|
Log-Analyse und Auswertung: Trojaner TR/Dropper.gen und PC Anti SpyWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
06.10.2008, 17:59 | #1 |
| Trojaner TR/Dropper.gen und PC Anti Spy Hallo, bitte ganz dringend um Hilfe, ich hab mir gestern aus Versehen Spy Ware auf dem PC installiert, die den Trojaner TR/Dropper.gen enthält. Zudem weiß ich nicht, ob ich nicht vielleicht noch mehr Spy Ware intus habe. Ich weiß auch, dass das Probleim mit TR/Dropper schon mehrere hatten aber bei mir kommt eben PC Anti Spy noch dazu... Zunächst hat sich immer mein Windows Defense Alert gemeldet, und sage mir, der PC könnte mit Spy Ware infiziert sein. Bin dann dem Link gefolgt und habe nach langem hin und her überlegen das angebotene Anti Spy (also PC Anti Spy) runtergeladen und installiert... und hinterher ist mir dann schlagartig bewusst geworden, dass ich grad noch mehr Müll installiert hab. PC Anti Spy wird grad zumindest laut Zone Alarm die Verbindung zum Internet abgeschnitten. Hab dann Anti Vir noch aktualisiert und das hat den bereits genannten Trojaner in Verbindung mit PC Anti Spy gefunden. Und jetzt weiß ich nicht weiter... Anti Spy dudelt da im Hintergrund noch rum... aber mags auch nicht einfach löschen. Hier ist erstmal mein Logfile von HiJackTHis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:47:52, on 06.10.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\uxcjkvkj\klmtihwf.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe C:\Acer\Empowering Technology\ePresentation\ePresentation.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\QuickTime\qttask.exe C:\Acer\Empowering Technology\ePower\ePower_DMC.exe C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE C:\Acer\Empowering Technology\eRecovery\eRAgent.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Java\jre1.5.0_11\bin\jusched.exe D:\Programme\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe D:\Programme\Adobe Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\PC-Antispy\PC-Antispy.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Live\Messenger\MsnMsgr.Exe C:\WINDOWS\system32\czsfmtch.exe C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe C:\Programme\NETGEAR\WG111T\wlan111t.exe C:\Acer\Empowering Technology\ePerformance\MemCheck.exe C:\Programme\Google\Google Updater\GoogleUpdater.exe C:\WINDOWS\system32\igfxext.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\CDBurnerXP\NMSAccessU.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wbem\unsecapp.exe D:\Programme\Adobe Acrobat 7.0\Acrobat\Acrobat.exe C:\DOKUME~1\Acer\LOKALE~1\Temp\Adobelm_Cleanup.0001 C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe C:\DOKUME~1\Acer\LOKALE~1\Temp\Adobelm_Cleanup.0001 C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: PC-Antispy Site Blocker Button - {60B244BE-559D-4269-B96E-CD264D828EC9} - C:\Programme\PC-Antispy\ASpyStBlk.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ntiMUI] C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0 O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Version Cue CS2] "D:\Programme\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe" O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Programme\Adobe Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [PC-Antispy] "C:\Programme\PC-Antispy\PC-Antispy.exe" hide O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [dbgen] C:\WINDOWS\system32\czsfmtch.exe O4 - HKLM\..\Policies\Explorer\Run: [qyvC3RUA6U] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\uxcjkvkj\klmtihwf.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Wecker für Windows 6.lnk = C:\Programme\Wecker6\Wecker.exe O4 - Startup: .security O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Acer Empowering Technology.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk = ? O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O4 - Global Startup: .security O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: Wecker-Alarm - {7B499570-29C5-4a80-9F57-94A420D140CE} - C:\Programme\Wecker6\WfWIEButton.dll O9 - Extra 'Tools' menuitem: Nach Wecker für Windows exportieren - {7B499570-29C5-4a80-9F57-94A420D140CE} - C:\Programme\Wecker6\WfWIEButton.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab O21 - SSODL: DbMon - {2E5A65BB-B055-C0DD-0118-09975F2EE086} - C:\Programme\uqbjlwd\DbMon.dll O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - D:\Programme\Adobe Version Cue CS2\bin\VersionCueCS2.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe -- End of file - 13819 bytes WIe werd ich jetzt dieses PC Antispy los ohne meinen PC zu sehr in Mitleidenschaft zu ziehen und wie kann ich eventuell weitere Spy/ Ad-Ware auffinden und vernichten ? Liebe Grüße und schonmal vielen Dank, Marike Wäre um Hilfe sehr dankbar... und mein PC auch |
06.10.2008, 19:33 | #2 |
/// the machine /// TB-Ausbilder | Trojaner TR/Dropper.gen und PC Anti Spyhi Mari1984 und Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
Hinweis: Navilog1.exe und andere Dateien, werden aehnlich wie process.exe, von einigen Antiviren Herstellern / Firewall Herstellern als sogenannte Risktools erkannt. Es ist kein Virus, sondern ein Programm zur Reinigung dieser Infizierung.
