehlp10.sys [] R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.0.0.5; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2005-01-27 15939] R2 enodpl;enodpl; C:\WINDOWS\System32\drivers\enodpl.sys [2003-03-02 7552] R2 Prvflder;Prvflder; C:\WINDOWS\system32\DRIVERS\prvflder.sys [2006-04-21 70912] R2 tandpl;tandpl; C:\WINDOWS\System32\drivers\tandpl.sys [2003-04-19 4736] R3 3xHybrid;3xHybrid service; C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-02-09 666368] R3 AgereSoftModem;Agere Systems Soft Modem; C:\WINDOWS\system32\DRIVERS\AGRSM.sys [2005-03-04 1066278] R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800] R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2005-01-12 915968] R3 avgntflt;avgntflt; \??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys [] R3 BlueletAudio;Bluetooth Audio Service; C:\WINDOWS\system32\DRIVERS\blueletaudio.sys [2004-10-19 20096] R3 BT;Bluetooth PAN Network Adapter; C:\WINDOWS\system32\DRIVERS\btnetdrv.sys [2004-09-21 10804] R3 Btcsrusb;Bluetooth USB For Bluetooth Service; C:\WINDOWS\System32\Drivers\btcusb.sys [2004-12-01 22488] R3 BTHidEnum;Bluetooth HID Enumerator; C:\WINDOWS\system32\DRIVERS\vbtenum.sys [2005-01-13 12500] R3 cmudax;C-Media High Definition Audio Interface; C:\WINDOWS\system32\drivers\cmudax.sys [2004-10-01 1272000] R3 FETNDISB;VIA Rhine Family Fast Ethernet Adapter Driver Service; C:\WINDOWS\system32\DRIVERS\fetnd5b.sys [2004-04-15 42496] R3 GEARAspiWDM;GEARAspiWDM; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2008-01-29 16168] R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384] R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368] R3 km_filter;km_filter; C:\WINDOWS\system32\drivers\km_filter.sys [2008-06-27 8832] R3 MODEMCSA;Unimodem-Datenstromfiltergerät; C:\WINDOWS\system32\drivers\MODEMCSA.sys [2001-08-17 16128] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288] R3 MxlW2k;MxlW2k; C:\WINDOWS\system32\drivers\MxlW2k.sys [2005-02-14 28352] R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824] R3 ROOTMODEM;Microsoft Legacy Modem Driver; C:\WINDOWS\System32\Drivers\RootMdm.sys [2004-08-04 5888] R3 RT2500USB;RT2500 USB Wireless LAN Driver; C:\WINDOWS\system32\DRIVERS\rt2500usb.sys [2004-12-03 140544] R3 SoC PC-Camera Service;CIF USB CAMERA; C:\WINDOWS\system32\DRIVERS\pfc027.sys [2004-02-10 127692] R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208] R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520] R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608] R3 VComm;Virtual Serial port driver; C:\WINDOWS\system32\DRIVERS\VComm.sys [2004-10-19 61312] R3 VcommMgr;Bluetooth VComm Manager Service; C:\WINDOWS\System32\Drivers\VcommMgr.sys [2004-11-05 82148] R3 wbscr;Winbond Smartcard Reader for I/O; C:\WINDOWS\system32\drivers\wbscr.sys [2002-04-24 19928] R3 XUIF;X10 USB Wireless Transceiver; C:\WINDOWS\System32\Drivers\x10ufx2.sys [2004-01-16 17408] S3 61883;61883-Einheitsgerät; C:\WINDOWS\system32\DRIVERS\61883.sys [2008-04-13 48128] S3 a0m0vlvl;a0m0vlvl; C:\WINDOWS\system32\drivers\a0m0vlvl.sys [] S3 Avc;AVC-Gerät; C:\WINDOWS\system32\DRIVERS\avc.sys [2008-04-13 38912] S3 bdfdll;bdfdll; \??\C:\Programme\Softwin\BitDefender9\bdfdll.sys [] S3 BTNetFilter;Bluetooth Network Filter; \??\C:\WINDOWS\system32\drivers\BTNetFilter.sys [] S3 CardReaderFilter;Card Reader Filter; \??\C:\WINDOWS\system32\Drivers\USBCRFT.SYS [] S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024] S3 HdAudAddService;Microsoft UAA-Funktionstreiber für den High Definition Audio-Dienst; C:\WINDOWS\system32\drivers\HdAudio.sys [2004-03-17 113664] S3 mbr;mbr; \??