Zwei Trojaner gefunden

formatb · 07.12.2008, 21:49

Hallo ich habe zwei Trojaner (laut AV nicht besonders stark) auf meinem PC gefunden.

1. TR/ATRAPS.GEN (c:\windows\system32\)
2. TR/Crypt.XPACK.Gen

Ich habe bis jetzt CCleaner laufen lassen wie auf http://virus-protect.org/ccleaner.html beschrieben.

Anschliessend noch Combofix und HijackThis mit nachfolgenden Logfiles!

Danke für die Hilfe!

----------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:36:59, on 07.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\imapi.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Launch LgDevAgt] "C:\Programme\Logitech\GamePanel Software\LgDevAgt.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://E:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://E:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://E:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://E:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://E:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://E:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://E:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://E:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - /wuweb_site.cab?1187798016046
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - /muweb_site.cab?1187804758671
O17 - HKLM\System\CS5\Services\Tcpip\..\{0993F3A6-6960-4DB7-97FE-38B7402C7F6F}: NameServer = 85.255.112.212;85.255.112.238
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

formatb · 07.12.2008, 21:50

ComboFix 08-12-06.06 - mike 2008-12-07 21:28:35.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.2561 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\mike\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
ADS - WINDOWS: deleted 24 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\install.exe
c:\windows\Readme.txt
E:\Autorun.inf
E:\resycled
F:\Autorun.inf
F:\resycled

.
((((((((((((((((((((((( Dateien erstellt von 2008-11-07 bis 2008-12-07 ))))))))))))))))))))))))))))))
.

2008-12-07 20:30 . 2008-12-07 20:30 <DIR> d-------- c:\programme\CCleaner
2008-12-07 20:22 . 2008-12-07 20:22 <DIR> d-------- c:\programme\Trend Micro
2008-12-04 22:33 . 2008-12-04 22:33 682,280 --a------ c:\windows\system32\pbsvc.exe
2008-12-03 19:21 . 2008-12-03 19:21 <DIR> d-------- c:\windows\system32\AGEIA
2008-12-03 19:21 . 2008-12-03 19:21 <DIR> d-------- c:\windows\nview
2008-12-03 19:21 . 2008-12-03 19:21 <DIR> d-------- c:\programme\AGEIA Technologies
2008-12-03 19:21 . 2008-10-07 13:33 453,152 --a------ c:\windows\system32\nvudisp.exe
2008-12-03 19:21 . 2008-12-07 10:35 200,819 --a------ c:\windows\system32\nvapps.xml
2008-12-03 19:21 . 2008-10-07 13:33 18,477 --a------ c:\windows\system32\nvdisp.nvu
2008-12-03 19:02 . 2008-12-03 19:02 552 --a------ c:\windows\system32\d3d8caps.dat
2008-12-03 19:01 . 2008-12-03 19:02 <DIR> d-------- c:\programme\SystemRequirementsLab
2008-12-03 19:01 . 2008-12-03 19:01 <DIR> d-------- c:\dokumente und einstellungen\mike\SystemRequirementsLab
2008-12-03 18:47 . 2008-11-12 13:45 453,152 --a------ c:\windows\system32\NVUNINST.EXE
2008-12-02 19:09 . 2008-12-02 19:09 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-11-30 18:42 . 2008-11-30 18:45 <DIR> d-------- C:\vcs5core
2008-11-30 18:42 . 2008-11-30 21:18 <DIR> d-------- C:\vcs5BGEffects
2008-11-30 18:42 . 2008-11-30 18:42 <DIR> d-------- C:\AV_LOGS
2008-11-30 18:41 . 2008-11-30 21:18 <DIR> d-------- c:\programme\AV Vcs 6.0 GOLD
2008-11-27 20:03 . 2008-11-27 20:03 <DIR> d-------- C:\rivatuner
2008-11-27 20:03 . 2008-11-27 20:04 <DIR> d-------- c:\programme\RivaTuner v2.20
2008-11-25 20:24 . 2008-11-25 20:24 <DIR> d-------- c:\programme\iTunes
2008-11-25 20:24 . 2008-11-25 20:24 <DIR> d-------- c:\programme\iPod
2008-11-25 20:24 . 2008-11-25 20:24 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-11-25 20:21 . 2008-11-25 20:21 <DIR> d-------- c:\programme\QuickTime
2008-11-20 21:44 . 2008-11-20 21:44 42,320 --a------ c:\windows\system32\xfcodec.dll
2008-11-19 17:54 . 2008-08-05 20:10 1,684,736 --a------ c:\windows\system32\drivers\Ambfilt.sys
2008-11-19 17:54 . 2006-01-04 15:41 1,389,056 --a------ c:\windows\system32\drivers\Monfilt.sys
2008-11-19 17:54 . 2008-11-10 15:35 34,816 --a------ c:\windows\system32\RtkCoInstXP.dll
2008-11-16 22:48 . 2008-12-05 22:58 <DIR> d-------- C:\filme
2008-11-12 20:37 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-12 20:36 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2008-11-09 13:07 . 2008-11-09 13:07 <DIR> d-------- c:\programme\DVD Shrink
2008-11-08 20:50 . 2008-12-05 19:07 <DIR> d-------- c:\programme\PB