__________________ |
06.10.2008, 20:16 | #3 |
| Trojaner TR/Dropper.gen und PC Anti Spy Soooo... vielen Dank schonmal für deine Hilfe...
__________________hier ist die fixnavi-file Search Navipromo version 3.6.6 began on 06.10.2008 at 21:11:55,34 !!! Warning, this report may include legitimate files/programs !!! !!! Post this report on the forum you are being helped !!! !!! Don't continue with removal unless instructed by an authorized helper !!! Fix running from C:\Programme\navilog1 Actual User Account : "Acer" Updated on 29.09.2008 at 17h30 by IL-MAFIOSO Microsoft Windows XP [Version 5.1.2600] Version Internet Explorer : 6.0.2900.2180 Filesystem type : FAT32 Search done in normal mode *** Searching for installed Software *** *** Search folders in "C:\WINDOWS" *** C:\WINDOWS\mslagent found ! *** Search folders in "C:\Programme" *** *** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" *** *** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" *** *** Search folders in "c:\dokume~1\alluse~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Acer\anwend~1" *** *** Search folders in "C:\DOKUME~1\BESITZER\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Acer\lokale~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Acer\startm~1\progra~1" *** *** Search with Catchme-rootkit/stealth malware detector by gmer *** for more info : http://www.gmer.net *** Search with GenericNaviSearch *** !!! Possibility of legitimate files in the result !!! !!! Must always be checked before manually deleting !!! * Scan in "C:\WINDOWS\system32" * * Scan in "C:\Dokumente und Einstellungen\Acer\lokale~1\anwend~1" * *** Search files *** *** Search specific Registry keys *** *** Complementary Search *** (Search specific files) 1)Search new Instant Access files : 2)Heuristic Search : * In "C:\WINDOWS\system32" : * In "C:\Dokumente und Einstellungen\Acer\lokale~1\anwend~1" : 3)Certificates Search : Egroup certificate not found ! Electronic-Group certificate not found ! Montorgueil certificate not found ! OOO-Favorit certificate not found ! Sunny-Day-Design-Ltd certificate not found ! 4)Search known files : *** Search completed on 06.10.2008 at 21:14:10,93 *** Und noch ne Frage... hab mir jetzt schon mal Ad-Aware runtergeladen... kann das zukünftig so Spy-Ware wie PC AntiSpy auch entfernen? |
06.10.2008, 20:20 | #4 |
/// the machine /// TB-Ausbilder | Trojaner TR/Dropper.gen und PC Anti Spy ob es genau das kann weiß ich nicht, aber es kann nicht viel
Der Bericht wird außerdem im Hauptverzeichnis gespeichert. ==== ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. (ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
06.10.2008, 20:37 | #5 |
| Trojaner TR/Dropper.gen und PC Anti Spy Sooo... hier ist die logfile nach ähm... programm 2 aus Filenavi... Navipromo Removal version 3.6.6 started on 06.10.2008 at 21:25:07,07 Fix running from C:\Programme\navilog1 Actual User Account : "Acer" Updated on 29.09.2008 at 17h30 by IL-MAFIOSO Microsoft Windows XP [Version 5.1.2600] Internet Explorer : 6.0.2900.2180 Filesystem type : FAT32 Automatic removal with Catchme and GNS results Cleanning stage done on Reboot *** fsbl1.txt not found *** (Check that Catchme found nothing in Search Mode) *** Deleting