\C:\DOKUME~1\Felix\LOKALE~1\Temp\mbr.sys [] S3 MPE;BDA MPE-Filter; C:\WINDOWS\system32\DRIVERS\MPE.sys [2008-04-13 15232] S3 MSDV;Microsoft DV Camera and VCR; C:\WINDOWS\system32\DRIVERS\msdv.sys [2008-04-13 51200] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504] S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248] S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880] S3 nm;Netzwerkmonitortreiber; C:\WINDOWS\system32\DRIVERS\NMnt.sys [2008-04-13 40320] S3 NPF;NetGroup Packet Filter Driver; C:\WINDOWS\system32\drivers\npf.sys [2007-11-06 34064] S3 NTSIM;NTSIM; \??\C:\WINDOWS\system32\ntsim.sys [] S3 sermouse;Serieller Maustreiber; C:\WINDOWS\system32\DRIVERS\sermouse.sys [2001-08-18 18176] S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136] S3 ss_bus;Samsung Mobile USB Device 1.0 driver (WDM); C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-01-24 52384] S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter; C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-01-24 6064] S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers; C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-01-24 84512] S3 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2008-04-19 21248] S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232] S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104] S3 wanatw;WAN Miniport (ATW); C:\WINDOWS\system32\DRIVERS\wanatw4.sys [] S3 WpdUsb;WpdUsb; C:\WINDOWS\System32\Drivers\wpdusb.sys [2005-01-28 18944] S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200] Hier noch den Rest! Sry wenn ich was falsch gemacht hab! |
02.10.2008, 14:46 | #7 |
| Bifrost-Trojaner! Und noch der Schluss! Sry! ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 aawservice;Lavasoft Ad-Aware Service; C:\Programme\Lavasoft\Ad-Aware\aawservice.exe [2008-08-24 611664] R2 AntiVirScheduler;AntiVir PersonalEdition Classic Planer; C:\Programme\AntiVir PersonalEdition Classic\sched.exe [2008-07-23 68865] R2 AntiVirService;AntiVir PersonalEdition Classic Guard; C:\Programme\AntiVir PersonalEdition Classic\avguard.exe [2008-08-15 149761] R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2007-09-06 110592] R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2005-01-12 425984] R2 BlueSoleil Hid Service;BlueSoleil Hid Service; C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe [2004-12-24 106496] R2 CLCapSvc;CyberLink Background Capture Service (CBCS); C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe [2005-02-21 184399] R2 CLSched;CyberLink Task Scheduler (CTS); C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe [2005-02-21 110669] R2 CPUCooLServer;CPUCooLServer Service; C:\Programme\CPUCooL\CooLSrv.exe [2007-07-31 118784] R2 CyberLink Media Library Service;CyberLink Media Library Service; C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe [2005-02-21 61440] R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe [2003-06-20 322120] R2 PnkBstrA;PnkBstrA; C:\WINDOWS\system32\PnkBstrA.exe [2008-08-06 66872] R2 prfldsvc;Private Folder Service; C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe [2006-04-21 69632] R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-01-28 38912] R3 x10nets;X10 Device Network Service; C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe [2001-11-12 20480] S2 Buzzsaw_Defragmentation;Buzzsaw_Defragmentation; C:\Programme\MATCO\BuzzSawService.exe [2006-11-26 327680] S2 Fax;Fax; C:\WINDOWS\system32\fxssvc.exe [2008-04-14 268800] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-04-13 33632] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-04-13 68952] S3 DirMS_Defragmentation;DirMS_Defragmentation; C:\Programme\MATCO\DirmsService.exe [2006-11-27 245760] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance; C:\Common\Database\bin\fbserver.exe [2005-11-17 1527900] S3 GoogleDesktopManager-121807-210419;Google Desktop Manager 5.7.712.18632; C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe [2007-12-27 29744] S3 gusvc;Google Updater Service; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-02-05 