Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Rootkit und weitere Schädlinge

Rootkit und weitere Schädlinge


Log-Analyse und Auswertung: Rootkit und weitere Schädlinge

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 09.11.2008, 21:13   #1
popie
 
Rootkit und weitere Schädlinge - Standard

Rootkit und weitere Schädlinge


Hallo,

Seit vorgestern meldet Avast bei mir regelmäßig Schädlingsbefall. Ich kann leider nicht mehr alle Fehlermeldungen wiedergeben, da ich anfangs dachte ich bekomme es schon in den Griff wenn ich tu was Avast mir vorschlägt.
Als Betriebssystem nutze ich Windows XP.

Ich denke das Hauptproblem ist
C:\DOKUME~1\***\LOKALE~1\Temp\__14.tmp
Win32:Rootkit-gen
Rootkit
081108-0, 08.11.2008

Außerdem bekam ich heute noch Meldungen über
C:\DOKUME~1\***\LOKALE~1\Temp\__1C.tmp
Win32:Trojan-gen {Other}
Virus/Wurm
081108-0, 08.11.2008

und einen Win32:Lighty-D über den im Internet bisher erstaunlich wenig zu lesen ist.

Momentan läuft bei mir der Windows OneCare safety scanner durch und hat auch schon 10 Sicherheitsrisiken gefunden.

Zulest kann ich noch sagen, dass mein IE seit heute regelmäßig öffnet und immer wieder die selben Seiten läd. Der IE ist bei mir eigentlich nicht in Benutzung.

Hier mein Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:30:10, on 09.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Windows\lsass.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\gadcom\gadcom.exe
C:\Programme\Trillian\trillian.exe
D:\TV\TVUPlayer\TVUPlayer.exe
C:\Programme\GetPack\GetPack24.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\HijackThis2\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.club-vaio.sony-europe.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: HelloWorldBHO - {D88E1558-7C2D-407A-953A-C044F5607CEA} - C:\Programme\Mjcore\Mjcore.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [prunnet] "C:\WINDOWS\system32\prun.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [gadcom] "C:\Dokumente und Einstellungen\***\Anwendungsdaten\gadcom\gadcom.exe" 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C8833201749139
O4 - HKLM\..\Policies\Explorer\Run: [Lsass Service] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Windows\lsass.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - h**p://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6662.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: c00AB1BA - C:\WINDOWS\SYSTEM32\c00AB1BA.mat
O20 - Winlogon Notify: sys32 - sys32.dll (file missing)
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP4a\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP4a\RpcSandraSrv.exe

--
End of file - 7011 bytes


Ich habe auch schon versucht 2 Dateien zu unersuchen:

Datei lsass.exe empfangen 2008.11.09 18:34:52 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/36 (2.78%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.11.7.1 2008.11.09 -
AntiVir 7.9.0.26 2008.11.07 -
Authentium 5.1.0.4 2008.11.09 -
Avast 4.8.1248.0 2008.11.08 -
AVG 8.0.0.161 2008.11.09 -
BitDefender 7.2 2008.11.09 -
CAT-QuickHeal 9.50 2008.11.08 -
ClamAV 0.94.1 2008.11.09 -
DrWeb 4.44.0.09170 2008.11.09 -
eSafe 7.0.17.0 2008.11.09 -
eTrust-Vet 31.6.6199 2008.11.08 -
Ewido 4.0 2008.11.09 -
F-Prot 4.4.4.56 2008.11.08 -
F-Secure 8.0.14332.0 2008.11.09 -
Fortinet 3.117.0.0 2008.11.09 -
GData 19 2008.11.09 -
Ikarus T3.1.1.45.0 2008.11.09 -
K7AntiVirus 7.10.520 2008.11.08 -
Kaspersky 7.0.0.125 2008.11.09 -
McAfee 5428 2008.11.08 -
Microsoft 1.4104 2008.11.09 -
NOD32 3597 2008.11.08 -
Norman 5.80.02 2008.11.07 -
Panda 9.0.0.4 2008.11.09 -
PCTools 4.4.2.0 2008.11.09 -
Prevx1 V2 2008.11.09 -
Rising 21.02.62.00 2008.11.09 -
SecureWeb-Gateway 6.7.6 2008.11.09 -
Sophos 4.35.0 2008.11.09 -
Sunbelt 3.1.1785.2 2008.11.08 Trojan-PSW.Win32.OnLineGames.X (vf)
Symantec 10 2008.11.09 -
TheHacker 6.3.1.1.146 2008.11.08 -
TrendMicro 8.700.0.1004 2008.11.07 -
VBA32 3.12.8.9 2008.11.09 -
ViRobot 2008.11.7.1457 2008.11.07 -
VirusBuster 4.5.11.0 2008.11.09 -
weitere Informationen
File size: 13312 bytes
MD5...: afb8261b56cba0d86aeb6df682af9785
SHA1..: 60202d18865a2b6caeec51ce54d5392e43fdeb54
SHA256: 104d96f1f19dd4ce492064acc9634406a019eae20b42d03198e400e661897127
SHA512: 7e47e4cbd7ad660124bd5150fe44923b622acaa24f2f5eed28306c9f94c3a236
d4d54ac26ca1b174956d15541405ec09cab454a7c990d2577c3f5e3ecf8306f8
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10014bd
timedatestamp.....: 0x48025186 (Sun Apr 13 18:31:34 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x10d0 0x1200 6.01 171278a39939ba5a70f6d3246a60ead0
.data 0x3000 0x6c 0x200 0.20 86a789a893c60d5e207d053188cdc250
.rsrc 0x4000 0x1b30 0x1c00 7.15 54488850c25258396b2c9492c36b0bd5