with Backups GenericNaviSearch results *** * Deletion in "C:\WINDOWS\System32" * * Deletion in "C:\Dokumente und Einstellungen\Acer\lokale~1\anwend~1" * *** Deleting folders in "C:\WINDOWS" *** C:\WINDOWS\mslagent ...deleting... C:\WINDOWS\mslagent deleted ! *** Deleting folders in "C:\Programme" *** *** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" *** *** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1" *** *** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" *** *** Deleting folders in "C:\Dokumente und Einstellungen\Acer\anwend~1" *** *** Deleting folders in "C:\DOKUME~1\BESITZER\anwend~1" *** *** Deleting folders in "C:\Dokumente und Einstellungen\Acer\lokale~1\anwend~1" *** *** Deleting folders in "C:\Dokumente und Einstellungen\Acer\startm~1\progra~1" *** *** Deleting files *** *** Deleting temporary files *** Cleaning of C:\WINDOWS\Temp done ! Cleaning of C:\Dokumente und Einstellungen\Acer\lokale~1\Temp done ! *** Complementary Search *** (Search specific files) 1)Deletion with backups new Instant Access files: 2)Heuristic search and deletion with backups : * In "C:\WINDOWS\system32" * * In "C:\Dokumente und Einstellungen\Acer\lokale~1\anwend~1" * *** Copy Registry to Safebackup folder *** Backing up Registry done ! *** Cleaning Registry *** Registry cleaned *** Certificates *** Egroup Certificate not found ! Electronic-Group Certificate not found ! Montorgueil Certificate not found ! OOO-Favorit Certificate not found ! Sunny-Day-Design-Ltd Certificate not found ! *** Cleaning stage complete on 06.10.2008 at 21:30:21,89 *** dann mal weiter zu Combo Fix |
06.10.2008, 21:06 | #6 |
| Trojaner TR/Dropper.gen und PC Anti Spy Soooo ... hier ist das, was Combo Fix mir ausgespuckt hat ComboFix 08-10-06.03 - Acer 2008-10-06 21:59:23.1 - FAT32x86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.212 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Acer\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Programme\akl C:\Programme\akl\akl.dll C:\Programme\akl\akl.exe C:\Programme\akl\uninstall.exe C:\Programme\akl\unsetup.exe C:\Programme\Inet Delivery C:\Programme\Inet Delivery\inetdl.exe C:\Programme\Inet Delivery\intdel.exe C:\WINDOWS\a.bat C:\WINDOWS\base64.tmp C:\WINDOWS\bdn.com C:\WINDOWS\Downloaded Program Files\setup.inf C:\WINDOWS\FVProtect.exe C:\WINDOWS\iTunesMusic.exe C:\WINDOWS\mssecu.exe C:\WINDOWS\system32\akttzn.exe C:\WINDOWS\system32\anticipator.dll C:\WINDOWS\system32\awtoolb.dll C:\WINDOWS\system32\bdn.com C:\WINDOWS\system32\bsva-egihsg52.exe C:\WINDOWS\system32\dpcproxy.exe C:\WINDOWS\system32\emesx.dll C:\WINDOWS\system32\h@tkeysh@@k.dll C:\WINDOWS\system32\hoproxy.dll C:\WINDOWS\system32\hxiwlgpm.dat C:\WINDOWS\system32\hxiwlgpm.exe C:\WINDOWS\system32\medup012.dll C:\WINDOWS\system32\medup020.dll C:\WINDOWS\system32\msgp.exe C:\WINDOWS\system32\msnbho.dll C:\WINDOWS\system32\mssecu.exe C:\WINDOWS\system32\msvchost.exe C:\WINDOWS\system32\mtr2.exe C:\WINDOWS\system32\mwin32.exe C:\WINDOWS\system32\netode.exe C:\WINDOWS\system32\newsd32.exe C:\WINDOWS\system32\ps1.exe C:\WINDOWS\system32\psof1.exe C:\WINDOWS\system32\psoft1.exe C:\WINDOWS\system32\regc64.dll C:\WINDOWS\system32\regm64.dll C:\WINDOWS\system32\Rundl1.exe