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-07 20:31 11,728,928 --sha-w c:\windows\system32\drivers\fidbox.dat
2008-12-07 19:59 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-12-06 22:33 134,756 --sha-w c:\windows\system32\drivers\fidbox.idx
2008-12-06 14:29 --------- d-----w c:\dokumente und einstellungen\mike\Anwendungsdaten\Xfire
2008-12-06 09:23 202,000 ----a-w c:\windows\system32\PnkBstrB.exe
2008-12-06 09:23 139,280 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2008-12-06 09:20 --------- d-----w c:\programme\Xfire
2008-12-06 08:03 --------- d-----w c:\dokumente und einstellungen\mike\Anwendungsdaten\FileZilla
2008-12-05 16:49 --------- d-----w c:\dokumente und einstellungen\mike\Anwendungsdaten\teamspeak2
2008-12-05 15:12 2,959,360 ----a-w c:\windows\Internet Logs\xDB19.tmp
2008-12-05 15:10 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-04 22:10 2,954,240 ----a-w c:\windows\Internet Logs\xDB18.tmp
2008-12-04 21:37 2,959,360 ----a-w c:\windows\Internet Logs\xDB17.tmp
2008-12-04 21:33 66,872 ----a-w c:\windows\system32\PnkBstrA.exe
2008-12-04 21:33 22,328 ----a-w c:\dokumente und einstellungen\mike\Anwendungsdaten\PnkBstrK.sys
2008-12-03 18:21 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-12-02 18:06 4,074 ----a-w c:\windows\system32\ealregsnapshot1.reg
2008-12-01 20:40 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-12-01 20:32 --------- d-----w c:\dokumente und einstellungen\mike\Anwendungsdaten\dvdcss
2008-12-01 06:03 --------- d-----w c:\dokumente und einstellungen\mike\Anwendungsdaten\OpenOffice.org2
2008-11-25 23:15 --------- d-----w c:\dokumente und einstellungen\mike\Anwendungsdaten\Skype
2008-11-25 23:02 --------- d-----w c:\dokumente und einstellungen\mike\Anwendungsdaten\skypePM
2008-11-25 19:24 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2008-11-22 18:21 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-11-20 20:04 --------- d-----w c:\dokumente und einstellungen\mike\Anwendungsdaten\CSS-WarFinder
2008-11-12 20:56 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-11-12 16:35 --------- d-----w c:\programme\Soulseek
2008-11-11 16:21 4,946,944 ----a-w c:\windows\system32\drivers\RtkHDAud.sys
2008-11-10 19:21 --------- d-----w c:\programme\FileZilla FTP Client
2008-11-10 17:42 --------- d-----w c:\programme\ICQ6
2008-11-07 15:40 17,421,824 ----a-w c:\windows\RTHDCPL.EXE
2008-11-03 19:29 485,376 ----a-w c:\windows\Internet Logs\xDB16.tmp
2008-10-26 16:13 --------- d-----w c:\programme\Native Instruments
2008-10-25 19:37 --------- d-----w c:\programme\SlySoft
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-18 10:34 2,701,312 ----a-w c:\windows\Internet Logs\xDB15.tmp
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-11 08:04 --------- d-----w c:\dokumente und einstellungen\mike\Anwendungsdaten\Locktime
2008-10-09 16:54 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Locktime
2008-10-04 16:15 45,056 ----a-w c:\windows\Internet Logs\xDB13.tmp
2008-10-04 16:15 2,639,360 ----a-w c:\windows\Internet Logs\xDB14.tmp
2008-10-04 14:03 28,160 ----a-w c:\windows\Internet Logs\xDB11.tmp
2008-10-04 14:03 2,629,120 ----a-w c:\windows\Internet Logs\xDB12.tmp
2008-10-04 13:37 320,000 ----a-w c:\windows\Internet Logs\xDB10.tmp
2008-09-30 18:21 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-30 15:38 2,168,320 ----a-w c:\windows\MicCal.exe
2008-09-28 11:42 4,756,991 ----a-w c:\windows\Internet Logs\tvDebug.zip
2008-09-20 15:32 682,496 ----a-w c:\windows\Internet Logs\xDBF.tmp
2008-09-19 16:48 1,200,128 ----a-w c:\windows\RtlUpd.exe
2008-09-15 15:24 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-10 01:13 1,307,648 ------w c:\windows\system32\msxml6.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
"STYLEXP"="c:\programme\TGTSoft\StyleXP\StyleXP.exe" [2006-05-24 1372160]
"MsnMsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Launch LgDevAgt"="c:\programme\Logitech\GamePanel Software\LgDevAgt.exe" [2007-12-13 346648]
"Launch LGDCore"="c:\programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2007-12-13 2095640]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-11-04 413696]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 c:\windows\KHALMNPR.Exe]
"RTHDCPL"="RTHDCPL.EXE" [2008-11-07 c:\windows\RTHDCPL.EXE]
"nwiz"="nwiz.exe" [2008-10-07 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2007-08-26 25214]
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2008-08-06 805392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 01:42 72208 c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"updateMgr"=e:\adobe\Adobe Acrobat 7.0\Acrobat\AdobeUpdateManager.exe AcPro7_0_0
"Steam"="f:\steam\steam.exe" -silent
"BitTorrent DNA"="c:\programme\DNA\btdna.exe"
"EA Core"=c:\programme\Electronic Arts\EADM\Core.exe -silent
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe"
"Skype"="c:\programme\Skype\Phone\Skype.exe" /nosplash /minimized
"AnyDVD"=c:\programme\SlySoft\AnyDVD\AnyDVDtray.exe
"ICQ"="c:\progra~1\ICQ6\ICQ.exe" silent
"ICQ Library"=c:\programme\ICQ6\ICQ.exe
"Xfire"=c:\programme\Xfire\xfire.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"Adobe Version Cue CS2"="e:\adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
"Acrobat Assistant 7.0"="e:\adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
"LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
"LogitechQuickCamRibbon"="c:\programme\Logitech\QuickCam\Quickcam.exe" /hide
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe"
"Start WingMan Profiler"=c:\programme\Logitech\Gaming Software\LWEMon.exe /noui
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"nwiz"=nwiz.exe /install
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"HPHUPD08"=c:\programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
"HP Software Update"=c:\programme\HP\HP Software Update\HPWuSchd2.exe
"SearchSettings"=c:\programme\Search Settings\SearchSettings.exe
"NBKeyScan"="c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
"NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
"AppleSyncNotifier"=c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
"VirtualCloneDrive"="c:\programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\Win32\\RpcDataSrv.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\RpcSandraSrv.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"e:\\Games\\AOE3\\age3x.exe"=
"e:\\Games\\AOE3\\age3y.exe"=
"c:\\Programme\\DNA\\btdna.exe"=
"e:\\Games\\COD4\\iw3mp.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"e:\\Games\\BF2142\\BF2142.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"f:\\S.T.A.L.K.E.R\\bin\\XR_3DA.exe"=
"f:\\S.T.A.L.K.E.R\\bin\\dedicated\\XR_3DA.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"e:\\Games\\COD5\\CoDWaW.exe"=
"e:\\Games\\COD5\\CoDWaWmp.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - PROCEXP90

