| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojan-Spy.HTML.Bankfraud.dq von Windows Firewall gemeldetWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
06.10.2008, 17:18
| #1 |
 |  Trojan-Spy.HTML.Bankfraud.dq von Windows Firewall gemeldet Hallo liebe "Leidensgenossen", ich bekomme seit heute nachmittag von der Windows Firewall Warnmeldungen wie "Trojan-Spy.HTML.Bankfraud.dq" und ähnliche. Daraufhin habe ich Avira Antivirus laufen lassen und die gefundenen Schädlinge gelöscht oder in Quarantäne gesetzt. Leider war das Problem damit nicht behoben. Nach einigem schmökern in Eurem Forum habe ich mir Anti-Malware heruntergeladen und damit mein System komplett gescannt. Hier zunächst die Daten zu meinem System: Betriebssystemname Microsoft Windows XP Home Edition Version 5.1.2600 Service Pack 2 Build 2600 Betriebssystemhersteller Microsoft Corporation Systemname FRANK_ASUS Systemhersteller ASUSTeK Computer Inc. Systemmodell A6VA Systemtyp X86-basierter PC Prozessor x86 Family 6 Model 13 Stepping 8 GenuineIntel ~1596 Mhz BIOS-Version/-Datum American Megatrends Inc. A6VAAS.207, 28.06.2005 SMBIOS-Version 2.3 Windows-Verzeichnis C:\WINDOWS Systemverzeichnis C:\WINDOWS\system32 Startgerät \Device\HarddiskVolume2 Gebietsschema Deutschland Hardwareabstraktionsebene Version = "5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)" Benutzername FRANK_ASUS\Max Mustermann Zeitzone Westeuropäische Normalzeit Gesamter realer Speicher 1.024,00 MB Verfügbarer realer Speicher 117,95 MB Gesamter virtueller Speicher 2,00 GB Verfügbarer virtueller Speicher 1,96 GB Größe der Auslagerungsdatei 2,40 GB Auslagerungsdatei C:\pagefile.sys Hier das Ergebnis des Scans mit Avira Antivirus: [I] Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 6. Oktober 2008 15:00 Es wird nach 1658825 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: Max Mustermann Computername: FRANK_ASUS Versionsinformationen: BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00 AVSCAN.EXE : 8.1.4.7 315649 Bytes 18.07.2008 08:32:16 AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.07.2008 08:32:16 LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 08:32:17 LUKERES.DLL : 8.1.4.0 12545 Bytes 18.07.2008 08:32:17 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:16 ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 16:57:25 ANTIVIR2.VDF : 7.0.6.217 3773440 Bytes 26.09.2008 08:21:28 ANTIVIR3.VDF : 7.0.6.243 186368 Bytes 04.10.2008 13:23:47 Engineversion : 8.1.1.35 AEVDF.DLL : 8.1.0.5 102772 Bytes 20.04.2008 13:23:52 AESCRIPT.DLL : 8.1.0.76 319867 Bytes 18.09.2008 16:30:51 AESCN.DLL : 8.1.0.23 119156 Bytes 18.07.2008 08:32:19 AERDL.DLL : 8.1.1.2 438644 Bytes 18.09.2008 16:30:50 AEPACK.DLL : 8.1.2.3 364918 Bytes 24.09.2008 16:12:08 AEOFFICE.DLL : 8.1.0.25 196986 Bytes 18.09.2008 16:30:48 AEHEUR.DLL : 8.1.0.59 1438071 Bytes 18.09.2008 16:30:47 AEHELP.DLL : 8.1.0.15 115063 Bytes 31.05.2008 09:25:36 AEGEN.DLL : 8.1.0.36 315764 Bytes 19.08.2008 06:26:14 AEEMU.DLL : 8.1.0.7 430452 Bytes 02.08.2008 12:54:42 AECORE.DLL : 8.1.1.11 172406 Bytes 04.09.2008 06:05:41 AEBB.DLL : 8.1.0.1 53617 Bytes 18.07.2008 08:32:18 AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 08:32:16 AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 08:32:16 AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:54:20 AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 08:32:16 AVARKT.DLL : 1.0.0.23 307457 Bytes 20.04.2008 13:23:50 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 08:32:16 SQLITE3.DLL : 3.3.17.1 339968 Bytes 20.04.2008 13:23:51 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 08:32:17 NETNT.DLL : 8.0.0.1 7937 Bytes 20.04.2008 13:23:51 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 08:32:07 RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 08:32:07 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Montag, 6. Oktober 2008 15:00 Der Suchlauf über gestartete Prozesse wird begonnen: Anm. aus Platzgründen habe ich die durchsuchten Prozesse weggelassen! Es wurden '93' Prozesse mit '93' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '105' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <C AUF ASUS> C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Ende des Suchlaufs: Montag, 6. Oktober 2008 15:18 Benötigte Zeit: 17:55 Minute(n) Der Suchlauf wurde abgebrochen! 