( 5 imports )
> ADVAPI32.dll: FreeSid, CheckTokenMembership, AllocateAndInitializeSid, OpenThreadToken, ImpersonateSelf, RevertToSelf
> KERNEL32.dll: CloseHandle, GetCurrentThread, ExitThread, SetUnhandledExceptionFilter, SetErrorMode, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, RtlUnwind, InterlockedExchange, VirtualQuery
> ntdll.dll: NtSetInformationProcess, RtlInitUnicodeString, NtCreateEvent, NtOpenEvent, NtSetEvent, NtClose, NtRaiseHardError, RtlAdjustPrivilege, NtShutdownSystem, RtlUnhandledExceptionFilter
> LSASRV.dll: LsaISetupWasRun, LsapDsDebugInitialize, LsapAuOpenSam, LsapCheckBootMode, ServiceInit, LsapInitLsa, LsapDsInitializePromoteInterface, LsapDsInitializeDsStateInfo
> SAMSRV.dll: SamIInitialize, SampUsingDsData

( 0 exports )


und die gadcom.exe jkann ich unter dem angegebenen Pfad nicht finden.


Ich hoffe ihr könnt mir weiterhelfen, ich weiß nämlich nicht mehr was das richtige ist.

Alt 09.11.2008, 21:21   #2
Silent sharK
 
Rootkit und weitere Schädlinge - Standard

Rootkit und weitere Schädlinge


Hallo

Bitte führe keine voreiligen Löschungsaktionen durch und bewahre bis zur Lösung des Problems einen kühlen Kopf.
Analysiere bitte auch noch folgende Datei:


Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\WINDOWS\system32\prun.exe
C:\WINDOWS\SYSTEM32\c00AB1BA.mat
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Führe zu Analysen/Bereinigunszwecken auch noch diese Tools aus:

1.)
LADS für Alternate Data Streams:
  • Lade Dir lads.zip von hier.
  • Entpacke das Archiv nach C:\. Dort befinden sich jetzt lads.exe und Lads_ReadMe.txt.

Klicke nun auf Start => Ausführen => cmd eingeben und Enter drücken.
Es öffnet sich nun die Eingabeaufforderung. Dort tippst du die folgenden Befehle der Reihe nach ein:
  1. cd c:\
  2. lads /s >lads.txt
Sobald der Cursor wieder bei c:\> blinkt kannst Du Exit eingeben und drückst Enter.
Öffne nun die C:\lads.txt mit dem Editor und kopiere dessen Inhalt in Deine nächste Antwort.

Anmerkung:
  • Falls beim Ausführen von LADS die Nachricht "Der Befehl lads ist entweder falsch geschrieben oder konnte nicht gefunden werden" kommt, liegt die Datei nicht unter C:\. Kopiere sie in dem Fall dorthin.
  • Falls die Datei zu groß ist um sie im Forum zu posten, nutze einen Upload-Dienst, wie file-upload.net und poste den Downloadlink.

2.)
MalwareBytes Anti-Malware :

  • Lade dir Malwarebytes Anti-Malware
  • Folge den Anweisungen der Anleitung
  • Lösche alles in der Quarantäne:
  • poste das entstandene Logfile

3.)
ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

mfg
__________________

__________________
Alt 09.11.2008, 21:54   #3
popie
 
Rootkit und weitere Schädlinge - Standard

Rootkit und weitere Schädlinge


Also dann hier erstmal die Auswertungen der VirusTotal analysen:

Datei prun.exe empfangen 2008.11.09 21:31:27 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 13/36 (36.12%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 52 und 75 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.11.7.1 2008.11.09 -
AntiVir 7.9.0.26 2008.11.07 -
Authentium 5.1.0.4 2008.11.09 -
Avast 4.8.1248.0 2008.11.08 -
AVG 8.0.0.161 2008.11.09 Generic12.ILR
BitDefender 7.2 2008.11.09 Trojan.Clicker.VB.UV
CAT-QuickHeal 9.50 2008.11.08 (Suspicious) - DNAScan
ClamAV 0.94.1 2008.11.09 -
DrWeb 4.44.0.09170 2008.11.09 -
eSafe 7.0.17.0 2008.11.09 Suspicious File
eTrust-Vet 31.6.6200 2008.11.09 -
Ewido 4.0 2008.11.09 -
F-Prot 4.4.4.56 2008.11.09 -
F-Secure 8.0.14332.0 2008.11.09 Trojan.Win32.VB.gop
Fortinet 3.117.0.0 2008.11.09 -
GData 19 2008.11.09 Trojan.Clicker.VB.UV
Ikarus T3.1.1.45.0 2008.11.09 Trojan.Win32.VB
K7AntiVirus 7.10.520 2008.11.08 -
Kaspersky 7.0.0.125 2008.11.09 Trojan.Win32.VB.gop
McAfee 5428 2008.11.08 -
Microsoft 1.4104 2008.11.09 -
NOD32 3597 2008.11.08 probably unknown NewHeur_PE
Norman 5.80.02 2008.11.07 -
Panda 9.0.0.4 2008.11.09 Suspicious file
PCTools 4.4.2.0 2008.11.09 -
Prevx1 V2 2008.11.09 Worm
Rising 21.02.62.00 2008.11.09 -
SecureWeb-Gateway 6.7.6 2008.11.09 -
Sophos 4.35.0 2008.11.09 Troj/VB-EBN
Sunbelt 3.1.1785.2 2008.11.08 -
Symantec 10 2008.11.09 Trojan.Adclicker
TheHacker 6.3.1.1.146 2008.11.08 -
TrendMicro 8.700.0.1004 2008.11.07 -
VBA32 3.12.8.9 2008.11.09 -
ViRobot 2008.11.7.1457 2008.11.07 -
VirusBuster 4.5.11.0 2008.11.09 -
weitere Informationen
File size: 34816 bytes
MD5...: d7512e025c439d8454a742992229770c
SHA1..: 287f2c2c7ad44faf6e70567c8ff367df9bfebae4
SHA256: 86e2112f631c1093e532600be69638e0669d5f1d987c48169515fcf1a9dff7dc
SHA512: db67432cce5cda3a26bba07bf076a3c92938d62aae64d62c589edd564ac96e0a
c5dc46539178ab7fdaa1fd1f88221e824d76048276ca04328a0dc90364b06554
PEiD..: PECompact 2.xx --> BitSum Technologies
TrID..: File type identification
Win32 EXE PECompact compressed (v2.x) (52.1%)
Win32 EXE PECompact compressed (generic) (36.7%)
Win32 Executable Generic (7.5%)
Generic Win/DOS Executable (1.7%)
DOS Executable Generic (1.7%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401114
timedatestamp.....: 0x49141927 (Fri Nov 07 10:32:07 2008)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x11000 0x3800 7.99 de4212e17bca0c05af0faf88ae593bfd
.rsrc 0x12000 0x5000 0x4e00 4.82 64fdcc7a78d8aa4d457639acaff6c89a

( 1 imports )
> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=4280AD59006059D988D600BF893D0A0039A8C0BC
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=d7512e025c439d8454a742992229770c
packers (F-Prot): PecBundle, PECompact
packers (Kaspersky): PE_Patch.PECompact, PecBundle, PECompact


Datei c00AB1BA.mat empfangen 2008.11.09 21:42:42 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 11/33 (33.34%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit is zwischen 61 und 87 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.11.7.1 2008.11.09 Win-Trojan/Bhosearcher.20992
AntiVir 7.9.0.26 2008.11.07 -
Authentium 5.1.0.4 2008.11.09 -
Avast 4.8.1248.0 2008.11.08 -
AVG 8.0.0.161 2008.11.09 Downloader.Generic8.BWS
BitDefender 7.2 2008.11.09 Trojan.BhoSearcher.A
CAT-QuickHeal 9.50 2008.11.08 -
ClamAV 0.94.1 2008.11.09 -
DrWeb 4.44.0.09170 2008.11.09 Trojan.BhoSearcher.10
eSafe 7.0.17.0 2008.11.09 -
eTrust-Vet 31.6.6200 2008.11.09 -
Ewido 4.0 2008.11.09 -
F-Prot 4.4.4.56 2008.11.09 -
F-Secure 8.0.14332.0 2008.11.09 Trojan-GameThief.Win32.Magania.ajto
Fortinet 3.117.0.0 2008.11.09 W32/Vundo.IX!tr
GData 19 2008.11.09 Trojan.BhoSearcher.A
Ikarus T3.1.1.45.0 2008.11.09 -
K7AntiVirus 7.10.520 2008.11.08 -
Kaspersky 7.0.0.125 2008.11.09 Trojan-GameThief.Win32.Magania.ajto
McAfee 5428 2008.11.08 -
Microsoft 1.4104 2008.11.09 -
NOD32 3597 2008.11.08 Win32/TrojanDownloader.Agent.OLR
Norman 5.80.02 2008.11.07 -
Panda 9.0.0.4 2008.11.09 -
Rising 21.02.62.00 2008.11.09 -
SecureWeb-Gateway 6.7.6 2008.11.09 -
Sophos 4.35.0 2008.11.09 Troj/Agent-IEM
Sunbelt 3.1.1785.2 2008.11.08 Trojan.Qipsearch
Symantec 10 2008.11.09 -
TheHacker 6.3.1.1.146 2008.11.08 -
TrendMicro 8.700.0.1004 2008.11.07 -
ViRobot 2008.11.7.1457 2008.11.07 -
VirusBuster 4.5.11.0 2008.11.09 -
weitere Informationen
File size: 20992 bytes
MD5...: d7d3cc6d0efff7c5060299a4addad4da
SHA1..: 1c6851e5b0ad746210404a7559fd79ac9ca569da
SHA256: 062be4fcc9478686468a6cd6c443a0318b3dd8d048c3eecda83002a74d022a8d
SHA512: b8df3f7942e08f896e8f6ed9084639306dde17f43285b526bec59572ef8ce572
fb7657de1ad7a7b9f58d34f57604ee69ac16b4d0f1e509a5b48f9734dce7b237
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
Win32 Executable Generic (38.5%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100019a0
timedatestamp.....: 0x498d044c (Sat Feb 07 03:47:24 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9d5 0xa00 6.25 e35b8ac5cf698e7c37b53dd7dbb0c4f2
.rdata 0x2000 0x1ce 0x200 3.88 150e1acfbb2b0d161b2fe1ea13d459dc
.data 0x3000 0x3250 0x3400 7.75 803d44e146ecfda2f7fb165f11c75cc0
.reloc 0x7000 0x2000 0x200 2.29 991ef19e9f09adea9cbd4797e1172192