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{0FF3767A-1915-1BAE-0306-080507030200}]
c:\windows\System32\svchostreg.exe
.
Inhalt des "geplante Tasks" Ordners

2008-12-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-AtiExtEvent - (no file)

.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.www.daemon-search.com/default
uInternet Settings,ProxyOverride = *.local
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - e:\adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - e:\adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - e:\adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - e:\adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - e:\adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - e:\adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Verknüpfungsziel in Adobe PDF konvertieren - e:\adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - e:\adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd
FireFox -: Profile - c:\dokumente und einstellungen\mike\Anwendungsdaten\Mozilla\Firefox\Profiles\nyfin8xo.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/firefox
FF -: plugin - c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF -: plugin - c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF -: plugin - c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF -: plugin - c:\programme\DNA\plugins\npbtdna.dll
FF -: plugin - c:\programme\iTunes\Mozilla Plugins\npitunes.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-07 21:31:32
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(888)
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll
.
Zeit der Fertigstellung: 2008-12-07 21:32:43
ComboFix-quarantined-files.txt 2008-12-07 20:32:40

Vor Suchlauf: 22 Verzeichnis(se), 20.625.448.960 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 20,647,936,000 Bytes frei

270 --- E O F --- 2008-11-12 20:56:46

undoreal · 08.12.2008, 12:25

Hallöle.

Du surfst mit Umleitung über die Ukraine zu uns und wirst dabei ausspioniert. Trenne den Rechner also physikalisch vom Internet. D.h. => LAN-Stecker ziehen!
Ändere danach von einem def. sauberen PC aus alle deine Passwörter und Zugangsaccounts!

Es wäre am besten wenn du den Rechner platt machen würdest! Nur so stellst du wieder ein vertrauenswürdiges System her!

Und lass' in Zukunft die Finger von illegalen/nicht-vertrauenswürdigen Dateien aus dem Internet! Grade P2P-Filesharing Börsen wie (Torrent, eMule, Kazaa ...) sind extrem verseucht!

Wenn du trotz des Risikos eine Bereinigung versuchen möchtest geht's so weiter:

DNS-Einträge entfernen:

Achtung:
Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen
Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste
auf Default Connection (Normale Verindung), das ist normalerweise die
örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken
Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >
wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch
aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu
starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder
vorhanden)

-Lade dir Fixwareout.exe herunter und speichere es auf dem Desktop.
-installiere das Tool und achte darauf das "Run fixit" aktiviert ist.
-klicke nun auf "Finish", der Scan wird starten und bald wirst du aufgefordert
einen Neustart durchzuführen, tu dieses. (der Neustart wird sich dann etwas verzögern, das ist normal!)
-achte nun auf die Hinweise die gegeben werden
-poste bitten den Bericht: C:\fixwareout\report.txt

{mfg an [Gc]Sunny}

Fixe nun mit HijackThis folgende Einträge:

Zitat:

R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O17 - HKLM\System\CS5\Services\Tcpip\..\{0993F3A6-6960-4DB7-97FE-38B7402C7F6F}: NameServer = 85.255.112.212;85.255.112.238

Überprüfe den Rechner danach mit SUPERAntiSpyware und Anti-Malware und poste die logs.

Dateien Online überprüfen lassen:

* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

c:\windows\system32\xfcodec.dll
c:\windows\system32\drivers\Ambfilt.sys
c:\windows\system32\drivers\Monfilt.sys
c:\windows\system32\RtkCoInstXP.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

Folders to delete:
c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA6 4CB79BCF6}

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Poste auch ein frisches hJT log.

formatb · 08.12.2008, 14:04

Also wenn ich gesetzenfalls den Rechner komplett platt mache (formatiere) habe ich kein Problem mehr!?
Welches Risiko besteht wenn ich eine Bereinigung versuche?
Wenn ich die wichtigsten Dateien auf dvd kopiere und dann prüfe. Wie gross ist die Möglickeit das der Trojaner sich darauf auch mitkopiert?
Und mit welchen Tools könnte ich anschliessend am besten testen!
Ich werde auf jeden Fall eine Bereinigung versuchen!