C:\WINDOWS\system32\smp C:\WINDOWS\system32\smp\msrc.exe C:\WINDOWS\system32\sncntr.exe C:\WINDOWS\system32\ssurf022.dll C:\WINDOWS\system32\ssvchost.com C:\WINDOWS\system32\ssvchost.exe C:\WINDOWS\system32\sysreq.exe C:\WINDOWS\system32\taack.dat C:\WINDOWS\system32\taack.exe C:\WINDOWS\system32\temp#01.exe C:\WINDOWS\system32\thun.dll C:\WINDOWS\system32\thun32.dll C:\WINDOWS\system32\VBIEWER.OCX C:\WINDOWS\system32\vbsys2.dll C:\WINDOWS\system32\vcatchpi.dll C:\WINDOWS\system32\winlogonpc.exe C:\WINDOWS\system32\winsystem.exe C:\WINDOWS\system32\WINWGPX.EXE C:\WINDOWS\userconfig9x.dll C:\WINDOWS\winsystem.exe C:\WINDOWS\zip1.tmp C:\WINDOWS\zip2.tmp C:\WINDOWS\zip3.tmp C:\WINDOWS\zipped.tmp . ((((((((((((((((((((((( Dateien erstellt von 2008-09-06 bis 2008-10-06 )))))))))))))))))))))))))))))) . 2008-10-06 21:45 . 2008-10-06 21:45 <DIR> d-------- C:\Programme\Yahoo! 2008-10-06 21:45 . 2008-10-06 21:45 <DIR> d-------- C:\Programme\CCleaner 2008-10-06 21:07 . 2008-10-06 21:07 <DIR> d-------- C:\Programme\Navilog1 2008-10-06 19:48 . 2008-10-06 19:48 <DIR> d-------- C:\Programme\Lavasoft 2008-10-06 19:48 . 2008-10-06 19:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-10-06 19:47 . 2008-10-06 19:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-10-06 18:47 . 2008-10-06 18:47 <DIR> d-------- C:\Programme\Trend Micro 2008-10-06 07:03 . 2008-10-06 07:03 <DIR> d-------- C:\Programme\Avira 2008-10-06 07:03 . 2008-10-06 07:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-10-06 06:58 . 2008-10-06 06:58 25,127,104 --a------ C:\antivir_workstation_winu_de_h.exe 2008-10-05 22:46 . 2008-10-06 21:27 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2008-10-05 22:46 . 2008-10-06 21:27 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2008-10-05 22:42 . 2008-10-05 22:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier 2008-10-05 22:41 . 2008-07-09 09:05 75,248 --a------ C:\WINDOWS\zllsputility.exe 2008-10-05 22:41 . 2008-07-09 09:05 54,672 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll 2008-10-05 22:41 . 2008-07-09 09:05 42,384 --a------ C:\WINDOWS\zllsputility_loc0407.dll 2008-10-05 22:41 . 2008-07-09 09:05 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc0407.dll 2008-10-05 22:41 . 2008-07-09 09:05 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc0407.dll 2008-10-05 22:41 . 2004-04-27 04:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll 2008-10-05 22:41 . 2008-10-05 22:43 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat 2008-10-05 22:33 . 2008-10-05 22:33 <DIR> d-------- C:\Programme\Zone Labs 2008-10-05 22:31 . 2008-10-05 22:31 <DIR> d-------- C:\WINDOWS\Internet Logs 2008-10-05 22:27 . 2008-10-05 22:27 210,416 --a------ C:\zaSetup_de.exe 2008-10-05 22:12 . 2008-10-05 22:12 <DIR> d-------- C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\PC-Antispy 2008-10-05 22:12 . 2008-10-05 22:12 25,600 --a------ C:\WINDOWS\system32\drivers\pcantispy.sys 2008-10-05 22:12 . 2008-10-06 21:32 0 --ah----- C:\WINDOWS\.security 2008-10-05 22:12 . 2008-10-06 21:32 0 --ah----- C:\.security 2008-10-05 22:07 . 2008-10-05 22:07 <DIR> d-------- C:\Programme\PC-Antispy 2008-10-05 21:25 . 2008-10-05 21:25 <DIR> d-------- C:\Programme\uqbjlwd 2008-10-05 21:24 . 