( 4 imports )
> KERNEL32.dll: LoadLibraryA, GetProcAddress, CloseHandle, VirtualFree, CreateFileA, VirtualProtect, VirtualAlloc, ExitProcess
> USER32.dll: DialogBoxParamA, LoadIconA
> GDI32.dll: AbortDoc
> ADVAPI32.dll: RegQueryValueA

( 0 exports )


Der gadcom Ordner ist immernoch leer, auch wenn ich versteckte Dateien anzeigen lassen.



So, jetzt noch das Ergebnis des 1. Scanns:
Schutz:
9 Schwer Sicherheitsrisiken gefunden
3 Hoch Sicherheitsrisiken gefunden
1 Mittel Sicherheitsrisiko gefunden

Leistung:
406 Registrierungs-Elemente gefunden
159,4MB an temporären Dateien gefunden
Dazu wird mir etwas von einer Defragmentierung empfohlen. Auf Laufwerk C 23%
Wüsste jetzt nicht, wozu ich das jetzt machen muss.

Bitte dazu gleich antworten, ich will sonst beim Virenscann nicht weitermachen Defragmentieren ja oder nein? Darf ich im Anschluss an diesen Scann auch löschen oder soll ich vorerst nur Berichte hier posten?

Vielen Dank schonmal für die ersten Tipps
__________________
Alt 09.11.2008, 21:56   #4
Silent sharK
 
Rootkit und weitere Schädlinge - Standard

Rootkit und weitere Schädlinge


Lösche bitte vorerst nichts und folge der Anleitung weiter.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.

Alt 09.11.2008, 21:58   #5
popie
 
Rootkit und weitere Schädlinge - Standard

Rootkit und weitere Schädlinge


ok und ich defragmentiere nichts? hab ja seit 4 Stunden OneCae laufen lassen, das werd ich jetzt nur sehr ungern abbrechen

/edit: hat sich erledigt *g*

Weitere Berichte folgen

Geändert von popie (09.11.2008 um 22:14 Uhr)

Alt 09.11.2008, 22:20   #6
popie
 
Rootkit und weitere Schädlinge - Standard

Rootkit und weitere Schädlinge


Lads Protokoll:


LADS - Freeware version 4.10
(C) Copyright 1998-2007 Frank Heyne Software (http://www.heysoft.de)
This program lists files with alternate data streams (ADS)
Use LADS on your own risk!

