| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: vundo-trojanerviren!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
01.01.2009, 22:58
| #16 |
  |  vundo-trojanerviren! Wenn es ein Backdoor ist, dann ja. Ich habe dir eine persönliche Nachricht mit meiner Email-Adresse geschrieben. Schicke den Link und/oder die Email an die Adresse. ciao, andreas |
|
01.01.2009, 23:34
| #17 |
| | vundo-trojanerviren! 1.) Deinstalliere/deaktiviere folgende Programme (Start => Systemsteuerung => Software):
__________________Code:
ATTFilter Teamviewer (Der Server macht mich nervös)
Alle Toolbars
HTML-Code: [code] Hier das Logfile rein! [/code] 3.) Lade LopSD auf den Desktop, Doppelklick um es zu starten, Tippe D (Deutsch), [Enter] und tippe 2. Poste anschliessend die Datei LopR.txt 4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!) 5.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. 6.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe Editiere die Links und privaten Infos!! ciao, andreas |
|
01.01.2009, 23:57
| #18 |
 | vundo-trojanerviren! [Malwarebytes' Anti-Malware 1.31
__________________Datenbank Version: 1589 Windows 5.1.2600 Service Pack 2 01.01.2009 17:33:41 mbam-log-2009-01-01 (17-33-41).txt Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|) Durchsuchte Objekte: 111980 Laufzeit: 28 minute(s), 57 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 5 Infizierte Registrierungsschlüssel: 22 Infizierte Registrierungswerte: 8 Infizierte Dateiobjekte der Registrierung: 5 Infizierte Verzeichnisse: 0 Infizierte Dateien: 32 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINDOWS\system32\bazoveza.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\latavija.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\sivaforu.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\fesumuye.dll (Trojan.Vundo.H) -> Delete on reboot. c:\WINDOWS\system32\kedisuzo.dll (Trojan.Vundo.H) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{3e8779b2-78a4-4715-9301-5bcfa6e72fa9} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tuvvlbaw (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{3e8779b2-78a4-4715-9301-5bcfa6e72fa9} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{d9eec67f-e979-4394-af25-98dbc5ea7bbb} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wvunkduo (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{d9eec67f-e979-4394-af25-98dbc5ea7bbb} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{f13bc964-d378-48dd-8296-166d98ea7b07} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{f13bc964-d378-48dd-8296-166d98ea7b07} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{509ad20c-4a2d-4f7a-801f-5b96439c6e2b} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{509ad20c-4a2d-4f7a-801f-5b96439c6e2b} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{c4a3d571-3e19-4e55-831b-ede448a42853} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{c4a3d571-3e19-4e55-831b-ede448a42853} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{c4a3d571-3e19-4e55-831b-ede448a42853} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{3e8779b2-78a4-4715-9301-5bcfa6e72fa9} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{d9eec67f-e979-4394-af25-98dbc5ea7bbb} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\78ec02c7 (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\yejifasuha (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\cpm7bdf315b (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks\{3e8779b2-78a4-4715-9301-5bcfa6e72fa9} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks\{d9eec67f-e979-4394-af25-98dbc5ea7bbb} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\Windows UDP Control Services (Backdoor.Bot) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\latavija.dll -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\latavija.dll -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\latavija.dll -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\kedisuzo.dll -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\kedisuzo.dll -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\tuvVLbaW.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\wvUnKDUo.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\nyjxif.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\bazoveza.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\azevozab.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\tagetega.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\agetegat.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\fesumuye.dll (Trojan.Vundo.H) -> Delete on reboot. c:\WINDOWS\system32\kedisuzo.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\sivaforu.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\latavija.dll (Trojan.Vundo.H) -> Delete on reboot. C:\Dokumente und Einstellungen\D*n*ja\Lokale Einstellungen\Temp\wind3qQssNYWUXfL.exe (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\D*n*ja\Lokale Einstellungen\Temp\winbIDlrVkB9TSQuN.exe (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\D*n*ja\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\CP67SDAB\style[1] (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\D*n*ja\Lokale Einstellungen\Temporary Internet Files\Content.IE5\205Y7MR5\style[1] (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\D*n*ja\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TCMCFOEM\style[1] (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\D*n*ja\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YSZJLS3U\style[1] (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\feviliru.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\fozehuka.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\jideraye.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\numuligi.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\poviwumi.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\rqyjlhnh.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\suemvq.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\wugitude.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\khtayunx.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\lcawev.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\uffasg.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ukbplkxh.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\zurokawe.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\jutovofa.