2008-10-05 21:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\uxcjkvkj 2008-10-05 21:24 . 2008-10-05 21:24 94,208 --a------ C:\WINDOWS\system32\czsfmtch.exe 2008-10-04 21:33 . 2008-09-16 02:14 129,784 --------- C:\WINDOWS\system32\pxafs.dll 2008-10-04 21:33 . 2008-09-16 02:14 120,056 --------- C:\WINDOWS\system32\pxcpyi64.exe 2008-10-04 21:33 . 2008-09-16 02:14 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe 2008-10-04 21:32 . 2008-10-04 21:32 <DIR> d-------- C:\Programme\DivX 2008-09-25 23:06 . 2008-09-25 23:06 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared 2008-09-24 08:22 . 2008-09-24 08:22 <DIR> d-------- C:\Programme\Opera 2008-09-16 02:14 . 2008-09-16 02:14 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll 2008-09-16 02:14 . 2008-09-16 02:14 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe 2008-09-16 02:14 . 2008-09-16 02:14 10,152 --a------ C:\WINDOWS\system32\dsm_de.qm 2008-09-16 02:14 . 2008-09-16 02:14 4,816 --a------ C:\WINDOWS\system32\divxsm.tlb 2008-09-16 02:11 . 2008-09-16 02:11 823,296 --a------ C:\WINDOWS\system32\divx_xx0c.dll 2008-09-16 02:11 . 2008-09-16 02:11 823,296 --a------ C:\WINDOWS\system32\divx_xx07.dll 2008-09-16 02:11 . 2008-09-16 02:11 815,104 --a------ C:\WINDOWS\system32\divx_xx0a.dll 2008-09-16 02:11 . 2008-09-16 02:11 802,816 --a------ C:\WINDOWS\system32\divx_xx11.dll 2008-09-16 02:11 . 2008-09-16 02:11 683,520 --a------ C:\WINDOWS\system32\DivX.dll 2008-09-16 02:11 . 2008-09-16 02:11 634,880 --a------ C:\WINDOWS\system32\Divxdec.ax 2008-09-16 02:11 . 2008-09-16 02:11 352,401 --a------ C:\WINDOWS\system32\DivXMedia.ax 2008-09-16 02:11 . 2008-09-16 02:11 161,096 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe 2008-09-16 02:11 . 2008-09-16 02:11 12,288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll 2008-09-09 06:45 . 2008-09-09 06:45 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-06 19:27 2,155,008 ------w C:\WINDOWS\Internet Logs\xDB1.tmp 2008-09-16 00:12 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll 2008-09-16 00:12 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll 2008-09-16 00:12 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll 2008-09-16 00:12 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll 2008-09-16 00:12 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll 2008-09-16 00:12 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll 2008-09-16 00:12 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll 2008-09-16 00:12 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll 2008-09-16 00:12 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll 2008-09-16 00:12 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll 2008-08-15 08:50 17,011 ----a-w C:\Programme\BioEdit.ini 2008-08-11 08:25 59,080 ----a-w C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2008-08-05 16:14 2,869,264 ----a-w C:\Programme\dotNetFx35setup.exe 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll 2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll 2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll 2008-07-09 07:05 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll 2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\dllcache\es.dll 2008-04-20 14:35 2,404,880 ----a-w C:\Programme\WLinstaller.exe 2005-10-28 10:23 2,255,872 ----a-w C:\Programme\BioEdit.exe 2005-05-31 07:02 66,598 ----a-w C:\Programme\ReadMe.txt 2005-05-31 07:02 1,303 ----a-w C:\Programme\LICENSE.TXT 2004-04-29 18:01 959,370 ----a-w C:\Programme\treev32.zip 2003-06-04 14:32 1,120 ----a-w C:\Programme\TreeView.txt . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872] "MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] "dbgen"="C:\WINDOWS\system32\czsfmtch.exe" [2008-10-05 94208] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LaunchApp"="Alaunch" [X] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-04-29 766041] "ntiMUI"="C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2006-05-15 45056] "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952] "MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168] "eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2006-03-17 345088] "Acer ePresentation HPD"="C:\Acer\Empowering Technology\ePresentation\ePresentation.exe" [2006-06-07 208896] "igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2006-06-13 94208] "igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-06-13 77824] "igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2006-06-13 118784] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-08-04 98304] "ePower_DMC"="C:\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-07-12 438272] "Boot"="C:\Acer\Empowering Technology\ePower\Boot.exe" [2006-03-15 579584] "LManager"="C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE" [2006-07-14 471040] "eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 413696] "SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" [2006-12-15 75520] "Adobe Version Cue CS2"="D:\Programme\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe" [2005-04-06 856064] "Acrobat Assistant 7.0"="D:\Programme\Adobe Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328] "NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-09-25 185632] "PC-Antispy"="C:\Programme\PC-Antispy\PC-Antispy.exe" [2008-10-05 11206656] "ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 C:\WINDOWS\system32\bthprops.cpl] "AGRSMMSG"="AGRSMMSG.exe" [2005-12-13 C:\WINDOWS\AGRSMMSG.exe] "SkyTel"="SkyTel.EXE" [2006-07-19 C:\WINDOWS\SkyTel.exe] "RTHDCPL"="RTHDCPL.EXE" [2005-08-18 C:\WINDOWS\RTHDCPL.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run] "qyvC3RUA6U"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\uxcjkvkj\klmtihwf.exe" [2008-10-05 73728] C:\Dokumente und Einstellungen\Acer\Startmen\Programme\Autostart\ Wecker fr Windows 6.lnk - C:\Programme\Wecker6\Wecker.exe [2004-09-01 1568768] .security [2008-10-06 0] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader Speed Launch.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696] Acer Empowering Technology.lnk - C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe [2006-06-29 45056] Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360] NETGEAR WG111T Smart Wizard.lnk - C:\Programme\NETGEAR\WG111T\wlan111t.exe [2007-03-13 893024] Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664] Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2008-03-23 125624] Adobe Acrobat - Schnellstart.