Scanning directory C:\ with subdirectories

size ADS in file
---------- ---------------------------------
0 C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Bilder\Beispielbilder\Thumbs.db:encryptable
Error 32 opening C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Error 32 opening C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
Error 32 opening C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
Error 32 opening C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
Error 32 opening C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Error 32 opening C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
Error 32 opening C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
Error 32 opening C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
Error 32 opening C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\1267nmet.default\parent.lock
Error 32 opening C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\1267nmet.default\places.sqlite-journal
0 C:\Dokumente und Einstellungen\xxx\Desktop\Thumbs.db:encryptable
26 C:\Dokumente und Einstellungen\xxx\Desktop\Yearbook\B1960YearbookPhoto.jpg:Zone.Identifier
26 C:\Dokumente und Einstellungen\xxx\Desktop\Yearbook\B1966YearbookPhoto.jpg:Zone.Identifier
26 C:\Dokumente und Einstellungen\xxx\Desktop\Yearbook\B1982YearbookPhoto.jpg:Zone.Identifier
26 C:\Dokumente und Einstellungen\xxx\Desktop\Yearbook\B1990YearbookPhoto.jpg:Zone.Identifier
26 C:\Dokumente und Einstellungen\xxx\Desktop\Yearbook\B1994YearbookPhoto.jpg:Zone.Identifier
26 C:\Dokumente und Einstellungen\xxx\Desktop\Yearbook\B1996YearbookPhoto.jpg:Zone.Identifier
24 C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Downloads\all-in-one_sidebar-0.7.6-fx.xpi:Zone.Identifier
0 C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Bilder\Adobe\Fotos von Digitalkamera\2007-07-10-1944-37\Thumbs.db:encryptable
0 C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Bilder\Thumbs.db:encryptable
0 C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Kalender-Excel\Thumbs.db:encryptable
0 C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Thumbs.db:encryptable
Error 32 opening C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Error 32 opening C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
Error 32 opening C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\etilqs_7l7EHEZctmFkRUfthakp
Error 32 opening C:\Dokumente und Einstellungen\xxx\NTUSER.DAT
Error 32 opening C:\Dokumente und Einstellungen\xxx\NTUSER.DAT.LOG
Error 32 opening C:\hiberfil.sys
Error 32 opening C:\pagefile.sys
0 C:\Programme\RSM08\LauncherData\Thumbs.db:encryptable
0 C:\Programme\RSM08\Specific\all\Autorun\Data\Thumbs.db:encryptable
0 C:\Programme\Sony\ISPselector\Thumbs.db:encryptable
0 C:\Programme\Sony\OnlineRegistration\Thumbs.db:encryptable
0 C:\Programme\UltraStar\Zusatzlieder\kA\(Ultrastar) Singstar for Pc + Songs,Videos CD Nr. 2 by (cRs) karaoke Live Vol 2-2006\Thumbs.db:encryptable
0 C:\Thumbs.db:encryptable
Error 32 opening C:\WINDOWS\system32\CatRoot2\edb.log
Error 32 opening C:\WINDOWS\system32\CatRoot2\tmp.edb
Error 32 opening C:\WINDOWS\system32\config\default
Error 32 opening C:\WINDOWS\system32\config\DEFAULT.LOG
Error 32 opening C:\WINDOWS\system32\config\SAM
Error 32 opening C:\WINDOWS\system32\config\SAM.LOG
Error 32 opening C:\WINDOWS\system32\config\SECURITY
Error 32 opening C:\WINDOWS\system32\config\SECURITY.LOG
Error 32 opening C:\WINDOWS\system32\config\software
Error 32 opening C:\WINDOWS\system32\config\SOFTWARE.LOG
Error 32 opening C:\WINDOWS\system32\config\system
Error 32 opening C:\WINDOWS\system32\config\SYSTEM.LOG
Error 32 opening C:\WINDOWS\system32\drivers\sptd.sys
Error 32 opening C:\WINDOWS\TEMP\Perflib_Perfdata_5d0.dat
Error 32 opening C:\WINDOWS\TEMP\_avast4_\Webshlock.txt
0 C:\WINDOWS\Thumbs.db:encryptable

The following summary might be incorrect because there was at least one error!

180 bytes in 20 ADS listed

Alt 12.11.2008, 00:23   #7
popie
 
Rootkit und weitere Schädlinge - Standard

Rootkit und weitere Schädlinge


Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1378
Windows 5.1.2600 Service Pack 3

12.11.2008 00:18:42
mbam-log-2008-11-12 (00-18-42).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 180936
Laufzeit: 2 hour(s), 26 minute(s), 14 second(s)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 14
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 5
Infizierte Dateien: 21

Infizierte Speicherprozesse:
C:\WINDOWS\system32\prun.exe (Trojan.Clicker) -> Unloaded process successfully.
C:\Dokumente und Einstellungen\Rosita\Anwendungsdaten\Microsoft\Windows\lsass.exe (Trojan.Agent) -> Unloaded process successfully.