138168] S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632] S3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2008-03-30 504104] S3 rpcapd;Remote Packet Capture Protocol v.0 (experimental); C:\Programme\WinPcap\rpcapd.exe [2007-11-06 92792] S3 UPnPService;UPnPService; C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [2006-12-14 544768] S3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Programme\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328] S3 usprserv;User Privilege Service; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336] S3 WLSetupSvc;Windows Live Setup Service; C:\Programme\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240] S3 WmcCds;Windows Media Connect (WMC); c:\programme\windows media connect\mswmccds.exe [2004-08-11 483328] S3 WmcCdsLs;Windows Media Connect-Hilfsprogramm; C:\Programme\Windows Media Connect\mswmcls.exe [2004-08-10 28160] -----------------EOF----------------- |
02.10.2008, 15:38 | #8 |
| Bifrost-Trojaner! Hier der mam log! Malwarebytes' Anti-Malware 1.16 Datenbank Version: 845 16:37:52 02.10.2008 mbam-log-10-2-2008 (16-37-52).txt Scan Art: Komplett Scan (C:\|D:\|E:\|) Objekte gescannt: 259264 Scan Dauer: 48 minute(s), 57 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine Malware Objekte gefunden) Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: (Keine Malware Objekte gefunden) avira kommt später! FElix |
02.10.2008, 15:43 | #9 |
| Bifrost-Trojaner! Avira rootikickzeugs! Avira AntiRootkit Tool - Beta (1.0.1.17) ======================================================================================================== - Scan started Donnerstag, 2. Oktober 2008 - 16:42:54 ======================================================================================================== -------------------------------------------------------------------------------------------------------- Configuration: -------------------------------------------------------------------------------------------------------- - [X] Scan files - [X] Scan registry - [X] Scan processes - [ ] Fast scan - Working disk total size : 139.78 GB - Working disk free size : 89.18 GB (63 %) -------------------------------------------------------------------------------------------------------- Scan task finished. No hidden objects detected! -------------------------------------------------------------------------------------------------------- Files: 0/0 Registry items: 0/0 Processes: 0/0 Scan time: 00:00:00 -------------------------------------------------------------------------------------------------------- Active processes: ======================================================================================================== - Scan finished Donnerstag, 2. Oktober 2008 - 16:42:54 ======================================================================================================== Avira AntiRootkit Tool - Beta (1.0.1.17) ======================================================================================================== - Scan started Donnerstag, 2. Oktober 2008 - 16:42:58 ======================================================================================================== -------------------------------------------------------------------------------------------------------- Configuration: -------------------------------------------------------------------------------------------------------- - [X] Scan files - [X] Scan registry - [X] Scan processes - [ ] Fast scan - Working disk total size : 139.78 GB - Working disk free size : 89.18 GB (63 %) -------------------------------------------------------------------------------------------------------- Scan task finished. No hidden objects detected! -------------------------------------------------------------------------------------------------------- Files: 0/0 Registry items: 0/0 Processes: 0/0 Scan time: 00:00:00 -------------------------------------------------------------------------------------------------------- Active processes: ======================================================================================================== - Scan finished Donnerstag, 2. Oktober 2008 - 16:42:58 ======================================================================================================== |