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully. ] [Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 31. Dezember 2008 19:29 Es wird nach 1138026 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: D*N*JA-AKRSEWYQ Versionsinformationen: BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 26.11.2008 17:21:51 AVSCAN.DLL : 8.1.4.0 48897 Bytes 26.07.2008 13:47:04 LUKE.DLL : 8.1.4.5 164097 Bytes 26.07.2008 13:47:04 LUKERES.DLL : 8.1.4.0 12545 Bytes 26.07.2008 13:47:04 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 15:27:52 ANTIVIR1.VDF : 7.1.1.33 1705984 Bytes 24.12.2008 22:21:31 ANTIVIR2.VDF : 7.1.1.34 2048 Bytes 24.12.2008 22:21:31 ANTIVIR3.VDF : 7.1.1.56 265728 Bytes 31.12.2008 10:44:06 Engineversion : 8.2.0.45 AEVDF.DLL : 8.1.0.6 102772 Bytes 16.10.2008 15:04:01 AESCRIPT.DLL : 8.1.1.19 336252 Bytes 13.12.2008 16:27:46 AESCN.DLL : 8.1.1.5 123251 Bytes 08.11.2008 15:22:06 AERDL.DLL : 8.1.1.3 438645 Bytes 06.11.2008 17:11:46 AEPACK.DLL : 8.1.3.4 393591 Bytes 11.11.2008 18:53:15 AEOFFICE.DLL : 8.1.0.33 196987 Bytes 13.12.2008 16:27:45 AEHEUR.DLL : 8.1.0.75 1524087 Bytes 13.12.2008 16:27:44 AEHELP.DLL : 8.1.2.0 119159 Bytes 19.11.2008 16:37:53 AEGEN.DLL : 8.1.1.8 323956 Bytes 13.12.2008 16:27:41 AEEMU.DLL : 8.1.0.9 393588 Bytes 16.10.2008 15:03:52 AECORE.DLL : 8.1.5.2 172405 Bytes 28.11.2008 16:19:13 AEBB.DLL : 8.1.0.3 53618 Bytes 16.10.2008 15:03:50 AVWINLL.DLL : 1.0.0.12 15105 Bytes 26.07.2008 13:47:04 AVPREF.DLL : 8.0.2.0 38657 Bytes 26.07.2008 13:47:04 AVREP.DLL : 8.0.0.2 98344 Bytes 01.08.2008 14:13:45 AVREG.DLL : 8.0.0.1 33537 Bytes 26.07.2008 13:47:04 AVARKT.DLL : 1.0.0.23 307457 Bytes 19.04.2008 11:14:26 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 26.07.2008 13:47:04 SQLITE3.DLL : 3.3.17.1 339968 Bytes 19.04.2008 11:14:26 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 26.07.2008 13:47:04 NETNT.DLL : 8.0.0.1 7937 Bytes 19.04.2008 11:14:26 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 26.07.2008 13:47:02 RCTEXT.DLL : 8.0.52.0 86273 Bytes 26.07.2008 13:47:02 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Mittwoch, 31. Dezember 2008 19:29 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'update.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'usnsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CCC.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PicasaMediaDetector.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'E_FATIBIE.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TeamViewer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TeamViewer_Host.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '42' Prozesse mit '42' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '58' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\Zylom\Delicious3\de-DE\delicious3.1.0.0.de-DE.cab [0] Archivtyp: CAB (Microsoft) --> fonts\arial12.xml [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\Dokumente und Einstellungen\D*n*ja\Lokale Einstellungen\Temp\winJES0vh.exe [FUND] Ist das Trojanische Pferd TR/Inject.mla [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49c9bd97.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\D*n*ja\Lokale Einstellungen\Temp\winTguG6ent.exe [FUND] Ist das Trojanische Pferd TR/Inject.mla [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48035a48.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\D*n*ja\Lokale Einstellungen\Temporary Internet Files\Content.IE5\205Y7MR5\style[1] [FUND] Ist das Trojanische Pferd TR/Inject.mla [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49d4bdfe.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\D*n*ja\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WQ5E9SR3\style[1] [FUND] Ist das Trojanische Pferd TR/Inject.mla [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49d4be0a.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\WINDOWS\system32\kabifoti.dll [FUND] Ist das Trojanische Pferd TR/Monder.agdr [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49bdc046.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\WINDOWS\system32\tidadegi.dll [FUND] Ist das Trojanische Pferd TR/Vundo.GEI [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49bfc062.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. Beginne mit der Suche in 'D:\' <Platte-2> Ende des Suchlaufs: Mittwoch, 31. Dezember 2008 19:55 Benötigte Zeit: 26:17 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 7111 Verzeichnisse wurden überprüft 124972 Dateien wurden geprüft 6 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 6 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 6 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 124965 Dateien ohne Befall 1567 Archive wurden durchsucht 2 Warnungen 6 Hinweise ] |
|
01.01.2009, 23:58
| #19 |
| | vundo-trojanerviren! [Avira AntiVir Personal Erstellungsdatum der Reportdatei: Dienstag, 30. Dezember 2008 17:10 Es wird nach 1136757 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: D*N*JA-AKRSEWYQ Versionsinformationen: BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 26.11.2008 17:21:51 AVSCAN.DLL : 8.1.4.0 48897 Bytes 26.07.2008 13:47:04 LUKE.DLL : 8.1.4.5 164097 Bytes 26.07.2008 13:47:04 LUKERES.DLL : 8.1.4.0 12545 Bytes 26.07.2008 13:47:04 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 15:27:52 ANTIVIR1.VDF : 7.1.1.33 1705984 Bytes 24.12.2008 22:21:31 ANTIVIR2.VDF : 7.1.1.34 2048 Bytes 24.12.2008 22:21:31 ANTIVIR3.VDF : 7.1.1.53 247296 Bytes 30.12.2008 14:07:50 Engineversion : 8.2.0.45 AEVDF.DLL : 8.1.0.6 102772 Bytes 16.10.2008 15:04:01 AESCRIPT.DLL : 8.1.1.19 336252 Bytes 13.12.2008 16:27:46 AESCN.DLL : 8.1.1.5 123251 Bytes 08.11.2008 15:22:06 AERDL.DLL : 8.1.1.3 438645 Bytes 06.11.2008 17:11:46 AEPACK.DLL : 8.1.3.4 393591 Bytes 11.11.2008 18:53:15 AEOFFICE.DLL : 8.1.0.33 196987 Bytes 13.12.2008 16:27:45 AEHEUR.DLL : 8.1.0.75 1524087 Bytes 13.12.2008 16:27:44 AEHELP.DLL : 8.1.2.0 119159 Bytes 19.11.2008 16:37:53 AEGEN.DLL : 8.1.1.8 323956 Bytes 13.12.2008 16:27:41 AEEMU.DLL : 8.1.0.9 393588 Bytes 16.10.2008 15:03:52 AECORE.DLL : 8.1.5.2 172405 Bytes 28.11.2008 16:19:13 AEBB.DLL : 8.1.0.3 53618 Bytes 16.10.2008 15:03:50 AVWINLL.DLL : 1.0.0.12 15105 Bytes 26.07.2008 13:47:04 AVPREF.DLL : 8.0.2.0 38657 Bytes 26.07.2008 13:47:04 AVREP.DLL : 8.0.0.2 98344 Bytes 01.08.2008 14:13:45 AVREG.DLL : 8.0.0.1 33537 Bytes 26.07.2008 13:47:04 AVARKT.DLL : 1.0.0.23 307457 Bytes 19.04.2008 11:14:26 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 26.07.2008 13:47:04 SQLITE3.DLL : 3.3.17.1 339968 Bytes 19.04.2008 11:14:26 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 26.07.2008 13:47:04 NETNT.DLL : 8.0.0.1 7937 Bytes 19.04.2008 11:14:26 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 26.07.2008 13:47:02 RCTEXT.DLL : 8.0.52.0 86273 Bytes 26.07.2008 13:47:02 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Dienstag, 30. Dezember 2008 17:10 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmplayer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TeamViewer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TeamViewer_Host.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CCC.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PicasaMediaDetector.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'E_FATIBIE.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '39' Prozesse mit '39' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '56' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\Zylom\Delicious3\de-DE\delicious3.1.0.0.de-DE.cab [0] Archivtyp: CAB (Microsoft) --> fonts\arial12.xml [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\WINDOWS\system32\pofolehe.dll [FUND] Ist das Trojanische Pferd TR/Vundo.GEA [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49c04d37.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\WINDOWS\system32\sekoseye.dll [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.xca.1 [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49c54d31.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. Beginne mit der Suche in 'D:\' <Platte-2> Ende des Suchlaufs: Dienstag, 30. Dezember 2008 17:31 Benötigte Zeit: 21:43 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 7104 Verzeichnisse wurden überprüft 124073 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 2 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 2 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 124070 Dateien ohne Befall 1541 Archive wurden durchsucht 2 Warnungen 2 Hinweise ] NOCH MEHR??? |