4065 Verzeichnisse wurden überprüft 106543 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 106541 Dateien ohne Befall 1246 Archive wurden durchsucht 2 Warnungen 0 Hinweise Und hier das Ergebnis des Scans mit Anti-Malware: Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1234 Windows 5.1.2600 Service Pack 2 06.10.2008 18:04:56 mbam-log-2008-10-06 (18-04-48).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 141387 Laufzeit: 46 minute(s), 40 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 55 Infizierte Registrierungswerte: 7 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 9 Infizierte Dateien: 123 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{69BAE597-B693-20E3-F697-0067CA76C343} (Trojan.FakeAlert.H) -> No action taken. HKEY_CLASSES_ROOT\rxresult.rxresultfilter (Trojan.Agent) -> No action taken. HKEY_CLASSES_ROOT\TypeLib\{05563f82-69a7-40a6-8670-153b635a7ef6} (Trojan.Agent) -> No action taken. HKEY_CLASSES_ROOT\Interface\{ac368f5f-6670-4dde-a1a8-b9c064ea0402} (Trojan.Agent) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{2ab289ae-4b90-4281-b2ae-1f4bb034b647} (Trojan.Agent) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{59879fa4-4790-461c-a1cc-4ec4de4ca483} (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59879fa4-4790-461c-a1cc-4ec4de4ca483} (Trojan.Agent) -> No action taken. HKEY_CLASSES_ROOT\rxresult.rxresultfilter.1 (Trojan.Agent) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{4d1c4e81-a32a-416b-bcdb-33b3ef3617d3} (Adware.Need2Find) -> No action taken. HKEY_CLASSES_ROOT\TypeLib\{4d1c4e80-a32a-416b-bcdb-33b3ef3617d3} (Adware.Need2Find) -> No action taken. HKEY_CLASSES_ROOT\Interface\{4d1c4e8a-a32a-416b-bcdb-33b3ef3617d3} (Adware.Need2Find) -> No action taken. HKEY_CLASSES_ROOT\Interface\{4d1c4e8c-a32a-416b-bcdb-33b3ef3617d3} (Adware.Need2Find) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{014da6c9-189f-421a-88cd-07cfe51cff10} (Adware.Need2Find) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4d1c4e81-a32a-416b-bcdb-33b3ef3617d3} (Adware.Need2Find) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{4d1c4e89-a32a-416b-bcdb-33b3ef3617d3} (Adware.Need2Find) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{4d1c4e8b-a32a-416b-bcdb-33b3ef3617d3} (Adware.Need2Find) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{630d6140-04c5-4db0-b27a-020d766ff09b} (Adware.Need2Find) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{0656a137-b161-cadd-9777-e37a75727e78} (Fake.Dropped.Malware) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{0b682cc1-fb40-4006-a5dd-99edd3c9095d} (Fake.Dropped.Malware) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{0e1230f8-ea50-42a9-983c-d22abc2eeb4c} (Fake.Dropped.Malware) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{54645654-2225-4455-44a1-9f4543d34545} (Fake.Dropped.Malware) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{5c7f15e1-f31a-44fd-aa1a-2ec63aaffd3a} (Fake.Dropped.Malware) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> No action taken. HKEY_CLASSES_ROOT\TypeLib\{66b20295-dc57-42b6-acdf-52d916e86464} (Adware.RXToolbar) -> No action taken. HKEY_CLASSES_ROOT\Interface\{fb590d02-0a82-4f44-9fad-517948dcf4f3} (Adware.RXToolbar) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{25d8bacf-3de2-4b48-ae22-d659b8d835b0} (Adware.RXToolbar) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\dpcproxy (Fake.Dropped.Malware) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> No action taken. HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> No action taken. HKEY_CURRENT_USER\HOL5_VXIEWER.FULL.1 (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Classes\hol5_vxiewer.full.1 (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Classes\applications\accessdiver.exe (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\fwbd (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\HolLol (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Inet Delivery (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Inet Delivery (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mslagent (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Invictus (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Golden Palace Casino PT (Trojan.DNSChanger) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Golden Palace Casino NEW (Trojan.DNSChanger) -> No action taken. HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic (Fake.Dropped.Malware) -> No action taken. HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\rdriv (Fake.Dropped.Malware) -> No action taken. HKEY_CLASSES_ROOT\rxtoolbar.tbinfo (Adware.RXToolbar) -> No action taken. HKEY_CLASSES_ROOT\rxtoolbar.tbinfo.1 (Adware.RXToolbar) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RXToolBar (Adware.RXToolbar) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\RX ToolBar (Adware.RXToolbar) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\apphlpproc (Trojan.FakeAlert.H) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mntaplmsg (Trojan.FakeAlert.H) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\s71zr1crvz (Trojan.FakeAlert.H) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{25d8bacf-3de2-4b48-ae22-d659b8d835b0} (Adware.RXToolbar) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{25d8bacf-3de2-4b48-ae22-d659b8d835b0} (Adware.RXToolbar) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\p2p networking (Backdoor.Bot) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SystemCheck2 (Trojan.Agent) -> No action taken. Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken. Infizierte Verzeichnisse: C:\WINDOWS\mslagent (Adware.EGDAccess) -> No action taken. C:\Programme\akl (Fake.Dropped.Malware) -> No action taken. C:\Programme\PCHealthCenter (Trojan.Fakealert) -> No action taken. C:\Programme\RXToolBar (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\Cache (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\graphics (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\HTML (Adware.RXToolbar) -> No action taken. C:\Programme\Inet Delivery (Fake.Dropped.Malware) -> No action taken. C:\WINDOWS\system32\smp (Fake.Dropped.Malware) -> No action taken. Infizierte Dateien: C:\Programme\xbkfncc\apphlpproc.dll (Trojan.FakeAlert.H) -> No action taken. C:\WINDOWS\system32\bqbytwxa.exe (Trojan.FakeAlert.H) -> No action taken. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fyfshqfe\rapshqlq.exe (Trojan.FakeAlert.H) -> No action taken. C:\Programme\RXToolBar\sfcont.dll (Trojan.Agent) -> No action taken. C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL (Adware.Need2Find) -> No action taken. C:\WINDOWS\mslagent\2_mslagent.dll (Adware.EGDAccess) -> No action taken. C:\WINDOWS\mslagent\mslagent.exe (Adware.EGDAccess) -> No action taken. C:\WINDOWS\mslagent\uninstall.exe (Adware.EGDAccess) -> No action taken. C:\Programme\akl\akl.dll (Fake.Dropped.Malware) -> No action taken. C:\Programme\akl\akl.exe (Fake.Dropped.Malware) -> No action taken. C:\Programme\akl\uninstall.exe (Fake.Dropped.Malware) -> No action taken. C:\Programme\akl\unsetup.exe (Fake.Dropped.Malware) -> No action taken. C:\Programme\PCHealthCenter\0.gif (Trojan.Fakealert) -> No action taken. C:\Programme\PCHealthCenter\1.gif (Trojan.Fakealert) -> No action taken. C:\Programme\PCHealthCenter\1.ico (Trojan.Fakealert) -> No action taken. C:\Programme\PCHealthCenter\2.gif (Trojan.Fakealert) -> No action taken. C:\Programme\PCHealthCenter\2.ico (Trojan.Fakealert) -> No action taken. C:\Programme\PCHealthCenter\3.gif (Trojan.Fakealert) -> No action taken. C:\Programme\PCHealthCenter\sc.html (Trojan.Fakealert) -> No action taken. C:\Programme\RXToolBar\CacheCatalog.rx (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\rx.xml (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\rxtoolbar.cfg (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\RXToolBar.dll (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\rxwebsearches.xsl (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\sfcont.bin (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\yahoo.xsl (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\Cache\CT (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\Cache\CTde_vwr_com_ (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\Cache\CTsupport_microsoft_com_ (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\Cache\CTwindowsupdate_microsoft_com_ (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\Cache\CTwww_accuradio_com_gateway-2_php_channel=Channel9&sub=SubLatinNC (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\Cache\CTwww_antivir-pe_com_freet_index_php_id=1&domain=free-av_deNC (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\Cache\CTwww_antivir-pe_com_freet_index_php_id=2&domain=free-av_deNC (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\Cache\CTwww_atp-messtechnik_de_ (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\Cache\CTwww_atp-messtechnik_de_stats_roi_php_refid=1&word=pH-Messgeraete&target=Umwelt-und-Klima_Wasseranalytik_3NC (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\Cache\CTwww_chip_de_ (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\Cache\CTwww_google_de_ (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\Cache\CTwww_go_com (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\Cache\CTwww_kuntze_com_ (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\Cache\CTwww_mercateo_com (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\Cache\CTwww_microsoft_com_ (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\Cache\CTwww_pcwelt_de_ (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\Cache\CTwww_search_com_ (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\Cache\CTwww_srch-results_com_lm_imp_rxt_asp_si=19902&k=mit%20messbereichenNC (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\Cache\CTwww_srch-results_com_lm_imp_rxt_asp_si=19902&k=stationäre%20systemeNC (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\Cache\CTwww_srch-results_com_lm_imp_rxt_asp_si=19902&k=swr1NC (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\Cache\CTwww_srch-results_com_lm_imp_rxt_asp_si=19902&k=umwelt%20undNC (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\Cache\CTwww_swr_de_ (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\Cache\CTwww_update_com (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\Cache\CTwww_update_microsoft_com_microsoftupdate_v6_muoptdefault_aspx_returnurl=http___www_update_microsoft_com_microsoftupdate NC (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\Cache\CTwww_web_de (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\graphics\additional.gif (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\graphics\additional_active.gif (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\graphics\background.jpg (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\graphics\blue_hr_horz.GIF (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\graphics\gray_hr_horz.GIF (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\graphics\thumbtack.gif (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\graphics\thumbtack_active.gif (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\graphics\thumbtack_click.gif (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\HTML\content.htm (Adware.RXToolbar) -> No action taken. C:\Programme\RXToolBar\HTML\main.htm (Adware.RXToolbar) -> No action taken. C:\Programme\Inet Delivery\inetdl.exe (Fake.Dropped.Malware) -> No action taken. C:\Programme\Inet Delivery\intdel.exe (Fake.Dropped.Malware) -> No action taken. C:\WINDOWS\system32\smp\msrc.exe (Fake.Dropped.Malware) -> No action taken. C:\WINDOWS\a.bat (Fake.Dropped.Malware) -> No action taken. C:\WINDOWS\base64.tmp (Fake.Dropped.Malware) -> No action taken. C:\WINDOWS\FVProtect.exe (Fake.Dropped.Malware) -> No action taken. C:\WINDOWS\userconfig9x.dll (Fake.Dropped.Malware) -> No action taken. C:\WINDOWS\winsystem.exe (Fake.Dropped.Malware) -> No action taken. C:\WINDOWS\zip1.tmp (Fake.Dropped.Malware) -> No action taken. C:\WINDOWS\zip2.tmp (Fake.Dropped.Malware) -> No action taken. C:\WINDOWS\zip3.tmp (Fake.Dropped.Malware) -> No action taken. C:\WINDOWS\zipped.tmp (Fake.Dropped.Malware) -> No action taken. C:\WINDOWS\bdn.com (Trojan.Agent) -> No action taken. C:\WINDOWS\iTunesMusic.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\mssecu.