02.10.2008, 16:33 | #10 |
| Bifrost-Trojaner! Da hatte der "Hacker" aber nciht ganz unrecht mit....wenn er sagt es ist ein Nützliches Programm... Denn, Bifrost ist ein Fernwartungs Programm mitdem er dir genauso gut hätte helfen können mit irgendwelcehn Fehlern, doch in diesem Fall ist es ja nun leider nicht so. Und auch wenn er ihn selbst geschrieben hat, desto öfter er ihn verteilt desto mehr detected wird er, wenn du die datei noch hast lade sie mal bei VirusTotal - Free Online Virus and Malware Scan hoch und in ein paar tagen ist sie schon von viel mehr scannern entdeckt. mfg |
02.10.2008, 16:58 | #11 | |
Bifrost-Trojaner!Zitat:
|
02.10.2008, 17:18 | #12 |
| Bifrost-Trojaner! Ne, hab die Datei schon gelöscht! Wie soll ich denn jetzt weiter vorgehen? Ist mein Pc sicher, wenn ich nun das System neu aufsetze? WEnn der Virus auf dem mbr undetected ist ja wohl eher nicht! Dann ist es ja sogar unmöglich den Trojaner wieder loszuwerden! Felix |
04.10.2008, 17:15 | #13 |
| Bifrost-Trojaner! Hi, das hier fährt noch auf dem Rechner rum: C:\Programme\NetRatingsNetSight\NetSight\NielsenOn line.exe http://www.file.net/process/nielsenonline.exe.html und hier: S3 mbr;mbr; \??\C:\DOKUME~1\Felix\LOKALE~1\Temp\mbr.sys [] Das ist prädestiniert für GMER: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html Danach im abgesicherten Modus noch Drweb CureIT reinigen lassen: http://freedrweb.com/?lng=de Report liegt in %userprofile%\doctorweb\cureit.log , bitte posten! Beim Neuaufsetzen ist wichtig, die Festplatte komplett zu formatieren und den Bootblock neu zu schreiben (und von CD zu booten). Selbst wenn nichts mehr gefunden wird, weist Du nicht welche Änderungen an Deinem Rechner vorgenommen wurden (Ports freigeschaltet etc.)... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
05.10.2008, 11:12 | #14 |
| Bifrost-Trojaner! Ähm, sry werd aus deinem Post nicht schlau! Also NEtsight zeugs hab ich jetzt gelöscht! Was soll ich sonst noch machen? Sry, ich hab da halt net so die Ahnung von! Felix |
05.10.2008, 14:01 | #15 | |
| Bifrost-Trojaner!Zitat:
Keiner hat von allem Ahnung, das ist nun mal so. Sieh Deinen "Bifrost" doch einfach mal als Veranlassung, Dich mehr mit dem Thema Sicherheit zu beschäftigen, es lohnt sich und ist außerdem interessant. Bifrost ist eine mächtige Fernwartungssoftware, man kann damit sehr viel machen, Gutes wie auch Böses. Gehe mal davon aus, dass Deine Passwörter einem Dritten bekannt sind, Du mußt nach dem Formatieren alle ändern. Stell Dir nur mal vor Dein Mail-Account wird zum Versenden von Spam benutzt und Dein ISP fragt Dich, was Du da eigentlich machst. Außerdem "fliegt" nichts auf einen PC, Bifrost schon gar nicht. Du hast irgendetwas gemacht, was den Server bei Dir installiert hat. Cracks sind als Beispiel oft mit einer "netten" Zugabe versehen. Ich habe kein Mitleid mit Leuten, die sich auf diesem Weg infizieren. Also, bleibe zukünftig von Cracks und ähnlichem weg. oder lerne damit umzugehen. have fun, Heike
__________________ Es ist besser für das, was man ist, gehasst, als für das, was man nicht ist, geliebt zu werden. (Kettcar) |
Themen zu Bifrost-Trojaner! |
anderes, beiträge, bifrost, blöde, datei, detected, explorer.exe, formatieren, gelöscht, geändert, guten, hacker, löschen, nicht mehr, programm, programme, rojaner gefunden, scan, system, trojaner, trojaner gefunden, virenscan, virus, worte, öffnen |