Werde heute Abend mal das Ganze in Angriff nehmen!

undoreal · 08.12.2008, 16:42

Eine sichere Formatierung sieht so aus:

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Eine BEreinigung birgt immer das Risiko, dass Schädlinge unbemerkt auf dem System verbleiben. Das System ist dann unbemerkt kompromitiert. Bietet daher vollen Zugriff für den Angreifer. Was das bedeutet kannst du dir selber überlegen...
Bei der Art von Infizierung die dein System aufweist empfehle ich ein Neuaufsetzen, gebe aber auch Hilfestellung zur Bereinigung.
Wäre die Infektion eindeutig von remotem Charakter tue ich das nicht weil es einfach zu gefährlich ist.
Zusammengefasst bedeutet das: Ich denke, dass sich das Risiko was eine Bereinigung birgt in Grenzen hält die man verkraften kann wenn keine Staatsgeheimnisse über den Rechner laufen...

formatb · 09.12.2008, 17:25

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1456
Windows 5.1.2600 Service Pack 3

09.12.2008 17:24:09
mbam-log-2008-12-09 (17-24-02).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|)
Durchsuchte Objekte: 347156
Laufzeit: 2 hour(s), 1 minute(s), 38 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\homeview (Trojan.DNSChanger) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Install\winxp original machen\KeyGen.exe (Malware.Tool) -> No action taken.
E:\Webdesign\progs\keygen\keygen.exe (Trojan.Downloader) -> No action taken.
E:\Webdesign\progs\keygen\Vegas 6 keygen\Vegas6.exe (Trojan.Downloader) -> No action taken.
E:\Webdesign\progs\Keygen-SSG\keygen.exe (Trojan.Downloader) -> No action taken.

formatb · 09.12.2008, 17:26

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 12/09/2008 at 10:17 AM

Application Version : 4.23.1006

Core Rules Database Version : 3668
Trace Rules Database Version: 1647

Scan type : Complete Scan
Total Scan Time : 02:44:27

Memory items scanned : 425
Memory threats detected : 0
Registry items scanned : 7039
Registry threats detected : 3
File items scanned : 305772
File threats detected : 11

Unclassified.Unknown Origin
HKU\S-1-5-21-1417001333-1972579041-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
F:\SYSTEM VOLUME INFORMATION\_RESTORE{9131F079-A81D-4578-AAC1-9C2D865E976B}\RP408\A0195062.NFO
F:\SYSTEM VOLUME INFORMATION\_RESTORE{9131F079-A81D-4578-AAC1-9C2D865E976B}\RP408\A0195063.NFO
F:\SYSTEM VOLUME INFORMATION\_RESTORE{9131F079-A81D-4578-AAC1-9C2D865E976B}\RP408\A0195067.NFO
F:\SYSTEM VOLUME INFORMATION\_RESTORE{9131F079-A81D-4578-AAC1-9C2D865E976B}\RP408\A0195070.NFO
F:\SYSTEM VOLUME INFORMATION\_RESTORE{9131F079-A81D-4578-AAC1-9C2D865E976B}\RP408\A0195074.NFO
F:\SYSTEM VOLUME INFORMATION\_RESTORE{9131F079-A81D-4578-AAC1-9C2D865E976B}\RP408\A0195077.NFO
F:\SYSTEM VOLUME INFORMATION\_RESTORE{9131F079-A81D-4578-AAC1-9C2D865E976B}\RP408\A0195078.NFO
F:\SYSTEM VOLUME INFORMATION\_RESTORE{9131F079-A81D-4578-AAC1-9C2D865E976B}\RP408\A0195079.NFO
F:\SYSTEM VOLUME INFORMATION\_RESTORE{9131F079-A81D-4578-AAC1-9C2D865E976B}\RP408\A0195081.NFO

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\mike\Cookies\mike@weborama[3].txt

Trojan.DNSChanger-Codec
HKCR\homeview
HKCR\homeview\CLSID

Trojan.Downloader-Gen
F:\WINDOWS\SYSTEM32\STU.DLL

formatb · 09.12.2008, 17:37

Datei xfcodec.dll empfangen 2008.12.09 17:28:54 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/38 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 38 und 55 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.10.0 2008.12.09 -
AntiVir 7.9.0.43 2008.12.09 -
Authentium 5.1.0.4 2008.12.08 -
Avast 4.8.1281.0 2008.12.08 -
AVG 8.0.0.199 2008.12.09 -
BitDefender 7.2 2008.12.09 -
CAT-QuickHeal 10.00 2008.12.09 -
ClamAV 0.94.1 2008.12.09 -
Comodo 713 2008.12.09 -
DrWeb 4.44.0.09170 2008.12.09 -
eSafe 7.0.17.0 2008.12.09 -
eTrust-Vet 31.6.6252 2008.12.09 -
Ewido 4.0 2008.12.09 -
F-Prot 4.4.4.56 2008.12.08 -
F-Secure 8.0.14332.0 2008.12.09 -
Fortinet 3.117.0.0 2008.12.09 -
GData 19 2008.12.09 -
Ikarus T3.1.1.45.0 2008.12.08 -
K7AntiVirus 7.10.549 2008.12.09 -
Kaspersky 7.0.0.125 2008.12.09 -
McAfee 5458 2008.12.08 -
McAfee+Artemis 5458 2008.12.09 -
Microsoft 1.4205 2008.12.09 -
NOD32 3676 2008.12.09 -
Norman 5.80.02 2008.12.09 -
Panda 9.0.0.4 2008.12.09 -
PCTools 4.4.2.0 2008.12.09 -
Prevx1 V2 2008.12.09 -
Rising 21.07.12.00 2008.12.09 -
SecureWeb-Gateway 6.7.6 2008.12.09 -
Sophos 4.36.0 2008.12.09 -
Sunbelt 3.1.1832.2 2008.12.01 -
Symantec 10 2008.12.09 -
TheHacker 6.3.1.2.180 2008.12.09 -
TrendMicro 8.700.0.1004 2008.12.09 -
VBA32 3.12.8.10 2008.12.09 -
ViRobot 2008.12.9.1509 2008.12.09 -
VirusBuster 4.5.11.0 2008.12.09 -
weitere Informationen
File size: 42320 bytes
MD5...: 5c264981e8a108449faf1eefe41e9dbb
SHA1..: 70ce3ff483887709764f1d2dd9dad6ce2c647892
SHA256: 7a07732a59159453edf70bdb3be63f603c44ccf62ee5bc9abdefbb2cd2340313
SHA512: 02f244dde5d56bdc426bd74d93c57464717582f7b9073ea5a118aa2ebeaf56ea
bdd7ffca1142745c129efbbf083075df3e0fd1710de7a8cb10aa6970ec98505a
ssdeep: 768:8qdrLME++B6A/0gN68sHffoLO0UhEXIH4LjkPOblhXXYpUpGPHl0LCIQhFD5
oLzp:xrxB6mrvSffoLO0ULP7J0iz+U8
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10007670
timedatestamp.....: 0x4925ca7f (Thu Nov 20 20:37:19 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x6ae1 0x6c00 6.47 d0e9e9da9e0d3347c0614c10b821fa91
.rdata 0x8000 0xac5 0xc00 4.50 1c2a2508a17ee3b4f70e6168e795ae27
.data 0x9000 0x63fc 0x200 1.15 4c081c22a223dd877a968ed8dcda112e
.CRT 0x10000 0x14 0x200 0.06 fcb057e0302e89dbfdeef4b46e70dc1c
.rsrc 0x11000 0x380 0x400 3.98 1df84d3bc274e6068209b2e266772b01
.reloc 0x12000 0xb3e 0xc00 6.53 8c1ef75bf54e3d31d915a6c96ba5775b