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\akttzn.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\anticipator.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\awtoolb.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\bdn.com (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\bsva-egihsg52.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\dpcproxy.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\emesx.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\hoproxy.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\hxiwlgpm.dat (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\hxiwlgpm.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\medup012.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\medup020.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\msgp.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\msnbho.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\mssecu.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\msvchost.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\mtr2.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\mwin32.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\netode.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\newsd32.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\ps1.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\psof1.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\psoft1.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\regc64.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\regm64.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\Rundl1.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\sncntr.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\ssurf022.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\ssvchost.com (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\ssvchost.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\sysreq.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\taack.dat (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\taack.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\temp#01.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\thun.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\thun32.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\VBIEWER.OCX (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\vcatchpi.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\winlogonpc.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\winsystem.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\WINWGPX.EXE (Trojan.Agent) -> No action taken. C:\WINDOWS\Fonts\acrsecB.fon (Trojan.Agent) -> No action taken. C:\WINDOWS\Fonts\acrsecI.fon (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\vbsys2.dll (Trojan.Clicker) -> No action taken. C:\WINDOWS\smdat32a.sys (Rootkit.Agent) -> No action taken. C:\WINDOWS\smdat32m.sys (Rootkit.Agent) -> No action taken. Da ich den Rechner geschäftlich nutze, bin ich ein wenig beunruhigt über dieses Ergebnis. Kann mir irgend jemand helfen diese "Viecher" wieder loszuwerden, ohne gleich die Festplatte zu formatieren? Vielen Dank schon mal an dieser Stelle für die geopferte Zeit Gruß Etruscan |
|
07.10.2008, 06:41
| #2 |
| | Trojan-Spy.HTML.Bankfraud.dq von Windows Firewall gemeldet ja....also ich empfehle dir erst bei bei deinem eintrag deinen pc namen überall zu zensieren mit ***...desweiteren hat malwarebyte ja einiges gefunden ...kannst du mal hijacklogfiles machen? und machst du vllt mal einen check der dateien auf die du aufgreifen kannst bei virustotal.com? weil ich meine du hast noch bissl mehr als nur die spyware drauf..
__________________ |
|
07.10.2008, 08:34
| #3 |
| | Trojan-Spy.HTML.Bankfraud.dq von Windows Firewall gemeldet Hallo und danke erstmal für die Bemühungen,