|
02.01.2009, 00:00
| #20 |
| | vundo-trojanerviren! Arbeite bitte die Liste ab. Was soll ich mit alten Logs?  ciao, andreas |
|
02.01.2009, 00:10
| #21 |
| | vundo-trojanerviren! 3.) Lade LopSD auf den Desktop, Doppelklick um es zu starten, Tippe D (Deutsch), [Enter] und tippe 2. Poste anschliessend die Datei LopR.txt --------------------\\ Lop S&D 4.2.5-0 XP/Vista Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 2 X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) D CPU 3.00GHz ) BIOS : Default System BIOS USER : D*n*ja ( Administrator ) BOOT : Normal boot Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated) A:\ (USB) C:\ (Local Disk) - NTFS - Total:29 Go (Free:18 Go) D:\ (Local Disk) - NTFS - Total:98 Go (Free:98 Go) E:\ (CD or DVD) "C:\Lop SD" ( MAJ : 19-12-2008|23:40 ) Option : [2] ( 02.01.2009| 0:00 ) \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ FIX Geloescht ! - C:\WINDOWS\Tasks\A1F4DAF0918B4C90.job Geloescht ! - C:\DOKUME~1\ALLUSE~1\ANWEND~1\File dvd base road\Rect bird.exe Geloescht ! - C:\DOKUME~1\D*noja\LOKALE~1\Temp\nsc93.tmp Geloescht ! - C:\DOKUME~1\Din*ja\LOKALE~1\Temp\nssB3.tmp Geloescht ! - C:\DOKUME~1\Dinoja\LOKALE~1\Temp\nsx231.tmp Geloescht ! - C:\DOKUME~1\Di*oja\LOKALE~1\Temp\nsy191.tmp Geloescht ! - C:\DOKUME~1\Di*oja\LOKALE~1\Temp\start_new.gif Geloescht ! - C:\DOKUME~1\Dinoja\Cookies\dinoja@advertising.marketnetwork[2].txt Geloescht ! - C:\DOKUME~1\Di*oja\Cookies\dinoja@advertising[2].txt Geloescht ! - C:\DOKUME~1\Di*oja\Cookies\dinoja@adin.bigpoint[2].txt Geloescht ! - C:\DOKUME~1\Di*oja\Cookies\dinoja@bigpoint[2].txt Geloescht ! - C:\DOKUME~1\Di*oja\Cookies\dinoja@fr.seafight.bigpoint[2].txt Geloescht ! - C:\DOKUME~1\Di*oja\Cookies\dinoja@banner.cotedazurpalace[2].txt Geloescht ! - C:\DOKUME~1\D*noja\Cookies\dinoja@adopt.euroclick[1].txt Geloescht ! - C:\DOKUME~1\D*noja\Cookies\dinoja@sr2.livemediasrv[1].txt Geloescht ! - C:\DOKUME~1\Dinoja\Cookies\dinoja@pacificpoker[1].txt Geloescht ! - C:\DOKUME~1\D*noja\Cookies\dinoja@partygaming.122.2o7[1].txt Geloescht ! - C:\DOKUME~1\Din*ja\Cookies\dinoja@partypoker[1].txt Geloescht ! - C:\DOKUME~1\Dinoja\Cookies\dinoja@de1.seafight[1].txt Geloescht ! - C:\DOKUME~1\D*n*ja\Cookies\dinoja@seafight[1].txt Geloescht ! - C:\DOKUME~1\D*noja\Cookies\dinoja@32vegas[2].txt Geloescht ! - C:\DOKUME~1\D*noja\Cookies\dinoja@banner.32vegas[1].txt Geloescht ! - C:\DOKUME~1\Di*oja\Cookies\dinoja@www.lop[1].txt Geloescht ! - C:\DOKUME~1\Di*oja\Cookies\dinoja@888[1].txt Geloescht ! - C:\DOKUME~1\ALLUSE~1\ANWEND~1\File dvd base road \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ --------------------\\ Ordner Verzeichnis unter ANWEND~1 [27.07.2008|19:24] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe [16.12.2007|19:10] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira [01.01.2009|20:35] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google Updater [01.01.2009|17:01] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes [02.12.2008|17:12] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Messenger Plus! [01.12.2008|17:59] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft [31.03.2008|16:46] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SweetIM [02.12.2007|20:37] C:\DOKUME~1\ALLUSE~1\ANWEND~1\UDL [27.03.2008|13:07] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Zylom [0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes [11|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei [27.07.2008|18:18] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Macromedia [01.12.2007|19:59] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft [0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes [4|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei [17.03.2008|16:17] C:\DOKUME~1\Di*oja\ANWEND~1\Adobe [02.12.2007|14:11] C:\DOKUME~1\Di*oja\ANWEND~1\AdobeUM [09.12.2007|15:06] C:\DOKUME~1\Di*oja\ANWEND~1\Ahead [02.12.2007|14:23] C:\DOKUME~1\Di*oja\ANWEND~1\ATI [18.03.2008|12:44] C:\DOKUME~1\Di*oja\ANWEND~1\EPSON [16.03.2008|13:32] C:\DOKUME~1\Di*oja\ANWEND~1\Google [04.02.2008|16:25] C:\DOKUME~1\Di*oja\ANWEND~1\Help [08.03.2008|11:35] C:\DOKUME~1\Di*oja\ANWEND~1\ICQ [24.12.2007|23:59] C:\DOKUME~1\Di*oja\ANWEND~1\ICQ Toolbar [01.12.2007|20:05] C:\DOKUME~1\Di*oja\ANWEND~1\Identities [24.12.2007|19:27] C:\DOKUME~1\Di*oja\ANWEND~1\InstallShield [26.10.2008|14:43] C:\DOKUME~1\Di*oja\ANWEND~1\KnobBows [16.12.2007|20:06] C:\DOKUME~1\Di*oja\ANWEND~1\Lavasoft [17.03.2008|18:39] C:\DOKUME~1\Di*oja\ANWEND~1\Leadertech [09.04.2008|14:40] C:\DOKUME~1\Di*oja\ANWEND~1\Lingo4u [27.01.2008|19:41] C:\DOKUME~1\Di*oja\ANWEND~1\Macromedia [01.01.2009|17:02] C:\DOKUME~1\Di*oja\ANWEND~1\Malwarebytes [29.11.2008|15:52] C:\DOKUME~1\Di*oja\ANWEND~1\Microsoft [26.08.2008|15:59] C:\DOKUME~1\Di*oja\ANWEND~1\Mozilla [03.05.2008|12:23] C:\DOKUME~1\Di*oja\ANWEND~1\Sun [16.12.2007|19:12] C:\DOKUME~1\D*noja\ANWEND~1\TeamViewer [10.06.2008|18:15] C:\DOKUME~1\D*noja\ANWEND~1\Zylom [0|Datei(en)] C:\DOKUME~1\Din*ja\ANWEND~1\Bytes [24|Verzeichnis(se),] C:\DOKUME~1\Di*oja\ANWEND~1\Bytes frei [01.12.2007|19:59] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft [16.12.2007|21:06] C:\DOKUME~1\LOCALS~1\ANWEND~1\TeamViewer [0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes [4|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei [01.12.2007|19:59] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft [0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes [3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei [03.05.2008|19:50] C:\DOKUME~1\Sha*uja\ANWEND~1\Adobe [02.12.2007|21:00] C:\DOKUME~1\Sha*uja\ANWEND~1\ATI [05.12.2007|13:27] C:\DOKUME~1\Sha*uja\ANWEND~1\EPSON [03.05.2008|19:52] C:\DOKUME~1\Sha*uja\ANWEND~1\Google [08.03.2008|11:38] C:\DOKUME~1\Sha*uja\ANWEND~1\ICQ [08.03.2008|14:38] C:\DOKUME~1\Sha*uja\ANWEND~1\ICQ Toolbar [02.12.2007|21:00] C:\DOKUME~1\Sha*uja\ANWEND~1\Identities [03.05.2008|19:50] C:\DOKUME~1\Sha*uja\ANWEND~1\Leadertech [03.05.2008|19:51] C:\DOKUME~1\Sha*uja\ANWEND~1\Lingo4u [24.12.2007|11:36] C:\DOKUME~1\Sha*uja\ANWEND~1\Macromedia [09.03.2008|11:05] C:\DOKUME~1\Sha*uja\ANWEND~1\Microsoft [04.09.2008|12:02] C:\DOKUME~1\Sha*uja\ANWEND~1\Mozilla [0|Datei(en)] C:\DOKUME~1\Sh*ruja\ANWEND~1\Bytes [14|Verzeichnis(se),] C:\DOKUME~1\Sha*uja\ANWEND~1\Bytes frei [24.02.2008|21:07] C:\DOKUME~1\Thano*an\ANWEND~1\Adobe [02.12.2007|21:01] C:\DOKUME~1\Thano*an\ANWEND~1\ATI [01.05.2008|16:43] C:\DOKUME~1\Thano*an\ANWEND~1\Google [08.03.2008|11:58] C:\DOKUME~1\Than*j*n\ANWEND~1\ICQ [02.12.2007|21:01] C:\DOKUME~1\Thano**n\ANWEND~1\Identities [07.01.2008|18:21] C:\DOKUME~1\Thano*an\ANWEND~1\Macromedia [08.08.2008|16:28] C:\DOKUME~1\Thano*an\ANWEND~1\Microsoft [17.12.2007|14:15] C:\DOKUME~1\Thano*an\ANWEND~1\Mozilla [0|Datei(en)] C:\DOKUME~1\Than**an\ANWEND~1\Bytes [10|Verzeichnis(se),] C:\DOKUME~1\T*ano*an\ANWEND~1\Bytes frei --------------------\\ Geplante Aufgaben unter C:\WINDOWS\Tasks [01.01.2009 22:27][--ah-----] C:\WINDOWS\tasks\SA.DAT [18.08.2001 13:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini --------------------\\ Ordner Verzeichnis unter C:\Programme [16.12.2007|19:01] C:\Programme\ABBYY FineReader 6.0 Sprint [27.07.2008|19:23] C:\Programme\Adobe [02.07.2008|16:48] C:\Programme\alaplaya [02.12.2007|14:20] C:\Programme\ATI Technologies [16.12.2007|19:10] C:\Programme\Avira [01.12.2007|19:57] C:\Programme\ComPlus Applications [02.12.2007|20:37] C:\Programme\epson [22.12.2008|18:12] C:\Programme\Gemeinsame Dateien [27.07.2008|18:18] C:\Programme\Google [22.09.2008|15:16] C:\Programme\ICQ6 [26.12.2007|11:57] C:\Programme\ICQToolbar [17.09.2008|15:32] C:\Programme\InstallShield Installation Information [02.12.2007|14:06] C:\Programme\Intel [16.12.2007|18:08] C:\Programme\Internet Explorer [23.06.2008|14:13] C:\Programme\ionForge [30.08.2008|16:46] C:\Programme\KnobBows [16.12.2007|19:12] C:\Programme\Lavasoft [02.12.2008|15:40] C:\Programme\LingoPad [01.01.2009|17:02] C:\Programme\Malwarebytes' Anti-Malware [16.12.2007|18:16] C:\Programme\Messenger [17.12.2008|14:34] C:\Programme\Messenger Plus! Live [29.11.2008|15:29] C:\Programme\Microsoft [01.12.2007|19:59] C:\Programme\microsoft frontpage [02.12.2007|14:31] C:\Programme\Microsoft Office [29.11.2008|15:36] C:\Programme\Microsoft Office Outlook Connector [30.03.2008|19:23] C:\Programme\Microsoft Silverlight [02.12.2007|14:30] C:\Programme\Microsoft.NET [16.12.2007|18:08] C:\Programme\Movie Maker [01.01.2009|22:28] C:\Programme\Mozilla Firefox [01.12.2007|19:56] C:\Programme\MSN [01.12.2007|19:56] C:\Programme\MSN Gaming Zone [02.12.2007|14:53] C:\Programme\Nero [16.12.2007|18:07] C:\Programme\NetMeeting [01.12.2007|19:56] C:\Programme\Online Services [01.12.2007|19:58] C:\Programme\Online-Dienste [16.12.2007|18:07] C:\Programme\Outlook Express [03.10.2008|18:57] C:\Programme\Picasa2 [17.03.2008|16:28] C:\Programme\Poster Forge [16.12.2007|18:34] C:\Programme\Realtek [31.03.2008|16:46] C:\Programme\SweetIM [01.01.2009|23:40] C:\Programme\TeamViewer3 [01.12.2007|20:05] C:\Programme\Uninstall Information [01.12.2008|17:58] C:\Programme\Windows Live [17.09.2008|13:32] C:\Programme\Windows Media Player [16.12.2007|18:07] C:\Programme\Windows NT [01.12.2007|20:04] C:\Programme\WindowsUpdate [01.12.2007|19:59] C:\Programme\xerox [29.11.2008|13:28] C:\Programme\Zylom Games [0|Datei(en)] C:\Programme\Bytes [50|Verzeichnis(se),] C:\Programme\Bytes frei --------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien [17.09.2008|13:17] C:\Programme\Gemeinsame Dateien\Adobe [02.12.2007|14:53] C:\Programme\Gemeinsame Dateien\Ahead [02.12.2007|14:18] C:\Programme\Gemeinsame Dateien\ATI Technologies [02.12.2007|14:31] C:\Programme\Gemeinsame Dateien\DESIGNER [01.12.2007|19:57] C:\Programme\Gemeinsame Dateien\Dienste [02.12.2007|20:38] C:\Programme\Gemeinsame Dateien\InstallShield [29.11.2008|15:28] C:\Programme\Gemeinsame Dateien\Microsoft Shared [01.12.2007|19:57] C:\Programme\Gemeinsame Dateien\MSSoap [02.12.2007|02:47] C:\Programme\Gemeinsame Dateien\ODBC [17.09.2008|13:33] C:\Programme\Gemeinsame Dateien\Philips [02.12.2007|02:47] C:\Programme\Gemeinsame Dateien\SpeechEngines [29.11.2008|15:36] C:\Programme\Gemeinsame Dateien\System [29.11.2008|15:19] C:\Programme\Gemeinsame Dateien\Windows Live [16.12.2007|19:11] C:\Programme\Gemeinsame Dateien\Wise Installation Wizard [0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes [16|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei --------------------\\ Process ( 31 Processes ) ... OK ! --------------------\\ Ueberpruefung mit S_Lop Kein Lop Ordner gefunden ! --------------------\\ Suche nach Lop Dateien - Ordnern Kein Lop Ordner gefunden ! --------------------\\ Suche innerhalb der Registry [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ..... OK ! --------------------\\ Ueberpruefung der Hosts Datei Hosts Datei SAUBER --------------------\\ Suche nach verborgenen Dateien mit Catchme catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-02 00:02:23 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden files: 20 --------------------\\ Suche nach anderen Infektionen C:\WINDOWS\system32\ehknqtwa.ini C:\WINDOWS\system32\ehknqtwa.ini2 C:\WINDOWS\system32\wxbcbJjl.ini C:\WINDOWS\system32\wxbcbJjl.ini2 C:\WINDOWS\system32\yFffOXyb.ini C:\WINDOWS\system32\yFffOXyb.ini2 ==> VUNDO <== [F:12076][D:192]-> C:\DOKUME~1\D*n+ja\LOKALE~1\Temp [F:465][D:0]-> C:\DOKUME~1\D*n*ja\Cookies [F:2831][D:19]-> C:\DOKUME~1\*i*oja\LOKALE~1\TEMPOR~1\content.IE5 1 - "C:\Lop SD\LopR_1.txt" - 02.01.2009| 0:03 - Option : [2] --------------------\\ Scan beendet um 0:03:13 |
|
02.01.2009, 13:40
| #22 |
| | vundo-trojanerviren! 4. F-Secure : 01/02/09 12:43:12 [Info]: BlackLight Engine 2.2.1092 initialized 01/02/09 12:43:12 [Info]: OS: 5.1 build 2600 (Service Pack 2) 01/02/09 12:43:13 [Note]: 7019 4 01/02/09 12:43:13 [Note]: 7005 0 01/02/09 12:43:27 [Note]: 7006 0 01/02/09 12:43:27 [Note]: 7011 460 01/02/09 12:43:27 [Note]: 7035 0 01/02/09 12:43:27 [Note]: 7026 0 01/02/09 12:43:27 [Note]: 7026 0 01/02/09 12:43:29 [Note]: FSRAW library version 1.7.1024 01/02/09 13:09:26 [Note]: 2000 1012 01/02/09 13:16:44 [Note]: 7007 0 Malwarebytes: Malwarebytes' Anti-Malware 1.31 Datenbank Version: 1589 Windows 5.1.2600 Service Pack 2 02.01.2009 13:37:59 mbam-log-2009-01-02 (13-37-58).txt Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|) Durchsuchte Objekte: 111609 Laufzeit: 46 minute(s), 18 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
|
02.01.2009, 14:46
| #23 |
| |  vundo-trojanerviren! 5. ComboFix ComboFix 09-01-01.01 - D*n*ja 2009-01-02 14:33:52.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1023.592 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\D*n*ja\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\abofubuz.ini c:\windows\system32\apovorif.ini c:\windows\system32\bjynmlyu.ini c:\windows\system32\crcsfgjb.ini c:\windows\system32\ehknqtwa.ini c:\windows\system32\ehknqtwa.ini2 c:\windows\system32\eknctkxo.ini c:\windows\system32\ezunogen.ini c:\windows\system32\fdafhrbx.ini c:\windows\system32\fiwevoga.dll c:\windows\system32\fjabtirm.ini c:\windows\system32\ggvnkexd.ini c:\windows\system32\gtgbyukw.ini c:\windows\system32\hjvvimxx.ini c:\windows\system32\hqcbwsxl.ini c:\windows\system32\hvuhfumg.ini c:\windows\system32\ibnvhkkv.ini c:\windows\system32\ihudajil.ini c:\windows\system32\itofibak.ini c:\windows\system32\iurvbwqr.ini c:\windows\system32\iutxpevv.ini c:\windows\system32\iwyvkueu.ini c:\windows\system32\jacwgcjp.ini c:\windows\system32\jeruvote.dll c:\windows\system32\kqwbewvc.ini c:\windows\system32\mksfrexy.ini c:\windows\system32\osanojoy.ini c:\windows\system32\osusoley.ini c:\windows\system32\qdextewu.ini c:\windows\system32\raishkpa.ini c:\windows\system32\rcpupuar.ini c:\windows\system32\sgxjhaji.ini c:\windows\system32\tdmhfsra.ini c:\windows\system32\tsnjwiiq.ini c:\windows\system32\ufidisav.ini c:\windows\system32\vbtkrinf.ini c:\windows\system32\vwkykown.ini c:\windows\system32\vxddbyix.ini c:\windows\system32\wqfgdeps.ini c:\windows\system32\wxbcbJjl.ini c:\windows\system32\wxbcbJjl.ini2 c:\windows\system32\yaagmyeh.ini c:\windows\system32\yFffOXyb.ini c:\windows\system32\yFffOXyb.ini2 c:\windows\system32\zerarapo.dll . ((((((((((((((((((((((( Dateien erstellt von 2008-12-02 bis 2009-01-02 )))))))))))))))))))))))))))))) . 