Infizierte Speichermodule:
C:\WINDOWS\system32\c00AB1BA.mat (Trojan.BHO) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\c00ab1ba (Trojan.BHO) -> Delete on reboot.
HKEY_CLASSES_ROOT\bho_myjavacore.mjcore (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{e0f01490-dcf3-4357-95aa-169a8c2b2190} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{17e44256-51e0-4d46-a0c8-44e80ab4ba5b} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{d88e1558-7c2d-407a-953a-c044f5607cea} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d88e1558-7c2d-407a-953a-c044f5607cea} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d88e1558-7c2d-407a-953a-c044f5607cea} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\bho_myjavacore.mjcore.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{80ef304a-b1c4-425c-8535-95ab6f1eefb8} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\icheck (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\BHO_MyJavaCore.DLL (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\GetPack (Adware.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sys32 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\prunnet (Trojan.Clicker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\prunnet (Trojan.Clicker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Lsass Service (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\GetPack (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\iCheck (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\Mjcore (Trojan.BHO) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Rosita\Anwendungsdaten\gadcom (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Rosita\Anwendungsdaten\NI.GSCNS (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\c00AB1BA.mat (Trojan.BHO) -> Delete on reboot.
C:\WINDOWS\system32\prun.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\Programme\Mjcore\Mjcore.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Rosita\Anwendungsdaten\Microsoft\Windows\sys32.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Rosita\Anwendungsdaten\NI.GSCNS\IUpd721.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Rosita\Lokale Einstellungen\Temp\prun.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Rosita\Lokale Einstellungen\Temp\winvsnet.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Rosita\Lokale Einstellungen\Temp\xpre.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Rosita\Lokale Einstellungen\Temp\__17.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D387DB09-8EB4-497E-B526-9C73D4B2615D}\RP431\A0062659.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D387DB09-8EB4-497E-B526-9C73D4B2615D}\RP431\A0062679.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D387DB09-8EB4-497E-B526-9C73D4B2615D}\RP432\A0062822.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\c003D75E.mat (Trojan.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\c00AB601.mat (Trojan.BHO) -> Quarantined and deleted successfully.
C:\Programme\GetPack\dictame.gz (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\GetPack\GetPack24.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\GetPack\trgtame.gz (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\iCheck\Uninstall.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Rosita\Anwendungsdaten\NI.GSCNS\dl.ini (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Rosita\Anwendungsdaten\NI.GSCNS\settings.ini (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Rosita\Anwendungsdaten\Microsoft\Windows\lsass.exe (Trojan.Agent) -> Quarantined and deleted successfully.



Hab euch mal noch fett markiert welche Datei nicht entfernt werden konnte!

Alt 12.11.2008, 10:00   #8
Silent sharK
 
Rootkit und weitere Schädlinge - Standard

Rootkit und weitere Schädlinge


Da steht:

Delete on reboot

was soviel bedeutet wie: Löschen nach Neustart.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.

Alt 12.11.2008, 18:55   #9
popie
 
Rootkit und weitere Schädlinge - Standard

Rootkit und weitere Schädlinge


danke, konnte ich übersetzen stand trotzdem da, dass er nicht entfernt werden konnte und nach dem restart kam nichts, worauf ich schließen könnte, dass es entfernt wurde... aber ihr wisst das ja eh besser..

Alt 12.11.2008, 18:56   #10
Silent sharK
 
Rootkit und weitere Schädlinge - Standard

Rootkit und weitere Schädlinge


Spätestens bei Combofix ist es weg, das kann ich dir versichern.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.

Alt 15.11.2008, 15:45   #11
popie
 
Rootkit und weitere Schädlinge - Standard

Rootkit und weitere Schädlinge


so, Combofix ist jetzt auch durch, ich warte auf euer Fazit


ComboFix 08-11-13.01 - *** 2008-11-15 15:29:13.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.679 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\temp\1cb
c:\temp\1cb\syscheck.log
C:\test.txt
c:\windows\system32\MSINET.oca

----- BITS: Eventuell infizierte Webseiten -----

hxxp://niheradomen.com
.
((((((((((((((((((((((( Dateien erstellt von 2008-10-15 bis 2008-11-15 ))))))))))))))))))))))))))))))
.