( 3 imports )
> WINMM.dll: DefDriverProc
> KERNEL32.dll: WaitForSingleObject, LoadLibraryA, QueryPerformanceFrequency, GetTickCount, QueryPerformanceCounter, OutputDebugStringA, CloseHandle, CreateEventW, CreateThread, CreateMutexW, RaiseException, ReleaseMutex, SetEvent, GetProcAddress, FreeLibrary
> USER32.dll: wvsprintfA, MessageBoxW

( 2 exports )
DriverProc, XfireCodecCompress

formatb · 09.12.2008, 17:38

Datei Ambfilt.sys empfangen 2008.12.09 17:33:24 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/38 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 38 und 55 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.10.0 2008.12.09 -
AntiVir 7.9.0.43 2008.12.09 -
Authentium 5.1.0.4 2008.12.08 -
Avast 4.8.1281.0 2008.12.08 -
AVG 8.0.0.199 2008.12.09 -
BitDefender 7.2 2008.12.09 -
CAT-QuickHeal 10.00 2008.12.09 -
ClamAV 0.94.1 2008.12.09 -
Comodo 713 2008.12.09 -
DrWeb 4.44.0.09170 2008.12.09 -
eSafe 7.0.17.0 2008.12.09 -
eTrust-Vet 31.6.6252 2008.12.09 -
Ewido 4.0 2008.12.09 -
F-Prot 4.4.4.56 2008.12.08 -
F-Secure 8.0.14332.0 2008.12.09 -
Fortinet 3.117.0.0 2008.12.09 -
GData 19 2008.12.09 -
Ikarus T3.1.1.45.0 2008.12.08 -
K7AntiVirus 7.10.549 2008.12.09 -
Kaspersky 7.0.0.125 2008.12.09 -
McAfee 5458 2008.12.08 -
McAfee+Artemis 5458 2008.12.09 -
Microsoft 1.4205 2008.12.09 -
NOD32 3676 2008.12.09 -
Norman 5.80.02 2008.12.09 -
Panda 9.0.0.4 2008.12.09 -
PCTools 4.4.2.0 2008.12.09 -
Prevx1 V2 2008.12.09 -
Rising 21.07.12.00 2008.12.09 -
SecureWeb-Gateway 6.7.6 2008.12.09 -
Sophos 4.36.0 2008.12.09 -
Sunbelt 3.1.1832.2 2008.12.01 -
Symantec 10 2008.12.09 -
TheHacker 6.3.1.2.180 2008.12.09 -
TrendMicro 8.700.0.1004 2008.12.09 -
VBA32 3.12.8.10 2008.12.09 -
ViRobot 2008.12.9.1509 2008.12.09 -
VirusBuster 4.5.11.0 2008.12.09 -
weitere Informationen
File size: 1684736 bytes
MD5...: f6af59d6eee5e1c304f7f73706ad11d8
SHA1..: 94be90f9b56ff4a6285d890ecfeee74943aa975c
SHA256: f5d39ef40cdb5102a84c8594cfc54ddbd5060e193e6d07421a9003d2abc63e30
SHA512: 32d8ea961fc35d90e429e2f6d13d77192e6801614e36dd21155106f649623f8c
f953c075f0881aa47e2669acca2fc01fef6ed4513c4fafe649d408ce7ffe210b
ssdeep: 49152:13AlBv4ahtM1dB6GsLmhMJqfcHVekQWYG:13Ov4ahtMaM/kQWP
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xe5c30
timedatestamp.....: 0x48984323 (Tue Aug 05 12:10:11 2008)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x380 0xa4d86 0xa4e00 6.64 ba31ee676e7c6f6842c8717353277c4b
page 0xa5180 0x3099a 0x30a00 6.32 2706226ddba9fe899d2f98ad800605c5
init 0xd5b80 0x380 0x380 5.98 fbb6d77ea6322d2eb12222f7f64551c9
.data 0xd5f00 0x62a1c 0x62a80 4.34 b7bc9a4775f2606ba9c162c211d51d6e
init 0x138980 0xc 0x80 0.52 2363bcc16d2a85bf7a7e1b7758264d0f
_PDATA 0x138a00 0x54a08 0x54a80 6.51 9cb1e627c2a3290ec3e5b97578456089
INIT 0x18d480 0x736 0x780 5.37 dbd4deba4a13406983614798f07c3307
.rsrc 0x18dc00 0x2a8 0x300 2.95 bc2cc1c6f02758effb7f8e00e493a092
.reloc 0x18df00 0xd59e 0xd600 6.43 ca8e4dcc6c6e45c8654db86bf710fce8