__________________hier sind die hijacklogfiles, allerdings kann ich herzlich wenig damit anfangen. Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 08:42:03, on 07.10.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\cjpcsc.exe C:\DATEV\PROGRAMM\B0001442\PSNTSERV.EXE C:\DATEV\PROGRAMM\B0000150\ScServer\DVckService.exe C:\WINDOWS\SYSTEM32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\DATEV\PROGRAMM\B0001364\DTVSCSer.exe C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe C:\DATEV\PROGRAMM\B0001356\SpdyScProcessSrv.exe C:\Programme\ASUS\Power4 Gear\BatteryLife.exe C:\Programme\KOBIL Systems\KOBIL mIDentity\msdisrv.exe C:\Programme\ASUS\Wireless Console\wcourier.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\SaferSurf Setup\SaferSurf Active.exe C:\Programme\ASUSTeK\ASUSDVD\PDVDServ.exe C:\Programme\REINER SCT\mateSuite\msctsvr.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\mysql\bin\mysqld-nt.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\SatSrv.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\DATEV\PROGRAMM\B0000347\ScMgmt\SCardService.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe C:\WINDOWS\system32\P2P Networking\P2P Networking.exe C:\WINDOWS\wt\wcmdmgr.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe C:\DATEV\PROGRAMM\B0000150\ScWTS\DVCCSAWTSSetEntryNTE.exe C:\DATEV\PROGRAMM\B0000347\ScMgmt\ScardManager.exe C:\DATEV\PROGRAMM\B0001356\mIDentity.exe C:\Programme\REINER SCT\mateSuite\mssm.exe C:\Programme\REINER SCT\mateSuite\mscmmgr.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\REINER SCT\mateSuite\mspmmgr.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Steganos Security Suite 2006\SSS2006.exe C:\Programme\SaferSurf FileSharing\SaferSurf-FileSharing.exe C:\Programme\REINER SCT\mateSuite\mspmsvr.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\PROGRA~1\MICROS~3\rapimgr.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Asus\Asus ChkMail\ChkMail.exe C:\Programme\MFP Utility\Generic Direct Print\Generic Direct Print 35C-3\06dphfmg.exe C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe C:\mysql\bin\winmysqladmin.exe C:\Programme\Sun\StarOffice 8\program\soffice.exe C:\Programme\Sun\StarOffice 8\program\soffice.BIN C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Steganos Security Suite 2006\SSS2006.exe C:\WINDOWS\system32\bqbytwxa.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fyfshqfe\rapshqlq.exe C:\Programme\Steganos Security Suite 2006\PasswordManagerIEAutoFill.exe C:\Programme\Microsoft Office\Office\OUTLOOK.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\SpeedCommander 12\SpeedCommander.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Max Mustermann\Desktop\HiJackThis_4358.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.Mustermann.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=gingema.safersurf.com:8001;h**p=gingema.safersurf.com:8001 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = chat.de;chat-net.org;<local> O2 - BHO: PassMateBHO Class - {1765F51E-F1D0-4AEE-8A8A-A078C9B5BAD4} - C:\Programme\REINER SCT\mateSuite\mspmie.dll O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programme\RXToolBar\sfcont.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: DATEV Smartcard Browser Helper - {AF8CD625-E04A-4A8F-A90A-0C74846C2E30} - C:\DATEV\SYSTEM\DVCCSAScardBHO002.dll O3 - Toolbar: RX Toolbar - {25D8BACF-3DE2-4B48-AE22-D659B8D835B0} - C:\Programme\RXToolBar\RXToolBar.dll O3 - Toolbar: mateSuite - passMate - {8C3887BA-3367-4297-B288-13472BD407E4} - C:\Programme\REINER SCT\mateSuite\mspmie.dll O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1 O4 - HKLM\..\Run: [Wireless Console] C:\Programme\ASUS\Wireless Console\wcourier.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Zshutdown] c:\sysprep\patch\sysprep.cmd O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SaferSurf Active] "C:\Programme\SaferSurf Setup\SaferSurf Active.exe" O4 - HKLM\..\Run: [RemoteControl] C:\Programme\ASUSTeK\ASUSDVD\PDVDServ.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [pdfFactory Dispatcher v2] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe" /source=HKLM O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe --background O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\wcmdmgrl.exe -launch O4 - HKLM\..\Run: [Steganos AntiSpam 2006] "C:\Programme\Steganos AntiSpam 2006\antispam.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart O4 - HKLM\..\Run: [PSBO Clean] C:\Programme\Box Operator\PSBO.exe /clean O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [DVCCSAWTSSetEntryNTE] C:\DATEV\PROGRAMM\B0000150\ScWTS\DVCCSAWTSSetEntryNTE.exe O4 - HKLM\..