2009-01-02 14:20 . 2009-01-02 14:20 <DIR> d-------- c:\programme\CCleaner 2009-01-01 23:59 . 2009-01-02 00:03 <DIR> d-------- C:\Lop SD 2009-01-01 17:02 . 2009-01-01 17:02 <DIR> d-------- c:\dokumente und einstellungen\D*n*ja\Anwendungsdaten\Malwarebytes 2009-01-01 17:02 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-01-01 17:02 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-01-01 17:01 . 2009-01-01 17:02 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-01-01 17:01 . 2009-01-01 17:01 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-12-26 12:15 . 2008-12-26 12:15 <DIR> dr------- c:\dokumente und einstellungen\LocalService\Favoriten 2008-12-24 21:16 . 2004-08-04 00:57 1,689,088 ---h---t- c:\windows\system32\ff6321.dll 2008-12-24 21:16 . 2004-08-04 00:57 1,689,088 ---h---t- c:\windows\system32\2be1b689.dll 2008-12-24 21:16 . 2004-08-04 00:57 82,944 ---h---t- c:\windows\system32\19a0a384.dll 2008-12-24 21:16 . 2004-08-04 00:57 82,944 ---h---t- c:\windows\system32\1280f2aa.dll 2008-12-24 16:49 . 2004-08-04 00:57 1,689,088 ---h---t- c:\windows\system32\d1bbf21.dll 2008-12-24 16:49 . 2004-08-04 00:57 1,689,088 ---h---t- c:\windows\system32\88627ba.dll 2008-12-24 16:49 . 2004-08-04 00:57 82,944 ---h---t- c:\windows\system32\8af074.dll 2008-12-24 16:49 . 2004-08-04 00:57 82,944 ---h---t- c:\windows\system32\36ba5010.dll 2008-12-23 13:28 . 2004-08-04 00:57 1,689,088 ---h---t- c:\windows\system32\711574b.dll 2008-12-23 13:28 . 2004-08-04 00:57 1,689,088 ---h---t- c:\windows\system32\24a26f6.dll 2008-12-23 13:28 . 2004-08-04 00:57 82,944 ---h---t- c:\windows\system32\def05ef.dll 2008-12-23 13:28 . 2004-08-04 00:57 82,944 ---h---t- c:\windows\system32\16d982b0.dll 2008-12-22 12:48 . 2004-08-04 00:57 1,689,088 ---h---t- c:\windows\system32\922971f.dll 2008-12-22 12:48 . 2004-08-04 00:57 1,689,088 ---h---t- c:\windows\system32\2c132244.dll 2008-12-22 12:48 . 2004-08-04 00:57 82,944 ---h---t- c:\windows\system32\9b31678.dll 2008-12-22 12:48 . 2004-08-04 00:57 82,944 ---h---t- c:\windows\system32\33bbe214.dll 2008-12-21 17:48 . 2004-08-04 00:57 1,689,088 ---h---t- c:\windows\system32\90c255c.dll 2008-12-21 17:48 . 2004-08-04 00:57 1,689,088 ---h---t- c:\windows\system32\1411fd2c.dll 2008-12-21 17:48 . 2004-08-04 00:57 82,944 ---h---t- c:\windows\system32\da4c096.dll 2008-12-21 17:48 . 2004-08-04 00:57 82,944 ---h---t- c:\windows\system32\37e46e.dll 2008-12-20 17:31 . 2004-08-04 00:57 1,689,088 ---h---t- c:\windows\system32\4715150.dll 2008-12-20 17:31 . 2004-08-04 00:57 1,689,088 ---h---t- c:\windows\system32\108efcd2.dll 2008-12-20 17:31 . 2004-08-04 00:57 82,944 ---h---t- c:\windows\system32\e4ce5d8.dll 2008-12-20 17:31 . 2004-08-04 00:57 82,944 ---h---t- c:\windows\system32\2e92d22.dll 2008-12-20 17:05 . 2004-08-04 00:57 1,689,088 ---h---t- c:\windows\system32\a12576e.dll 2008-12-20 17:05 . 2004-08-04 00:57 1,689,088 ---h---t- c:\windows\system32\227b7214.dll 2008-12-20 17:05 . 2004-08-04 00:57 82,944 ---h---t- c:\windows\system32\ca10ae.dll 2008-12-20 17:05 . 2004-08-04 00:57 82,944 ---h---t- c:\windows\system32\9369a3a.dll 2008-12-19 16:40 . 2008-12-19 16:40 268 --ah----- C:\sqmdata15.sqm 2008-12-19 16:40 . 2008-12-19 16:40 244 --ah----- C:\sqmnoopt15.sqm 2008-12-19 15:12 . 2004-08-04 00:57 1,689,088 ---h---t- c:\windows\system32\6d4ebc6.dll 2008-12-19 15:12 . 2004-08-04 00:57 1,689,088 ---h---t- c:\windows\system32\12a77f8a.dll 2008-12-19 15:12 . 2004-08-04 00:57 82,944 ---h---t- c:\windows\system32\48b407e.dll 2008-12-19 15:12 . 2004-08-04 00:57 82,944 ---h---t- c:\windows\system32\1d78f7f.dll 2008-12-19 15:08 . 2008-12-19 15:08 <DIR> d-------- C:\tools 2008-12-19 15:08 . 2008-12-19 15:08 <DIR> d-------- C:\de-DE 2008-12-19 12:12 . 2008-12-19 12:12 268 --ah----- C:\sqmdata14.sqm 2008-12-19 12:12 . 2008-12-19 12:12 244 --ah----- C:\sqmnoopt14.sqm 2008-12-18 20:32 . 2008-12-18 20:32 268 --ah----- C:\sqmdata13.sqm 2008-12-18 20:32 . 2008-12-18 20:32 244 --ah----- C:\sqmnoopt13.sqm 2008-12-18 17:26 . 2008-12-18 17:26 268 --ah----- C:\sqmdata12.sqm 2008-12-18 17:26 . 2008-12-18 17:26 244 --ah----- C:\sqmnoopt12.sqm 2008-12-18 17:23 . 2008-12-18 17:23 268 --ah----- C:\sqmdata11.sqm 2008-12-18 17:23 . 2008-12-18 17:23 244 --ah----- C:\sqmnoopt11.sqm 2008-12-18 16:13 . 2008-12-18 16:13 268 --ah----- C:\sqmdata10.sqm 2008-12-18 16:13 . 2008-12-18 16:13 244 --ah----- C:\sqmnoopt10.sqm 2008-12-13 17:28 . 2009-01-01 17:34 <DIR> dr------- c:\dokumente und einstellungen\LocalService\Eigene Dateien 2008-12-10 01:49 . 2008-12-10 01:49 1,639,424 --a------ C:\TubeBox.exe 2008-12-04 15:12 . 2008-12-17 14:34 <DIR> d-------- c:\programme\Messenger Plus! Live 2008-12-03 14:52 . 2008-12-03 14:52 268 --ah----- C:\sqmdata09.sqm 2008-12-03 14:52 . 2008-12-03 14:52 244 --ah----- C:\sqmnoopt09.sqm 2008-12-02 20:44 . 2008-12-02 20:44 268 --ah----- C:\sqmdata08.sqm 2008-12-02 20:44 . 2008-12-02 20:44 244 --ah----- C:\sqmnoopt08.sqm 2008-12-02 17:12 . 2008-12-02 17:12 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Messenger Plus! 2008-12-02 15:45 . 2008-12-02 15:45 268 --ah----- C:\sqmdata07.sqm 2008-12-02 15:45 . 2008-12-02 15:45 244 --ah----- C:\sqmnoopt07.sqm . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-01 22:40 --------- d-----w c:\programme\TeamViewer3 2009-01-01 19:35 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater 2008-12-02 14:40 --------- d-----w c:\programme\LingoPad 2008-12-01 16:58 --------- d-----w c:\programme\Windows Live 2008-11-29 14:36 --------- d-----w c:\programme\Microsoft Office Outlook Connector 2008-11-29 14:29 --------- d-----w c:\programme\Microsoft 2008-11-29 14:19 --------- d-----w c:\programme\Gemeinsame Dateien\Windows Live 2008-11-29 12:28 --------- d-----w c:\programme\Zylom Games 2008-01-04 21:07 406 ----a-w c:\dokumente und einstellungen\D*n*ja\harubo.exe 2008-01-04 11:32 406 ----a-w c:\dokumente und einstellungen\D*n*ja\nkynci.exe 2008-01-04 09:56 406 ----a-w c:\dokumente und einstellungen\D*n*ja\ndmohw.exe 2008-01-04 08:49 406 ----a-w c:\dokumente und einstellungen\D*n*ja\zechsj.exe 1601-01-01 00:12 5,120 --sha-w c:\windows\system32\luvigaki.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{EEE6C35D-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll" [2008-03-27 173368] [HKEY_CLASSES_ROOT\clsid\{eee6c35d-6118-11dc-9c72-001320c79847}] [HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook.1] [HKEY_CLASSES_ROOT\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}] [HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2008-03-27 1164600] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] "{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2008-03-27 1164600] [HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}] [HKEY_CLASSES_ROOT\SWEETIE.SWEETIE.3] [HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}] [HKEY_CLASSES_ROOT\SWEETIE.SWEETIE] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-09-03 94208] "MsnMsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] "Picasa Media Detector"="c:\programme\Picasa2\PicasaMediaDetector.exe" [2008-08-21 443968] "ICQ"="c:\programme\ICQ6\ICQ.exe" [2008-09-01 173304] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112] "NeroFilterCheck"="c:\windows\System32\NeroCheck.exe" [2001-07-09 155648] "avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-26 266497] "Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 63712] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672] "RTHDCPL"="RTHDCPL.EXE" [2006-09-12 c:\windows\RTHDCPL.exe] "SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\ICQ6\\ICQ.exe"= "c:\\Dokumente und Einstellungen\\D*n*ja\\Application Data\\PowerChallenge\\PowerSoccer\\PowerSoccer.exe"= "c:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\avscan.exe"= "c:\\WINDOWS\\system32\\spoolsv.exe"= "c:\\Programme\\Google\\Common\\Google Updater\\GoogleUpdaterService.exe"= "c:\\WINDOWS\\Microsoft.NET\\Framework\\v2.0.50727\\mscorsvw.exe"= "c:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.2\\Apps\\apdproxy.