( 3 imports )
> ntoskrnl.exe: RtlStringFromGUID, KeReleaseSemaphore, ObfDereferenceObject, KeSetEvent, ObReferenceObjectByHandle, ExEventObjectType, InterlockedIncrement, InterlockedDecrement, _purecall, RtlCompareUnicodeString, RtlCompareMemory, KeInitializeMutex, KeGetCurrentThread, KeWaitForSingleObject, KeReleaseMutex, ZwClose, IofCallDriver, IoBuildDeviceIoControlRequest, KeInitializeEvent, ZwCreateFile, KeResetEvent, InterlockedExchange, KeCancelTimer, KeClearEvent, InterlockedCompareExchange, RtlFreeUnicodeString, PsTerminateSystemThread, KeInitializeTimer, KeWaitForMultipleObjects, KeSetPriorityThread, PsCreateSystemThread, MmBuildMdlForNonPagedPool, ExFreePool, IoAllocateIrp, IoFreeIrp, IoFreeMdl, MmUnlockPages, MmMapLockedPages, MmProbeAndLockPages, _except_handler3, IoGetDeviceProperty, IofCompleteRequest, IoReleaseCancelSpinLock, IoDeleteDevice, IoDetachDevice, PoCallDriver, PoStartNextPowerIrp, IoAttachDeviceToDeviceStack, IoCreateDevice, IoWMIRegistrationControl, KeQuerySystemTime, KeSetTimer, RtlEqualUnicodeString, wcslen, RtlInitUnicodeString, swprintf, IoGetDeviceInterfaces, _aulldiv, _allmul, ZwQueryValueKey, ZwSetValueKey, ZwDeleteValueKey, ZwCreateKey, ZwOpenKey, IoIsWdmVersionAvailable, KeDelayExecutionThread, IoAllocateMdl, ExAllocatePoolWithTag, RtlRaiseException, KeBugCheckEx
> ks.sys: KsCreatePin
> HAL.dll: KeQueryPerformanceCounter

( 0 exports )

formatb · 09.12.2008, 17:42

Datei Monfilt.sys empfangen 2008.12.09 17:39:21 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/38 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 4.
Geschätzte Startzeit ist zwischen 62 und 88 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.10.0 2008.12.09 -
AntiVir 7.9.0.43 2008.12.09 -
Authentium 5.1.0.4 2008.12.08 -
Avast 4.8.1281.0 2008.12.08 -
AVG 8.0.0.199 2008.12.09 -
BitDefender 7.2 2008.12.09 -
CAT-QuickHeal 10.00 2008.12.09 -
ClamAV 0.94.1 2008.12.09 -
Comodo 713 2008.12.09 -
DrWeb 4.44.0.09170 2008.12.09 -
eSafe 7.0.17.0 2008.12.09 -
eTrust-Vet 31.6.6252 2008.12.09 -
Ewido 4.0 2008.12.09 -
F-Prot 4.4.4.56 2008.12.08 -
F-Secure 8.0.14332.0 2008.12.09 -
Fortinet 3.117.0.0 2008.12.09 -
GData 19 2008.12.09 -
Ikarus T3.1.1.45.0 2008.12.08 -
K7AntiVirus 7.10.549 2008.12.09 -
Kaspersky 7.0.0.125 2008.12.09 -
McAfee 5458 2008.12.08 -
McAfee+Artemis 5458 2008.12.09 -
Microsoft 1.4205 2008.12.09 -
NOD32 3676 2008.12.09 -
Norman 5.80.02 2008.12.09 -
Panda 9.0.0.4 2008.12.09 -
PCTools 4.4.2.0 2008.12.09 -
Prevx1 V2 2008.12.09 -
Rising 21.07.12.00 2008.12.09 -
SecureWeb-Gateway 6.7.6 2008.12.09 -
Sophos 4.36.0 2008.12.09 -
Sunbelt 3.1.1832.2 2008.12.01 -
Symantec 10 2008.12.09 -
TheHacker 6.3.1.2.180 2008.12.09 -
TrendMicro 8.700.0.1004 2008.12.09 -
VBA32 3.12.8.10 2008.12.09 -
ViRobot 2008.12.9.1509 2008.12.09 -
VirusBuster 4.5.11.0 2008.12.09 -
weitere Informationen
File size: 1389056 bytes
MD5...: 9fa7207d1b1adead88ae8eed9cdbbaa5
SHA1..: a640f9f69c881b4193c028eb3a0e01d5b3da00d4
SHA256: 2ac3875b2e7d9b0692253a9867b940cf214de03574808b42c3702843bc1d5696
SHA512: 538024b596d2d07c98770425ce42d69bd4b8d2fb5c88276b8d7257a052c2bb17
7e908f6aeaf5607a7694bb8b51857d491c733826768080502711dd410c4ab736
ssdeep: 24576:W8tWjPIzEPSl+toYbtlRGV6cAlUeRq+DVfNYSqUjcilI6Keu65Upl0xptq
Zp3Z1E:W83Eq7slkVAlUeRq+DVa4jcilI6Keu6R
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (95.5%)
Generic Win/DOS Executable (2.2%)
DOS Executable Generic (2.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xcc280
timedatestamp.....: 0x43bb7c3c (Wed Jan 04 07:41:48 2006)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x380 0xa208c 0xa2100 6.57 c92f81ba098872062ba6e16f2668acc3
page 0xa2480 0x19d08 0x19d80 6.41 615fd3ab14a9b1f646daba17f7aca496
init 0xbc200 0xd70 0xd80 6.32 1ab1c97f23f383f489ce28f55d720f9e
.data 0xbcf80 0x5d370 0x5d380 3.85 138cd475c3d8935f9bdf6ca80ec32d07
.CRT 0x11a300 0x8 0x80 0.00 f09f35a5637839458e462e6350ecbce4
init 0x11a380 0x24a04 0x24a80 4.04 e6da94a24ada990cd7aec5427aad1bf4
INIT 0x13ee00 0x8ac 0x900 5.40 c69f16ad4387bab460792dc0186d4046
.rsrc 0x13f700 0x390 0x400 3.03 32d896da833039833ebf9fd7069f91c8
.reloc 0x13fb00 0x136c0 0x13700 6.43 aed28dfcb2caa7ce5db88ddb4ef9a572