\Run: [DATEV_SCardMan] C:\DATEV\PROGRAMM\B0000347\ScMgmt\ScardManager.exe O4 - HKLM\..\Run: [StartSpeedy] C:\DATEV\PROGRAMM\B0001356\mIDentity.exe O4 - HKLM\..\Run: [DTVLOGON] C:\DATEV\PROGRAMM\B0001364\DTVLOGON.EXE /CARDCHECK O4 - HKLM\..\Run: [mspd] C:\WINDOWS\system32\mspd.exe O4 - HKLM\..\Run: [mateSuite Suspend Manager] C:\Programme\REINER SCT\mateSuite\mssm.exe O4 - HKLM\..\Run: [cryptMate Manager] C:\Programme\REINER SCT\mateSuite\mscmmgr.exe O4 - HKLM\..\Run: [passMate Manager] C:\Programme\REINER SCT\mateSuite\mspmmgr.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe" O4 - HKCU\..\Run: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -boot O4 - HKCU\..\Run: [SaferSurf FileSharing] "C:\Programme\SaferSurf FileSharing\SaferSurf-FileSharing.exe" O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [MntAplMsg] C:\WINDOWS\system32\bqbytwxa.exe O4 - HKLM\..\Policies\Explorer\Run: [s71ZR1cRVZ] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fyfshqfe\rapshqlq.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'Default user') O4 - Startup: StarOffice 8.lnk = C:\Programme\Sun\StarOffice 8\program\quickstart.exe O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: ASUS ChkMail.lnk = C:\Programme\Asus\Asus ChkMail\ChkMail.exe O4 - Global Startup: Generic Direct Print 35C-3 Service.lnk = C:\Programme\MFP Utility\Generic Direct Print\Generic Direct Print 35C-3\06dphfmg.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: QLink.lnk = C:\Programme\Olivetti\163MF_164MF\d-Copia 164MF\QLINK.exe O8 - Extra context menu item: &Search - h**p://kp.bar.need2find.com/KP/menusearch.html?p=KP O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=h**p://www.asus.com O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1193295132078 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1193295123937 O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll O20 - Winlogon Notify: DVCCSA - C:\WINDOWS\SYSTEM32\DVCCSAnotify002.dll O21 - SSODL: apphlpproc - {69BAE597-B693-20E3-F697-0067CA76C343} - C:\Programme\xbkfncc\apphlpproc.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: cyberJack PC/SC COM Service (cjpcsc) - REINER SCT - C:\WINDOWS\system32\cjpcsc.exe O23 - Service: DATEV Update-Service - DATEV eG - C:\DATEV\PROGRAMM\INSTALL\DvInesASDSvc.Exe O23 - Service: DATEV Druckservice (DatevPrintService) - DATEV eG - C:\DATEV\PROGRAMM\B0001442\PSNTSERV.EXE O23 - Service: DVckService - DATEV eG - C:\DATEV\PROGRAMM\B0000150\ScServer\DVckService.exe O23 - Service: DV-SmartCard-Logon (DVSmartCardLogon) - DATEV eG - C:\DATEV\PROGRAMM\B0001364\DTVSCSer.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: kavsvc - Steganos GmbH - C:\Programme\Steganos AntiVirus 2006\kavsvc.exe O23 - Service: KOBIL Container Encryption Control1 - KOBIL Systems - C:\DATEV\PROGRAMM\B0001356\SpdyScProcessSrv.exe O23 - Service: KOBIL_MSDI - KOBIL Systems GmbH - C:\Programme\KOBIL Systems\KOBIL mIDentity\msdisrv.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: mateSuite Card Service (mscs) - REINER SCT, SII - C:\Programme\REINER SCT\mateSuite\mscs.exe O23 - Service: mateSuite CT Monitoring Service (msctsvr) - REINER SCT, SII - C:\Programme\REINER SCT\mateSuite\msctsvr.exe O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: Steganos AntiTheft (SatSrv) - Unknown owner - C:\WINDOWS\system32\SatSrv.exe O23 - Service: DATEV SmartCard Service (SCardService) - DATEV eG - C:\DATEV\PROGRAMM\B0000347\ScMgmt\SCardService.exe -- End of file - 16888 bytes Ach ja, der angeführte Systemname hat nix mit meinem Klarnamen zu tun, aber ich werde zukünftig dennoch nur noch XXX schreiben. Gruß Etruscan |
|
07.10.2008, 08:43
| #4 |
| | Trojan-Spy.HTML.Bankfraud.dq von Windows Firewall gemeldet joa...also eine sache steht leider schonmal fest...also ich bin mir nicht sicher aber das sieht wie eine maleware aus C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe kannst du diese datei..wenn du auf die drauf greifen kannst mal checken lassen? hmmm...du hast doch Avira oder? mach mal einen kompletten scan im abgesicherten modus..um zu schauen was du alles drauf hast... bei malewarebytes hab ich gesehen das du so einen rx toolbar hast... das ist doch eine toolbar die du installiert hast oder? und mach dann erstmal das was ich dir gesagt habe  |