2008-11-15 15:14 . 2008-11-15 15:14 <DIR> d-------- c:\programme\CCleaner
2008-11-09 22:22 . 2008-11-09 22:22 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2008-11-09 22:22 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-09 22:22 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-09 22:21 . 2008-11-09 22:22 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-11-09 22:21 . 2008-11-09 22:21 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-09 22:06 . 2007-01-04 04:10 61,952 --a------ C:\lads.exe
2008-11-09 18:29 . 2008-11-09 18:29 <DIR> d-------- C:\HijackThis2
2008-11-09 18:13 . 2008-11-09 18:18 <DIR> d-------- c:\programme\Windows Live Safety Center
2008-11-09 17:30 . 2008-11-09 17:31 <DIR> d-------- C:\HijackThis
2008-11-07 20:35 . 2008-11-07 20:35 7,680 --a------ C:\sydp.exe
2008-11-07 20:34 . 2008-11-07 20:34 <DIR> d-------- c:\windows\system32\shn
2008-11-07 20:34 . 2008-11-09 21:38 <DIR> d-------- c:\windows\system32\ck3
2008-11-07 20:33 . 2008-11-07 20:34 <DIR> d-------- c:\windows\system32\nit
2008-11-07 20:33 . 2008-11-07 20:33 <DIR> d-------- c:\windows\system32\BMX
2008-11-07 20:33 . 2008-11-07 20:33 368,427 --a------ c:\temp\ssFR92i.exe
2008-11-07 20:32 . 2008-11-09 22:04 <DIR> d-------- c:\windows\system32\sX3i19
2008-11-07 20:32 . 2008-11-07 20:32 <DIR> d-------- c:\temp\PRE45
2008-11-07 20:32 . 2008-11-15 15:29 <DIR> d-------- C:\Temp
2008-10-24 20:56 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-12 07:21 --------- d-----w c:\programme\Trillian
2008-11-09 20:04 --------- d-----w c:\programme\Mozilla Thunderbird
2008-11-08 12:35 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-10-31 15:54 --------- d-----w c:\programme\PokerStars.NET
2008-10-04 13:31 --------- d-----w c:\programme\PPMate
2008-10-04 13:31 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\ppStream
2008-10-04 13:29 --------- d-----w c:\programme\Gemeinsame Dateien\Synacast
2008-10-04 13:29 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\PPMate
2008-09-29 22:58 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\Skype
2008-09-15 15:24 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-07 15:19 23,176 ----a-w c:\dokumente und einstellungen\***\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-08-26 07:57 826,368 ----a-w c:\windows\system32\wininet.dll
2007-11-29 23:45 267,306 ----a-w c:\dokumente und einstellungen\***\fib_neu.exe
2004-12-01 16:34 716 ---ha-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\pb7msys.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-04-26 102400]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.MJPG"= sonymjpg.dll
"VIDC.dvsd"= c:\progra~1\GEMEIN~1\SONYSH~1\DVLib\sonydv.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Image Zone Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Image Zone Schnellstart.lnk
backup=c:\windows\pss\HP Image Zone Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VAIO Action Setup (Server).lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VAIO Action Setup (Server).lnk
backup=c:\windows\pss\VAIO Action Setup (Server).lnkCommon Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-10-15 01:04 39792 c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
--a----t- 2008-09-03 11:53 133104 c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]
--a------ 2004-05-12 14:18 241664 c:\programme\HP\hpcoretech\hpcmpmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2004-02-12 12:38 49152 c:\programme\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-06-02 10:13 267048 c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-05-27 09:50 413696 c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StorageGuard]
--a------ 2002-06-18 00:01 155648 c:\programme\VERITAS Software\Update Manager\sgtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-06-10 03:27 144784 c:\programme\Java\jre1.6.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LTSMMSG]
--a------ 2002-07-20 09:22 32768 c:\windows\LTSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPod Service"=3 (0x3)
"BITS"=3 (0x3)
"Apple Mobile Device"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\mIRC\\mirc.exe"=
"c:\\Programme\\Teamspeak2_RC2\\server_windows.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XI.SP4a\\Win32\\RpcDataSrv.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XI.SP4a\\RpcSandraSrv.exe"=
"c:\\Programme\\Cyanide\\GameCenter\\GameCenter.exe"=
"d:\\TV\\TVUPlayer\\TVUPlayer.exe"=
"c:\\Programme\\BitTorrent_DNA\\dna.exe"=
"e:\\Programme\\BitTorrent\\bittorrent.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\DNA\\btdna.exe"=
"c:\\Games\\Fussball Challenge 2008 (SPORT1)\\Game.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Cyanide\\Tour de France - Saison 2008\\PCM.exe"=
"c:\\Programme\\Cyanide\\Tour de France - Saison 2008\\Autorun\\Exe\\Autorun.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\PPMate\\ppmate.exe"=
"c:\\Programme\\PPMate\\ppmnet.exe"=

R1 appdrv01;Application Driver (01);c:\windows\system32\Drivers\appdrv01.sys [2008-07-19 2915944]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R3 LucentSoftModem;Lucent Technologies Soft Modem;c:\windows\system32\DRIVERS\LTSM.sys [2002-07-20 815819]
S2 appdrvrem01;Application Driver Auto Removal Service (01);c:\windows\System32\appdrvrem01.exe svc [ ]
S3 tapavpn;Steganos Anonym VPN Adapter;c:\windows\system32\DRIVERS\tapavpn.sys [2007-10-19 24320]
S3 zlportio;zlportio;c:\programme\UltraStar\zlportio.sys [ ]

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-11-11 c:\windows\Tasks\GoogleUpdateTaskUser.job
- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-09-03 11:53]

2008-11-11 c:\windows\Tasks\HPpromotions psc 2350 series.job
- c:\programme\HP\Digital Imaging\bin\HP Promotions\AiOMVC\HPpromo.exe [2005-01-28 12:26]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-GetPack24 - c:\programme\GetPack\GetPack24.exe
MSConfigStartUp-prunnet - c:\windows\system32\prun.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1267nmet.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF -: plugin - c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.131.25\npGoogleOneClick6.dll
FF -: plugin - c:\programme\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - c:\programme\DNA\plugins\npbtdna.dll
FF -: plugin - c:\programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - c:\programme\Microsoft Silverlight\2.0.30523.8\npctrl.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\npbittorrent.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-15 15:31:13
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


**************************************************************************
.
Zeit der Fertigstellung: 2008-11-15 15:34:33
ComboFix-quarantined-files.txt 2008-11-15 14:33:30

Vor Suchlauf: 9.500.864.512 Bytes frei
Nach Suchlauf: 9,552,158,720 Bytes frei

175 --- E O F --- 2008-10-24 20:08:11




Also soweit ich das beurteilen kann sieht das ja soweit ganz gut aus. Meint ihr ich bin das Problem damit los?
Wenn ja noch ein paar Fragen:
ComboFix entfernt doch autostart Dateien der Laufwerke, kann ich die wieder reaktivieren?
Welchen Virenscanner würdet ihr mir empfehlen, nachdem Avast leicht versagt hat?