( 3 imports )
> ntoskrnl.exe: ObfDereferenceObject, KeSetEvent, ObReferenceObjectByHandle, ExEventObjectType, _purecall, RtlCompareUnicodeString, InterlockedIncrement, RtlCompareMemory, InterlockedDecrement, ZwClose, KeWaitForSingleObject, IofCallDriver, IoBuildDeviceIoControlRequest, KeInitializeEvent, ZwCreateFile, KeResetEvent, InterlockedExchange, KeCancelTimer, KeClearEvent, _allmul, _aulldiv, InterlockedCompareExchange, KeSetTimer, PsTerminateSystemThread, KeInitializeTimer, KeReleaseSemaphore, KeSetPriorityThread, PsCreateSystemThread, MmBuildMdlForNonPagedPool, IoAllocateMdl, IoAllocateIrp, IoFreeMdl, IoFreeIrp, MmUnlockPages, MmMapLockedPagesSpecifyCache, MmProbeAndLockPages, _except_handler3, KeRestoreFloatingPointState, RtlFreeUnicodeString, KeInitializeMutex, KeReleaseMutex, IoGetDeviceProperty, KeDelayExecutionThread, IofCompleteRequest, IoReleaseCancelSpinLock, IoDeleteDevice, IoDetachDevice, PoCallDriver, PoStartNextPowerIrp, IoAttachDeviceToDeviceStack, IoCreateDevice, KeWaitForMultipleObjects, RtlStringFromGUID, strncpy, IoCreateUnprotectedSymbolicLink, RtlAnsiStringToUnicodeString, RtlInitAnsiString, sprintf, IoDeleteSymbolicLink, RtlInitUnicodeString, IoGetDeviceInterfaces, ZwEnumerateValueKey, ZwQueryValueKey, ZwCreateKey, KeRemoveQueueDpc, KeInitializeDpc, wcsncpy, wcslen, RtlUnicodeStringToAnsiString, ZwSetValueKey, ZwDeleteValueKey, ZwOpenKey, IoIsWdmVersionAvailable, KeInitializeTimerEx, KeInitializeSpinLock, ZwReadFile, ZwWriteFile, RtlEqualUnicodeString, ExFreePool, KeSaveFloatingPointState, ExAllocatePoolWithTag, RtlRaiseException
> ks.sys: KsCreatePin
> HAL.dll: KfReleaseSpinLock, KeQueryPerformanceCounter, KfAcquireSpinLock

( 0 exports )

formatb · 09.12.2008, 17:45

Datei RtkCoInstXP.dll empfangen 2008.12.09 17:43:15 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/38 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 38 und 55 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.10.0 2008.12.09 -
AntiVir 7.9.0.43 2008.12.09 -
Authentium 5.1.0.4 2008.12.08 -
Avast 4.8.1281.0 2008.12.08 -
AVG 8.0.0.199 2008.12.09 -
BitDefender 7.2 2008.12.09 -
CAT-QuickHeal 10.00 2008.12.09 -
ClamAV 0.94.1 2008.12.09 -
Comodo 713 2008.12.09 -
DrWeb 4.44.0.09170 2008.12.09 -
eSafe 7.0.17.0 2008.12.09 -
eTrust-Vet 31.6.6252 2008.12.09 -
Ewido 4.0 2008.12.09 -
F-Prot 4.4.4.56 2008.12.08 -
F-Secure 8.0.14332.0 2008.12.09 -
Fortinet 3.117.0.0 2008.12.09 -
GData 19 2008.12.09 -
Ikarus T3.1.1.45.0 2008.12.08 -
K7AntiVirus 7.10.549 2008.12.09 -
Kaspersky 7.0.0.125 2008.12.09 -
McAfee 5458 2008.12.08 -
McAfee+Artemis 5458 2008.12.09 -
Microsoft 1.4205 2008.12.09 -
NOD32 3676 2008.12.09 -
Norman 5.80.02 2008.12.09 -
Panda 9.0.0.4 2008.12.09 -
PCTools 4.4.2.0 2008.12.09 -
Prevx1 V2 2008.12.09 -
Rising 21.07.12.00 2008.12.09 -
SecureWeb-Gateway 6.7.6 2008.12.09 -
Sophos 4.36.0 2008.12.09 -
Sunbelt 3.1.1832.2 2008.12.01 -
Symantec 10 2008.12.09 -
TheHacker 6.3.1.2.180 2008.12.09 -
TrendMicro 8.700.0.1004 2008.12.09 -
VBA32 3.12.8.10 2008.12.09 -
ViRobot 2008.12.9.1509 2008.12.09 -
VirusBuster 4.5.11.0 2008.12.09 -
weitere Informationen
File size: 34816 bytes
MD5...: 30b95cbe89200d0c2ded156b523a7297
SHA1..: abd753c8d37891f24d737a66296088aa4c21fc5a
SHA256: 7b945fb8012def6161880ad4b0bb48078f8dff64bf954beb63a0637d0c121c09
SHA512: 1742d58d601a93cc1f1f0eb223ea2dcfebf7a77a9eef846f0e7af40915025eec
54ab1c1dfd28c9a23f6a6282cbb101972a73afe58d906710e8f073bf31a79a34
ssdeep: 768:WK3N+nVPRO0EV8luKOWPTs49pHmo2CkTG2UDrChfn2PByJ1VnRlNrr8vLUMZ
:X3NsO0eKOWPTs492TG2UDrChfn2PByJE
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2004b72
timedatestamp.....: 0x4917e44f (Mon Nov 10 07:35:43 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x478f 0x4800 6.42 7a11c6f8d164dd47564a87a4de8f6db6
.data 0x6000 0x2ed0 0x1200 2.61 9b871fe35eda1aecfbc5d5a4f44a5e60
.rsrc 0x9000 0x1ed0 0x2000 3.55 697b79236466aee517dea20b5113b3b7
.reloc 0xb000 0x85c 0xa00 5.36 4aab6a0d63b25c90cb29ec02f9d7fc51