|
07.10.2008, 10:28
| #5 |
| | Trojan-Spy.HTML.Bankfraud.dq von Windows Firewall gemeldet o.k., die Datei C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe habe ich bei Virus Total checken lassen, da wurde nix gefunden. Dann habe ich im abgesicherten Modus einen Avira Scan gemacht, hier der Bericht: Code:
ATTFilter Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 7. Oktober 2008 10:29
Es wird nach 1662527 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Abgesicherter Modus mit Netzwerk Support
Benutzername: Frank Widmayer
Computername: FRANK_ASUS
Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 18.07.2008 08:32:16
AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.07.2008 08:32:16
LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 08:32:17
LUKERES.DLL : 8.1.4.0 12545 Bytes 18.07.2008 08:32:17
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:16
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 16:57:25
ANTIVIR2.VDF : 7.0.6.217 3773440 Bytes 26.09.2008 08:21:28
ANTIVIR3.VDF : 7.0.6.248 241152 Bytes 06.10.2008 13:23:15
Engineversion : 8.1.1.35
AEVDF.DLL : 8.1.0.5 102772 Bytes 20.04.2008 13:23:52
AESCRIPT.DLL : 8.1.0.76 319867 Bytes 18.09.2008 16:30:51
AESCN.DLL : 8.1.0.23 119156 Bytes 18.07.2008 08:32:19
AERDL.DLL : 8.1.1.2 438644 Bytes 18.09.2008 16:30:50
AEPACK.DLL : 8.1.2.3 364918 Bytes 24.09.2008 16:12:08
AEOFFICE.DLL : 8.1.0.25 196986 Bytes 18.09.2008 16:30:48
AEHEUR.DLL : 8.1.0.59 1438071 Bytes 18.09.2008 16:30:47
AEHELP.DLL : 8.1.0.15 115063 Bytes 31.05.2008 09:25:36
AEGEN.DLL : 8.1.0.36 315764 Bytes 19.08.2008 06:26:14
AEEMU.DLL : 8.1.0.7 430452 Bytes 02.08.2008 12:54:42
AECORE.DLL : 8.1.1.11 172406 Bytes 04.09.2008 06:05:41
AEBB.DLL : 8.1.0.1 53617 Bytes 18.07.2008 08:32:18
AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 08:32:16
AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 08:32:16
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:54:20
AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 08:32:16
AVARKT.DLL : 1.0.0.23 307457 Bytes 20.04.2008 13:23:50
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 08:32:16
SQLITE3.DLL : 3.3.17.1 339968 Bytes 20.04.2008 13:23:51
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 08:32:17
NETNT.DLL : 8.0.0.1 7937 Bytes 20.04.2008 13:23:51
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 08:32:07
RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 08:32:07
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Beginn des Suchlaufs: Dienstag, 7. Oktober 2008 10:29
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '13' Prozesse mit '13' Modulen durchsucht
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '117' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <C AUF ASUS>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <D AUF ASUS>
Ende des Suchlaufs: Dienstag, 7. Oktober 2008 11:15
Benötigte Zeit: 45:34 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
8777 Verzeichnisse wurden überprüft
501678 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
501677 Dateien ohne Befall
11162 Archive wurden durchsucht
1 Warnungen
0 Hinweise
aber nicht bewusst, d.h. mir ist auch nicht ganz klar was es damit auf sich hat. |
|
07.10.2008, 10:36
| #6 |
| | Trojan-Spy.HTML.Bankfraud.dq von Windows Firewall gemeldet hmmm...sieht eigentlich ganz clean aus auf deinem system.... |
|
| Themen zu Trojan-Spy.HTML.Bankfraud.dq von Windows Firewall gemeldet |
| .com, .dll, 0 bytes, adware.egdaccess, antivirus, avira, browser, disabletaskmgr, einstellungen, explorer, fake.dropped.malware, festplatte, firewall, google, helfen, helper, hijack.taskmanager, home, index, install.exe, internet, internet explorer, malware.trace, malwarebytes, malwarebytes' anti-malware, nt.dll, problem, programme, prozesse, registrierungsschlüssel, registry, rootkit.agent, software, suchlauf, system, systemcheck, trojan.clicker, trojan.fakealert.h, verweise, virus gefunden, warnmeldungen, warnung, windows, windows xp |
Hybrid-Darstellung