Viele Dank für eure tolle Hilfe!!!

Alt 17.11.2008, 10:41   #12
popie
 
Rootkit und weitere Schädlinge - Standard

Rootkit und weitere Schädlinge


Abschließendes HijackThis Protokoll. Sieht es jetzt sauber aus?



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:24:55, on 17.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HijackThis2\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.club-vaio.sony-europe.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - h**p://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6662.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP4a\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP4a\RpcSandraSrv.exe

--
End of file - 5522 bytes

Antwort

Themen zu Rootkit und weitere Schädlinge
antivirus, application, avast!, bho, bonjour, defender, einstellungen, email, excel, firefox, frage, gen 2, google, hijack, hijackthis, hkus\s-1-5-18, homepage, immer wieder, internet, internet explorer, logfile, mozilla, nicht gefunden, ntdll.dll, problem, rootkit, rundll, scan, schädling, sekunden, software, win32:rootkit-gen, win32:trojan-gen, windows, windows xp sp3, xp sp3


« micro antivirus - log files - ist jetzt alles weg? | Hijack This file, cmd Probleme »


Ähnliche Themen: Rootkit und weitere Schädlinge


  1. PornBHO.ru und weitere Schädlinge auf externer Festplatte-wie entfernen!
    Plagegeister aller Art und deren Bekämpfung - 21.07.2014 (23)
  2. WinXP + Norton Internet Security (full): RegClean Pro und weitere Schädlinge
    Log-Analyse und Auswertung - 22.11.2013 (6)
  3. Rootkit, Bootkit, Rootkit.win32.tdss.ld4 - ich weiss nicht weiter..
    Log-Analyse und Auswertung - 18.03.2013 (1)
  4. Rootkit Infektion, danach Windows-Neuinstallation, GMER zeigt erneut Rootkit Aktivitäten an (Avast! false positive?)
    Log-Analyse und Auswertung - 05.03.2013 (2)
  5. ZeroAccess Rootkit auf Win XP PC - weitere Rechner befallen? Komplette Neuinstallation geplant..
    Plagegeister aller Art und deren Bekämpfung - 27.10.2012 (8)
  6. Zuerst GVU Trojaner, jetzt 9 weitere Schädlinge... H.E.L.P.
    Log-Analyse und Auswertung - 31.07.2012 (13)
  7. Rootkit.0Access und vier weitere Trojaner in C:\WINDOWS\Installer\...
    Log-Analyse und Auswertung - 04.07.2012 (19)
  8. Rootkit.gen gefunden/Rootkit-Befall - Bin ich im dran? Brauche dringend Beratung !!!
    Plagegeister aller Art und deren Bekämpfung - 25.05.2012 (3)
  9. Starforce? Rootkit Rootkit.TDSS! Bluescreens und Mbr laufend beschädigt!
    Plagegeister aller Art und deren Bekämpfung - 02.03.2011 (9)
  10. Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden
    Plagegeister aller Art und deren Bekämpfung - 18.01.2011 (13)
  11. "Trojan.Vundo-Variant/F" in Datei "C:\Windows\Syswow64\avsredirect.dll" + vorher weitere Schädlinge
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (15)
  12. Absturz durch Rootkit beim GMER Rootkit Scan
    Plagegeister aller Art und deren Bekämpfung - 16.12.2010 (4)
  13. TR/Rootkit.Gen3 zund weitere Funde
    Log-Analyse und Auswertung - 15.10.2010 (15)
  14. Tr/rootkit.gen windows/system32/Drivers.lnuuf.sys (rootkit Agent)
    Plagegeister aller Art und deren Bekämpfung - 29.05.2010 (1)
  15. ICQ Virus und weitere Schädlinge auf dem PC ----> Malewarebyte und RSIT
    Plagegeister aller Art und deren Bekämpfung - 30.04.2010 (3)
  16. Antimalware Doctor + (evtl weitere Schädlinge?) Reste entfernen
    Log-Analyse und Auswertung - 10.04.2010 (11)
  17. Rootkit entfernt weitere Probleme
    Plagegeister aller Art und deren Bekämpfung - 16.11.2009 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Rootkit und weitere Schädlinge - Hallo, Seit vorgestern meldet Avast bei mir regelmäßig Schädlingsbefall. Ich kann leider nicht mehr alle Fehlermeldungen wiedergeben, da ich anfangs dachte ich bekomme es schon in den Griff wenn ich - Rootkit und weitere Schädlinge...
Archiv
Du betrachtest: Rootkit und weitere Schädlinge auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130