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "c:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\sched.exe"= . - - - - Entfernte verwaiste Registrierungseinträge - - - - BHO-{053E41D0-D579-4511-8FBF-FA6F95C0DBEE} - (no file) HKLM-Run-NWEReboot - (no file) . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxp://google.de/ mStart Page = hxp://home.sweetim.com uInternet Connection Wizard,ShellNext = iexplore IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\D*n*ja\Anwendungsdaten\Mozilla\Firefox\Profiles\zm05328d.default\ FF - prefs.js: browser.search.selectedEngine - ICQ Search FF - prefs.js: browser.startup.homepage - hxp://de.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de  fficialFF - prefs.js: keyword.URL - hxp://search.icq.com/search/afe_results.php?ch_id=afex&q= FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll FF - plugin: c:\programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npigl.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll FF - plugin: c:\programme\Picasa2\npPicasa2.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, htp://www.gmer.net Rootkit scan 2009-01-02 14:36:25 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(732) c:\windows\system32\Ati2evxx.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\ati2evxx.exe c:\windows\system32\ati2evxx.exe c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe c:\windows\system32\wdfmgr.exe c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-01-02 14:38:36 - PC wurde neu gestartet [D*n*ja] ComboFix-quarantined-files.txt 2009-01-02 13:38:33 Vor Suchlauf: 13 Verzeichnis(se), 20.151.934.976 Bytes frei Nach Suchlauf: 13 Verzeichnis(se), 22,319,828,992 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn 247 |
|
02.01.2009, 14:54
| #24 |
| |  vundo-trojanerviren! 6. aktuellstes Logfile Hijack Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:50:56, on 02.01.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\Programme\Windows Live\Messenger\MsnMsgr.Exe C:\Programme\Picasa2\PicasaMediaDetector.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\D*n*ja\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - htp://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - htp://messenger.zone.msn.com/binary/ZIntro.cab56649.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - htp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe -- End of file - 5678 bytes |
|
02.01.2009, 16:50
| #25 |
| | vundo-trojanerviren! Starte HJT => Do a system scan only => Markiere: Code:
ATTFilter R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code:
ATTFilter C:\TubeBox.exe
c:\windows\system32\ff6321.dll
c:\windows\system32\19a0a384.dll
Zeigt der Rechner noch Auffälligkeiten? ciao, andreas |
|
02.01.2009, 18:35
| #26 |
| | vundo-trojanerviren! Der Rechner an sich macht keine Auffälligkeiten aber das System braucht länger (als normalerweise) eine Seite(z.B youtube ,...) zu erreichen. Ich vermute schon,dass nach dem installieren vom MSN PLUS war.  1.Tubebox: Datei TubeBox.exe empfangen 2009.01.02 18:13:55 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/38 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit ist zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.73 2009.01.02 - AhnLab-V3 2008.12.31.0 2009.01.02 - AntiVir 7.9.0.45 2009.01.02 - Authentium 5.1.0.4 2009.01.02 - Avast 4.8.1281.0 2009.01.02 - AVG 8.0.0.199 2009.01.02 - BitDefender 7.2 2009.01.02 - CAT-QuickHeal 10.00 2009.01.02 - ClamAV 0.94.1 2009.01.02 - Comodo 859 2009.01.01 - DrWeb 4.44.0.09170 2009.01.02 - eTrust-Vet 31.6.6287 2009.01.01 - Ewido 4.0 2008.12.31 - F-Prot 4.4.4.56 2009.01.02 - F-Secure 8.0.14470.0 2009.01.02 - Fortinet 3.117.0.0 2009.01.02 - GData 19 2009.01.02 - Ikarus T3.1.1.45.0 2009.01.02 - K7AntiVirus 7.10.572 2009.01.02 - Kaspersky 7.0.0.125 2009.01.02 - McAfee 5481 2009.01.02 - McAfee+Artemis 5481 2009.01.01 - Microsoft 1.4205 2009.01.02 - NOD32 3732 2009.01.02 - Norman 5.80.02 2009.01.02 - Panda 9.0.0.4 2009.01.02 - PCTools 4.4.2.0 2009.01.02 - Prevx1 V2 2009.01.02 - Rising 21.10.22.00 2008.12.31 - SecureWeb-Gateway 6.7.6 2009.01.02 - Sophos 4.37.0 2009.01.02 - Sunbelt 3.2.1809.2 2008.12.22 - Symantec 10 2009.01.02 - TheHacker 6.3.1.4.204 2009.01.02 - TrendMicro 8.700.0.1004 2009.01.02 - VBA32 3.12.8.10 2009.01.01 - ViRobot 2008.12.30.1540 2008.12.31 - VirusBuster 4.5.11.0 2009.01.01 - weitere Informationen File size: 1639424 bytes MD5...: bae907354036a97f9846466adde0d013 SHA1..: b752bbb659cd620525925a7aa46d02311f3241af SHA256: 44ce472e30c360d8966159fd453e3557620e39544c7a28df0797d2a98f04fd1a SHA512: f1225b90a6e8cb2564b9b1b7900597d745d113e992ec3695d250bdd90304a59a 35db6367c1e80109f15dc42af589e349d2b66276769ec441f553d566f3ed6b22 ssdeep: 12288:hqJpbh4oehMIjoK5h4oehMIjoKQYpfDvsh4oehMIjoK1h4oehMIjoK1mEM JLD:hEbhx0Mshx0MupTshx0Mohx0MowD PEiD..: - TrID..: File type identification Generic CIL Executable (.NET, Mono, etc.) (74.0%) Windows Screen Saver (13.2%) Win32 Executable Generic (8.6%) Generic Win/DOS Executable (2.0%) DOS Executable Generic (2.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x5919be timedatestamp.....: 0x493f1233 (Wed Dec 10 00:49:55 2008) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x2000 0x18f9c4 0x18fa00 4.38 0c78e4df03035ab1d926990f896f7f6d .rsrc 0x192000 0x530 0x600 3.93 bf66ccfccf467612d38c69a180bd97e0 .reloc 0x194000 0xc 0x200 0.10 27583d6bd84c5d1d644f64084ada0003 ( 1 imports ) > mscoree.dll: _CorExeMain ( 0 exports ) 2.c:\windows\system32\ff6321.dll Datei ff6321.dll empfangen 2009.01.02 18:30:18 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/38 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 2. Geschätzte Startzeit ist zwischen 46 und 66 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.73 2009.01.02 - AhnLab-V3 2008.12.31.0 2009.01.02 - AntiVir 7.9.0.45 2009.01.02 - Authentium 5.1.0.4 2009.01.02 - Avast 4.8.1281.0 2009.01.02 - AVG 8.0.0.199 2009.01.02 - BitDefender 7.2 2009.01.02 - CAT-QuickHeal 10.00 2009.01.02 - ClamAV 0.94.1 2009.01.02 - Comodo 866 2009.01.02 - DrWeb 4.44.0.09170 2009.01.02 - eTrust-Vet 31.6.6287 2009.01.01 - Ewido 4.0 2008.12.31 - F-Prot 4.4.4.56 2009.01.02 - F-Secure 8.0.14470.0 2009.01.02 - Fortinet 3.117.0.0 2009.01.02 - GData 19 2009.01.02 - Ikarus T3.1.1.45.0 2009.01.02 - K7AntiVirus 7.10.572 2009.01.02 - Kaspersky 7.0.0.125 2009.01.02 - McAfee 5481 2009.01.02 - McAfee+Artemis 5481 2009.01.01 - Microsoft 1.4205 2009.01.02 - NOD32 3732 2009.01.02 - Norman 5.80.02 2009.01.02 - Panda 9.0.0.4 2009.01.02 - PCTools 4.4.2.0 2009.01.02 - Prevx1 V2 2009.01.02 - Rising 21.10.22.00 2008.12.31 - SecureWeb-Gateway 6.7.6 2009.01.02 - Sophos 4.37.0 2009.01.02 - Sunbelt 3.2.1809.2 2008.12.22 - Symantec 10 2009.01.02 - TheHacker 6.3.1.4.204 2009.01.02 - TrendMicro 8.700.0.1004 2009.01.02 - VBA32 3.12.8.10 2009.01.01 - ViRobot 2008.12.30.1540 2008.12.31 - VirusBuster 4.5.11.0 2009.01.01 - weitere Informationen File size: 1689088 bytes MD5...: 20ae7889467887b869f30308eeed9a2a SHA1..: 5c60289e95c6824d845b4856e9f73da654132d00 SHA256: 4d9ac6a0813cc60e47aa44992b84c97fed9809f22a9bfb86b0a1f460f788c97c SHA512: b6798dc076789041ede7da859d45a6bd1ec02281c4d0fdc38471fa889e1fe9a8 7656d8f85ca397987f27da274cf9a4dbf3cafcf2e6bdac43b88a6ab069b5721f ssdeep: 49152:THrOgNvW94HIfzd+WKFMNZpE+NjZ/CTeIY6lMnr:dNvfHIfrKajCM PEiD..: - TrID..: File type identification Win64 Executable Generic (59.6%) Win32 Executable MS Visual C++ (generic) (26.2%) Win32 Executable Generic (5.9%) Win32 Dynamic Link Library (generic) (5.2%) Generic Win/DOS Executable (1.3%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4fdcf772 timedatestamp.....: 0x41109647 (Wed Aug 04 07:54:47 2004) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x18a549 0x18a600 6.68 05d454d6baaf97bdb313c33a37e9c6d2 .data 0x18c000 0xa0c4 0x4600 4.93 41cf83c32813e1295463348114c9ef11 .rsrc 0x197000 0x3f0 0x400 3.38 45935d9b445ad484c59852e2860689a4 .reloc 0x198000 0xd1a2 0xd200 6.00 38f1de9db0a645459bf09fb8ebb6a015 ( 8 imports ) > d3d8thk.dll: OsThunkDdSetGammaRamp, OsThunkDdCreateSurfaceEx, OsThunkDdCreateSurface, OsThunkDdCreateD3DBuffer, OsThunkDdAttachSurface, OsThunkDdCreateSurfaceObject, OsThunkDdCanCreateSurface, OsThunkDdCanCreateD3DBuffer, OsThunkD3dContextCreate, OsThunkD3dContextDestroy, OsThunkD3dContextDestroyAll, OsThunkDdGetDriverState, OsThunkD3dValidateTextureStageState, OsThunkD3dDrawPrimitives2, OsThunkDdGetScanLine, OsThunkDdQueryDirectDrawObject, OsThunkDdBlt, OsThunkDdReenableDirectDrawObject, OsThunkDdFlip, OsThunkDdGetDC, OsThunkDdDeleteDirectDrawObject, OsThunkDdGetDriverInfo, OsThunkDdQueryMoCompStatus, OsThunkDdRenderMoComp, OsThunkDdEndMoCompFrame, OsThunkDdBeginMoCompFrame, OsThunkDdDestroyMoComp, OsThunkDdCreateMoComp, OsThunkDdGetMoCompBuffInfo, OsThunkDdGetInternalMoCompInfo, OsThunkDdGetMoCompFormats, OsThunkDdGetMoCompGuids, OsThunkDdGetAvailDriverMemory, OsThunkDdFlipToGDISurface, OsThunkDdSetExclusiveMode, OsThunkDdWaitForVerticalBlank, OsThunkDdGetFlipStatus, OsThunkDdGetBltStatus, OsThunkDdUnlock, OsThunkDdUnlockD3D, OsThunkDdLock, OsThunkDdLockD3D, OsThunkDdResetVisrgn, OsThunkDdReleaseDC, OsThunkDdDeleteSurfaceObject, OsThunkDdDestroySurface, OsThunkDdDestroyD3DBuffer > msvcrt.dll: _onexit, __dllonexit, _except_handler3, _terminate@@YAXXZ, __1type_info@@UAE@XZ, _adjust_fdiv, _initterm, memmove, realloc, free, malloc, strstr, isalnum, sscanf, _purecall, _strlwr, wcsrchr, atoi, ceil, _stricmp, _vsnprintf, floor, _CIpow, __CxxFrameHandler, _ftol, _snprintf, qsort, _what@exception@@UBEPBDXZ, __0exception@@QAE@ABQBD@Z, __1exception@@UAE@XZ, fflush, fwrite, __0exception@@QAE@ABV0@@Z, fopen, sprintf, strchr, __0exception@@QAE@XZ, fclose, calloc, _CxxThrowException > USER32.dll: PtInRect, GetCursorPos, SetCursorPos, GetCursor, SetCursor, DestroyIcon, GetDesktopWindow, GetWindowDC, CreateIconIndirect, mouse_event, SetForegroundWindow, SetRect, GetClientRect, ClientToScreen, EnumDisplaySettingsA, OffsetRect, IntersectRect, GetSystemMetrics, LoadStringA, GetMonitorInfoA, GetDC, ReleaseDC, SystemParametersInfoA, GetUserObjectInformationA, CloseDesktop, GetThreadDesktop, IsWindow, GetWindowThreadProcessId, KillTimer, SetWindowLongA, CallWindowProcA, SendMessageA, IsIconic, PostMessageA, GetWindowLongA, GetKeyState, DefWindowProcA, SetWindowPos, GetForegroundWindow, IsWindowVisible, ShowWindow, IsZoomed, SetTimer, ChangeDisplaySettingsA, wsprintfA, OpenInputDesktop > ADVAPI32.dll: RegDeleteValueA, RegCreateKeyExA, RegSetValueExA, RegQueryInfoKeyA, RegEnumValueA, RegOpenKeyA, GetSidLengthRequired, InitializeSid, GetSidSubAuthority, GetLengthSid, InitializeAcl, AddAccessAllowedAce, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, RegOpenKeyExA, RegQueryValueExA, RegCloseKey > VERSION.dll: GetFileVersionInfoA, GetFileVersionInfoSizeA, VerQueryValueA > WINMM.dll: timeEndPeriod, timeBeginPeriod > GDI32.dll: DeleteDC, GetNearestColor, CreateDCA, GdiEntry13, GetRegionData, DeleteObject, GetRandomRgn, CreateRectRgn, GetDIBits, CreateCompatibleBitmap, GetDeviceGammaRamp, SelectObject, CreateDIBSection, CreateCompatibleDC, StretchBlt, SetStretchBltMode, BitBlt, GdiEntry1, GetSystemPaletteEntries, CreateDIBitmap, GetDeviceCaps > KERNEL32.dll: Sleep, QueryPerformanceFrequency, QueryPerformanceCounter, GetTickCount, LocalFree, LocalAlloc, VerSetConditionMask, VerifyVersionInfoA, LeaveCriticalSection, GetCurrentThread, SetThreadPriority, ResumeThread, SetThreadAffinityMask, GetProcessAffinityMask, GetTempPathA, TlsGetValue, TlsSetValue, GetEnvironmentVariableA, TlsAlloc, CreateEventA, CreateThread, ExitThread, SetEvent, WaitForMultipleObjects, VirtualProtect, VirtualAlloc, VirtualFree, IsProcessorFeaturePresent, DebugBreak, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, EnterCriticalSection, CreateSemaphoreA, WaitForSingleObject, ReleaseSemaphore, CloseHandle, WideCharToMultiByte, GetVersionExA, CreateFileA, MultiByteToWideChar, SetFilePointer, ReadFile, MoveFileA, DeleteFileA, WriteFile, GetFileSize, GetModuleFileNameA, GetPrivateProfileStringA, ConnectNamedPipe, SetNamedPipeHandleState, DisconnectNamedPipe, FlushFileBuffers, ReleaseMutex, PeekNamedPipe, TransactNamedPipe, WaitNamedPipeA, CreateNamedPipeA, GetSystemInfo, GetCurrentThreadId, lstrcmpA, GetLastError, InterlockedIncrement, DeleteCriticalSection, InitializeCriticalSection, FreeLibrary, GetProcAddress, LoadLibraryA, InterlockedExchange, SetErrorMode, InterlockedDecrement, GetSystemDirectoryA, GetModuleHandleA, lstrcpynA, OutputDebugStringA, OpenMutexA, CreateMutexA, DisableThreadLibraryCalls, GetCurrentProcessId, InterlockedCompareExchange ( 14 exports ) CheckFullscreen, D3DPERF_BeginEvent, D3DPERF_EndEvent, D3DPERF_GetStatus, D3DPERF_QueryRepeatFrame, D3DPERF_SetMarker, D3DPERF_SetOptions, D3DPERF_SetRegion, DebugSetLevel, DebugSetMute, Direct3DCreate9, Direct3DShaderValidatorCreate9, PSGPError, PSGPSampleTexture |
|
02.01.2009, 18:39
| #27 |