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2007-08-26 25214] .security [2008-10-06 0] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "DbMon"= {2E5A65BB-B055-C0DD-0118-09975F2EE086} - C:\Programme\uqbjlwd\DbMon.dll [2008-10-05 147456] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Real\\RealPlayer\\realplay.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "C:\\Programme\\SimVector 4.2\\SimVector 4.exe"= "C:\\Programme\\SimVector 3.0\\SimVector 3.exe"= "D:\\Programme\\Adobe Version Cue CS2\\bin\\VersionCueCS2.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= R1 pcantispy;pcantispy;C:\WINDOWS\system32\drivers\pcantispy.sys [2008-10-05 25600] R2 AccWLSvc;AccSys WiFi Server;C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe [2005-03-15 180224] R2 NMSAccessU;NMSAccessU;C:\Programme\CDBurnerXP\NMSAccessU.exe [2008-06-15 71096] R2 NwSapAgent;SAP-Agent;C:\WINDOWS\system32\svchost.exe [2004-08-04 14336] S3 accwldrv;AccSys WiFi Protokoll;C:\WINDOWS\system32\DRIVERS\accwldrv.sys [2005-02-15 12032] S3 AR5523;NETGEAR WG111T USB2.0 Wireless Card Service;C:\WINDOWS\system32\DRIVERS\wg11tnd5.sys [2005-09-05 362944] S3 ATHFMWDL;NETGEAR WG111T bootloader driver;C:\WINDOWS\system32\Drivers\ATHFMWDL.sys [ ] S3 DNINDIS5;DNINDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\DNINDIS5.SYS [2003-07-24 17149] S3 lv321av;Logitech USB PC Camera (VC0321);C:\WINDOWS\system32\DRIVERS\lv321av.sys [2006-06-20 1097728] *Newly Created Service* - AVGIO *Newly Created Service* - PROCEXP90 . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-UDC Integration - (no file) . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\Mozilla\Firefox\Profiles\3plh7trs.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.web.de FF -: plugin - c:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll FF -: plugin - C:\Programme\Google\Google Updater\2.2.1111.1511\npCIDetect11.dll FF -: plugin - C:\Programme\Java\jre1.5.0_11\bin\NPJava11.dll FF -: plugin - C:\Programme\Java\jre1.5.0_11\bin\NPJava12.dll FF -: plugin - C:\Programme\Java\jre1.5.0_11\bin\NPJava13.dll FF -: plugin - C:\Programme\Java\jre1.5.0_11\bin\NPJava14.dll FF -: plugin - C:\Programme\Java\jre1.5.0_11\bin\NPJava32.dll FF -: plugin - C:\Programme\Java\jre1.5.0_11\bin\NPJPI150_11.dll FF -: plugin - C:\Programme\Java\jre1.5.0_11\bin\NPOJI610.dll FF -: plugin - C:\Programme\Opera\program\plugins\npdivx32.dll FF -: plugin - C:\Programme\Picasa2\npPicasa2.dll FF -: plugin - C:\Programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll FF -: plugin - C:\Programme\Yahoo!\Common\npyaxmpb.dll FF -: plugin - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-06 22:02:30 Windows 5.1.2600 Service Pack 2 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-10-06 22:03:24 ComboFix-quarantined-files.txt 2008-10-06 20:03:20 Vor Suchlauf: 18 Verzeichnis(se), 11.499.683.840 Bytes frei Nach Suchlauf: 24 Verzeichnis(se), 12,463,652,864 Bytes frei 292 --- E O F --- 2008-09-10 20:02:32 mir sagt das jetzt so garnichts |
06.10.2008, 21:09 | #7 |
/// the machine /// TB-Ausbilder | Trojaner TR/Dropper.gen und PC Anti Spy Malwarebytes' Anti-Malware
(nach dem scannen auf den Button klicken und Funde löschen lassen!)