( 5 imports )
> msvcrt.dll: _onexit, __dllonexit, _adjust_fdiv, _initterm, free, malloc, wcslen, fopen, fread, fclose, sprintf, strrchr, strstr, _strupr, strncpy, _vsnprintf
> SETUPAPI.dll: SetupDiGetDeviceInstallParamsA, SetupOpenInfFileA, SetupDiGetDeviceInterfaceDetailA, SetupDiEnumDeviceInterfaces, SetupFindFirstLineA, SetupGetStringFieldA, SetupCloseInfFile, SetupDiGetClassDevsA, SetupDiEnumDeviceInfo, SetupDiGetDeviceInstanceIdA, SetupDiDestroyDeviceInfoList, SetupDiGetSelectedDriverA, SetupDiGetDriverInfoDetailA, SetupDiGetDeviceRegistryPropertyA
> KERNEL32.dll: QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, CopyFileA, GetModuleHandleA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, GetProcAddress, GetCurrentProcess, WinExec, GetModuleFileNameA, OutputDebugStringA, GetSystemTimeAsFileTime, CreateFileA, DeviceIoControl, CloseHandle, DeleteFileA, Sleep, GetWindowsDirectoryA, GetFileAttributesA, GetSystemDirectoryA, LocalAlloc, GetLastError, LocalFree
> ADVAPI32.dll: RegOpenKeyExA, ControlService, CloseServiceHandle, OpenServiceA, OpenSCManagerA, StartServiceA, RegDeleteKeyA, RegEnumKeyExA, RegCreateKeyA, RegDeleteValueA, DeleteService, RegSetValueExA, RegCloseKey, CreateServiceA, ChangeServiceConfig2A, QueryServiceStatus
> USER32.dll: CharUpperA, LoadStringA, wsprintfA

( 1 exports )
RtkCoInstaller

formatb · 09.12.2008, 17:52

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA6 4CB79BCF6}" not found!
Deletion of folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA6 4CB79BCF6}" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

SO NUN HABE ICH ALLE OBEN GENANNTEN SCHRITTE ZU EINER BEREINIGUNG GEMACHT

HIER NOCH DER HICK JACK LOG:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:51:55, on 09.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Logitech\GamePanel Software\LgDevAgt.exe
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
E:\Adobe\Adobe Acrobat 7.0\Acrobat\acrobat_sl.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.www.daemon-search.com/default
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Launch LgDevAgt] "C:\Programme\Logitech\GamePanel Software\LgDevAgt.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://E:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://E:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://E:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://E:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://E:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://E:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://E:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://E:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187798016046
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1187804758671
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 11385 bytes

formatb · 09.12.2008, 17:54

Ich muss noch zu meiner Schande gestehen das ich in Spyware Pro die Funde in Quarantäne oder schon beseitigt habe!

ich hoffe das macht nichts!

Franz1968 · 09.12.2008, 21:59

Zitat:

Zitat von formatb

Infizierte Dateien:
C:\Install\winxp original machen\KeyGen.exe (Malware.Tool) -> No action taken.
E:\Webdesign\progs\keygen\keygen.exe (Trojan.Downloader) -> No action taken.
E:\Webdesign\progs\keygen\Vegas 6 keygen\Vegas6.exe (Trojan.Downloader) -> No action taken.
E:\Webdesign\progs\Keygen-SSG\keygen.exe (Trojan.Downloader) -> No action taken.

Leg dir bitte ein Original-Windows zu, setze es ordentlich neu auf, wie von undoreal beschrieben, und lass die Finger von Keygens & Co.

Dann klappt's auch mit der Datensicherheit.

undoreal · 10.12.2008, 06:41

Jup, kann mich dem Franz nur anschließen....

10.12.2008, 06:41	#15
undoreal /// AVZ-Toolkit Guru	Zwei Trojaner gefunden Jup, kann mich dem Franz nur anschließen.... __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto

Zwei Trojaner gefunden

Log-Analyse und Auswertung: Zwei Trojaner gefunden