| | vundo-trojanerviren! 3. c:\windows\system32\19a0a384.dll Datei 19a0a384.dll empfangen 2009.01.02 18:36:11 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/38 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit ist zwischen 38 und 55 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.73 2008.12.31 - AhnLab-V3 2008.12.31.0 2009.01.02 - AntiVir 7.9.0.45 2009.01.02 - Authentium 5.1.0.4 2009.01.02 - Avast 4.8.1281.0 2009.01.02 - AVG 8.0.0.199 2008.12.31 - BitDefender 7.2 2009.01.02 - CAT-QuickHeal 10.00 2009.01.02 - ClamAV 0.94.1 2009.01.02 - Comodo 851 2008.12.31 - DrWeb 4.44.0.09170 2009.01.02 - eTrust-Vet 31.6.6287 2009.01.01 - Ewido 4.0 2008.12.31 - F-Prot 4.4.4.56 2008.12.30 - F-Secure 8.0.14470.0 2009.01.02 - Fortinet 3.117.0.0 2009.01.02 - GData 19 2008.12.31 - Ikarus T3.1.1.45.0 2009.01.02 - K7AntiVirus 7.10.572 2008.12.31 - Kaspersky 7.0.0.125 2009.01.02 - McAfee 5481 2009.01.02 - McAfee+Artemis 5479 2008.12.30 - Microsoft 1.4205 2009.01.02 - NOD32 3725 2008.12.31 - Norman 5.80.02 2009.01.02 - Panda 9.0.0.4 2009.01.02 - PCTools 4.4.2.0 2008.12.31 - Prevx1 V2 2009.01.02 - Rising 21.10.22.00 2008.12.31 - SecureWeb-Gateway 6.7.6 2008.12.31 - Sophos 4.37.0 2009.01.02 - Sunbelt 3.2.1809.2 2008.12.22 - Symantec 10 2008.12.31 - TheHacker 6.3.1.4.204 2009.01.02 - TrendMicro 8.700.0.1004 2008.12.31 - VBA32 3.12.8.10 2009.01.01 - ViRobot 2008.12.30.1540 2008.12.31 - VirusBuster 4.5.11.0 2009.01.01 - weitere Informationen File size: 82944 bytes MD5...: d569240a22421d5f670bb6fb6dd522b5 SHA1..: 19574ad4c8c92e14de6b8f16920b49a52b6a99fa SHA256: 972f85eeded855bdf44454c1d1b9006f2620fab08327c85db4bfdb47a2d132db SHA512: 5d6a89fa38a8808a8c4b952936004493b48b053577572b8acdbdd3f1c5f1a988 bb28a4378873e193901652cc6dd5997375d019608a44a25bf2ddd5cc97aeb10f ssdeep: 1536:0gERfBbqAxmlwT8xDPqlQd1aglJJ174a7bc0TnZEtR:0lRdM08xrqlQdogl J7nZEtR PEiD..: - TrID..: File type identification Win64 Executable Generic (59.6%) Win32 Executable MS Visual C++ (generic) (26.2%) Win32 Executable Generic (5.9%) Win32 Dynamic Link Library (generic) (5.2%) Generic Win/DOS Executable (1.3%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x71a11273 timedatestamp.....: 0x41109705 (Wed Aug 04 07:57:57 2004) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x12133 0x12200 6.50 396a08a8b5128fae75bbde5ec89a40de .data 0x14000 0x8ec 0xa00 4.89 94cb6cf5c810e71439a2291cc27845b6 .rsrc 0x15000 0x408 0x600 2.52 fe1cb76d56aa093f18342ef6f0c8c13c .reloc 0x16000 0xdc8 0xe00 6.64 99068bef4dc1e8e4763b2883411500a5 ( 5 imports ) > msvcrt.dll: __isascii, isspace, _except_handler3, sprintf, _adjust_fdiv, malloc, _initterm, free, _stricmp, fclose, fgets, atoi, strchr, fopen, wcscpy, strtoul, wcscmp, wcslen, wcschr > ntdll.dll: RtlIpv4StringToAddressW, RtlIpv6StringToAddressExW, RtlIpv4StringToAddressA > WS2HELP.dll: WahCompleteRequest, WahQueueUserApc, WahEnableNonIFSHandleSupport, WahDisableNonIFSHandleSupport, WahCreateSocketHandle, WahNotifyAllProcesses, WahCreateNotificationHandle, WahWaitForNotification, WahOpenCurrentThread, WahCloseThread, WahInsertHandleContext, WahRemoveHandleContext, WahDestroyHandleContextTable, WahCreateHandleContextTable, WahEnumerateHandleContexts, WahCloseApcHelper, WahCloseHandleHelper, WahCloseNotificationHandleHelper, WahOpenNotificationHandleHelper, WahOpenHandleHelper, WahOpenApcHelper, WahCloseSocketHandle, WahReferenceContextByHandle > ADVAPI32.dll: RegNotifyChangeKeyValue, RegDeleteKeyA, RegSetValueExA, RegQueryValueExA, RegOpenKeyExA, RegCreateKeyExA, RegCloseKey, RegEnumKeyExA > KERNEL32.dll: GetTickCount, QueryPerformanceCounter, lstrcmpA, HeapReAlloc, HeapFree, HeapAlloc, InterlockedCompareExchange, IsBadWritePtr, GetEnvironmentVariableA, GetComputerNameA, GetVersionExA, GetSystemDirectoryA, GetWindowsDirectoryA, WaitForMultipleObjectsEx, ResetEvent, IsBadReadPtr, TlsSetValue, GetHandleInformation, ExpandEnvironmentStringsA, InterlockedExchange, GetCurrentThreadId, TlsAlloc, GetSystemInfo, HeapCreate, GetProcessHeap, HeapDestroy, TlsFree, lstrlenA, lstrcpyA, IsBadCodePtr, GetProcAddress, CreateEventA, GetModuleFileNameA, LoadLibraryA, CreateThread, FreeLibrary, WaitForSingleObject, CloseHandle, FreeLibraryAndExitThread, EnterCriticalSection, SetEvent, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, SwitchToThread, SetLastError, DelayLoadFailureHook, TlsGetValue, InterlockedDecrement, GetLastError, WideCharToMultiByte, MultiByteToWideChar, InitializeCriticalSection, DeleteCriticalSection, InterlockedIncrement, LeaveCriticalSection ( 117 exports ) FreeAddrInfoW, GetAddrInfoW, GetNameInfoW, WEP, WPUCompleteOverlappedRequest, WSAAccept, WSAAddressToStringA, WSAAddressToStringW, WSAAsyncGetHostByAddr, WSAAsyncGetHostByName, WSAAsyncGetProtoByName, WSAAsyncGetProtoByNumber, WSAAsyncGetServByName, WSAAsyncGetServByPort, WSAAsyncSelect, WSACancelAsyncRequest, WSACancelBlockingCall, WSACleanup, WSACloseEvent, WSAConnect, WSACreateEvent, WSADuplicateSocketA, WSADuplicateSocketW, WSAEnumNameSpaceProvidersA, WSAEnumNameSpaceProvidersW, WSAEnumNetworkEvents, WSAEnumProtocolsA, WSAEnumProtocolsW, WSAEventSelect, WSAGetLastError, WSAGetOverlappedResult, WSAGetQOSByName, WSAGetServiceClassInfoA, WSAGetServiceClassInfoW, WSAGetServiceClassNameByClassIdA, WSAGetServiceClassNameByClassIdW, WSAHtonl, WSAHtons, WSAInstallServiceClassA, WSAInstallServiceClassW, WSAIoctl, WSAIsBlocking, WSAJoinLeaf, WSALookupServiceBeginA, WSALookupServiceBeginW, WSALookupServiceEnd, WSALookupServiceNextA, WSALookupServiceNextW, WSANSPIoctl, WSANtohl, WSANtohs, WSAProviderConfigChange, WSARecv, WSARecvDisconnect, WSARecvFrom, WSARemoveServiceClass, WSAResetEvent, WSASend, WSASendDisconnect, WSASendTo, WSASetBlockingHook, WSASetEvent, WSASetLastError, WSASetServiceA, WSASetServiceW, WSASocketA, WSASocketW, WSAStartup, WSAStringToAddressA, WSAStringToAddressW, WSAUnhookBlockingHook, WSAWaitForMultipleEvents, WSApSetPostRoutine, WSCDeinstallProvider, WSCEnableNSProvider, WSCEnumProtocols, WSCGetProviderPath, WSCInstallNameSpace, WSCInstallProvider, WSCUnInstallNameSpace, WSCUpdateProvider, WSCWriteNameSpaceOrder, WSCWriteProviderOrder, __WSAFDIsSet, accept, bind, closesocket, connect, freeaddrinfo, getaddrinfo, gethostbyaddr, gethostbyname, gethostname, getnameinfo, getpeername, getprotobyname, getprotobynumber, getservbyname, getservbyport, getsockname, getsockopt, htonl, htons, inet_addr, inet_ntoa, ioctlsocket, listen, ntohl, ntohs, recv, recvfrom, select, send, sendto, setsockopt, shutdown, socket CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=d569240a22421d5f670bb6fb6dd522b5' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=d569240a22421d5f670bb6fb6dd522b5</a> |
|
02.01.2009, 18:49
| #28 |
| | vundo-trojanerviren! Start => Ausführen => combofix /u (aufs Leerzeichen achten!) => OK Deinstalliere/lösche alle anderen Programme, die wir eingesetzt haben. Teamviewer kannst du wieder installieren. Systemwiederherstellung aktivieren und ein neuen Wiederherstellungspunkt setzen. ciao, andreas |
|
02.01.2009, 19:40
| #29 | |
| | vundo-trojanerviren!Zitat:
ist jetzt der Trojaner weg? dakeeschönn für deine Hilfee.!!! |
|
02.01.2009, 20:02
| #30 | |
| | vundo-trojanerviren! Du solltest in Zukunft dein System besser warten. SP3 gibt es hier: Downloaddetails: Windows XP Service Pack 3 MSIE7 hier: Internet Explorer 7: Jetzt herunterladen Schau mal bei Secunia vorbei: Scan Now - Online (OSI) - Vulnerability Scanning - Secunia.com Für Secunia benötigst du Java: Download der Java-Software von Sun Microsystems Zitat:
ciao, andreas |
|
| Themen zu vundo-trojanerviren! |
| .dll, antivir, avg, avgnt.exe, ccc.exe, content.ie5, einstellungen, handel, host.exe, iexplore.exe, internet, logon.exe, microsoft, modul, mom.exe, neu, nt.dll, ordner, problem, programme, prozesse, registry, rthdcpl.exe, sched.exe, services.exe, suchlauf, svchost.exe, system, system 32, trojaner, trojaner entferne, verweise, viren, virus, virus gefunden, warnung, windows, winlogon.exe |
Linear-Darstellung