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
06.10.2008, 21:49 | #8 |
| Trojaner TR/Dropper.gen und PC Anti Spy Juhu... 37 infizierte Objekte entfernt Malwarebytes' Anti-Malware 1.27 Datenbank Version: 1127 Windows 5.1.2600 Service Pack 2 06.10.2008 22:36:13 mbam-log-2008-10-06 (22-36-13).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 109401 Laufzeit: 21 minute(s), 14 second(s) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 12 Infizierte Registrierungswerte: 6 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 6 Infizierte Dateien: 17 Infizierte Speicherprozesse: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\uxcjkvkj\klmtihwf.exe (Trojan.FakeAlert.H) -> Unloaded process successfully. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{2e5a65bb-b055-c0dd-0118-09975f2ee086} (Trojan.FakeAlert.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\TypeLib\{77d6ddfa-7834-4541-b2b3-a8b0fb0e3924} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcantispy (Rogue.PCAntispy) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\pcantispy (Rogue.PCAntispy) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcantispy (Rogue.PCAntispy) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\pc-antispy (Rogue.PCAntispy) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\PC-Antispy (Rogue.PCAntispy) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\PC-Antispy (Rogue.PCAntispy) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\dbmon (Trojan.FakeAlert.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\qyvc3rua6u (Trojan.FakeAlert.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\pc-antispy (Rogue.PCAntispy) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Programme\uqbjlwd (Trojan.FakeAlert.H) -> Delete on reboot. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\uxcjkvkj (Trojan.FakeAlert.H) -> Quarantined and deleted successfully. C:\Programme\PC-Antispy (Rogue.PCAntispy) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\PC-Antispy (Rogue.PCAntispy) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\PC-Antispy\logs (Rogue.PCAntispy) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\PC-Antispy\startup (Rogue.PCAntispy) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Programme\uqbjlwd\DbMon.dll (Trojan.FakeAlert.H) -> Delete on reboot. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\uxcjkvkj\klmtihwf.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully. C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully. C:\WINDOWS\system32\drivers\pcantispy.sys (Rogue.PCAntispy) -> Quarantined and deleted successfully. C:\Programme\PC-Antispy\pcantispy.pkg (Rogue.PCAntispy) -> Quarantined and deleted successfully. C:\Programme\PC-Antispy\PC-Antispy.exe (Rogue.PCAntispy) -> Quarantined and deleted successfully. C:\Programme\PC-Antispy\Uninstall.exe (Rogue.PCAntispy) -> Quarantined and deleted successfully. C:\Programme\PC-Antispy\ASpyPopUpBlk.dll (Rogue.PCAntispy) -> Quarantined and deleted successfully. C:\Programme\PC-Antispy\ASpyStBlk.dll (Rogue.PCAntispy) -> Quarantined and deleted successfully. C:\Programme\PC-Antispy\program.info (Rogue.PCAntispy) -> Quarantined and deleted successfully. C:\Programme\PC-Antispy\PC-Antispy.db (Rogue.PCAntispy) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\PC-Antispy\Sites.bl (Rogue.PCAntispy) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\PC-Antispy\config.xml (Rogue.PCAntispy) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Acer\Anwendungsdaten\PC-Antispy\logs\1223237702.log (Rogue.PCAntispy) -> Quarantined and deleted successfully. C:\WINDOWS\system32\drivers\etc\.security (Rogue.Multiple) -> Quarantined and deleted successfully. C:\.security (Rogue.Multiple) -> Quarantined and deleted successfully. C:\WINDOWS\.security (Rogue.Multiple) -> Quarantined and deleted successfully. PC AntiSpy öffnet sich auch nicht mehr... allerdings is das Programm immernoch unter "Programme" zu finden... nur dass das Logo weg ist und durch dieses kleine "Kästchen" wie teilweise bei .exe dateien glaub ich ersetzt worden.. kann ich das jetzt einfach aus der liste löschen? |
06.10.2008, 21:56 | #9 |
/// the machine /// TB-Ausbilder | Trojaner TR/Dropper.gen und PC Anti Spy Anleitung SmitfraudFix (by S!Ri) Klick auf das Symbol und lies die Anleitung -> und lass das System durchsuchen. (Option 2)
=== combofix nochmal laufen lassen.
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
Themen zu Trojaner TR/Dropper.gen und PC Anti Spy |
antivir, antivirus, avira, bho, cdburnerxp, defense, dringend, excel, firefox, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, konvertieren, launch, logfile, mehrere, mozilla, netgear, pdf-datei, realtek, rundll, server, software, spy ware, system, trojaner, urlsearchhook, vielen dank, windows, windows xp, wlan, zone alarm |