|
Log-Analyse und Auswertung: Ungebetener Gast: Midnight Oil Spyware/Adware bzw. BDS/Prorat.crh ?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
09.01.2009, 16:54 | #1 |
| Ungebetener Gast: Midnight Oil Spyware/Adware bzw. BDS/Prorat.crh ? Hallo. Vorweg: Ich benutze Windows XP (SP2), Firefox 3.0.5 und AntiVir. Ich habe mir einen Trojaner gefangen, indem ich eine fragwürdige .exe-Datei aus dem Netz gezogen habe und darauf gesetzt habe, dass AntiVir die Datei nichts machen lässt, wenn sie etwas versuchen sollte, das ich nicht will. Leider war das eine Fehlentscheidung. Zwar habe ich eine Meldung von AntiVir erhalten, dass die Datei den Trojaner BDS/Prorat.crh enthält, aber direkt nachdem sie vollständig geladen war, ist die Datei verschwunden. In der Quarantäne von AntiVir ist nichts und im Zielordner ebenfalls nicht. Die Logfileauswertung von HijackThis blieb ergebnislos: Code:
ATTFilter Logfile of HijackThis v1.99.1 Scan saved at 16:10:15, on 09.01.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RUNDLL32.EXE D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\Imgtask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Sinus 154 stick\Wifiusb.exe C:\WINDOWS\system32\wuauclt.exe D:\Programme\HijackThis\HijackThis.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ImgTask] C:\WINDOWS\Imgtask.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Sinus 154 stick WLAN Manager.lnk = ? O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O15 - Trusted Zone: *.rapidshare.com O15 - Trusted Zone: *.rapidshare.de O15 - Trusted Zone: *.utorrent.com O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe Anschließend habe ich also im Abgesicherten Modus eScan über mein System laufen lassen, das "Midnight Oil Spyware/Adware" gefunden hat: Code:
ATTFilter ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2008.03.07 Microsoft Windows XP [Version 5.1.2600] Bootmodus: Normal eScan Version: 10.0.60 Sprache: German C:\DOKUME~1\MeinUserName\LOKALE~1\Temp\MWAV.LOG ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei D:\System Volume Information\_restore{27FF9E07-D66C-4E36-9AF9-1FBF3AFC1587}\RP295\A0041206.exe infiziert durch den Virus "NULL.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Datei D:\System Volume Information\_restore{27FF9E07-D66C-4E36-9AF9-1FBF3AFC1587}\RP295\A0041247.exe markiert als "not-a-virus:AdWare.Win32.Gator.3202". Maßnahme ergriffen: Keine Maßnahme ergriffen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Spyware (Vorsicht: Oft Fehlalarm!) ~~~~~~~~~~~ Scannen Spyware: Aktiviert ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft ***** Indexed Spyware Databases Successfully Created... Objekt "Midnight Oil Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKCU\Software\Midnight Oil !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ laufende Prozesse - commandline ~~~~~~~~~~~~~~~~~~~~~~ System Idle Process - System - smss.exe - \SystemRoot\System32\smss.exe csrss.exe - winlogon.exe - winlogon.exe services.exe - C:\WINDOWS\system32\services.exe lsass.exe - C:\WINDOWS\system32\lsass.exe svchost.exe - C:\WINDOWS\system32\svchost -k DcomLaunch svchost.exe - svchost.exe - C:\WINDOWS\system32\svchost.exe -k netsvcs explorer.exe - C:\WINDOWS\Explorer.EXE mexe.com - "C:\DOKUME~1\MeinUserName\LOKALE~1\Temp\mexe.com" ScanningProcess.exe - cmd.exe - cmd /c ""D:\find.bat" " cscript.exe - cscript C:\escan\prclst.vbs //nologo wmiprvse.exe - ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ERROR!!! Invalid Entry %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe in HKLM\SYSTEM\CurrentControlSet\Services\aspnet_state. Action Taken: No Action Taken. ERROR!!! Invalid Entry \??\E:\INSTALL\GMSIPCI.SYS in HKLM\SYSTEM\CurrentControlSet\Services\GMSIPCI. Action Taken: No Action Taken. ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\QuickTime 7.2.0.240\QuickTime.msi Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinSdBotaad.zip: Scanning Failure!!! ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinSdBotaad.zip Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinSdBotaad1.zip: Scanning Failure!!! ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinSdBotaad1.zip ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\MeinUserName\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\MeinUserName\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\MeinUserName\NTUSER.DAT ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\MeinUserName\ntuser.dat.LOG ERROR(3)!!! ScanFile fails for C:\pagefile.sys ERROR(3)!!! ScanFile fails for C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\1031\OWCVBA10.CHM ERROR(3)!!! ScanFile fails for C:\Programme\Java\jre1.6.0_02\lib\rt.jar ERROR(3)!!! ScanFile fails for C:\Programme\Microsoft Office\Office10\1031\ACMAIN10.CHM ERROR(3)!!! ScanFile fails for C:\Programme\Microsoft Office\Office10\1031\VBAAC10.CHM ERROR(3)!!! ScanFile fails for C:\Programme\Microsoft Office\Office10\1031\VBAWD10.CHM ERROR(3)!!! ScanFile fails for C:\Programme\Microsoft Office\Office10\1031\VBAXL10.CHM ERROR(3)!!! ScanFile fails for C:\Programme\MSECache\PPTViewer\ppviewer.cab ERROR(3)!!! ScanFile fails for C:\WINDOWS\$NtServicePackUninstall$\embxnfj7.zip ERROR(3)!!! ScanFile fails for C:\WINDOWS\$NtServicePackUninstall$\h75rv575.zip ERROR(3)!!! ScanFile fails for C:\WINDOWS\Driver Cache\i386\driver.cab ERROR(3)!!! ScanFile fails for C:\WINDOWS\Driver Cache\i386\sp2.cab ERROR(3)!!! ScanFile fails for C:\WINDOWS\ServicePackFiles\i386\sp2.cab ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\default ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\default.LOG ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SAM ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SAM.LOG ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY.LOG ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\software ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\software.LOG ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\system ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\system.LOG ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\dllcache\tourW.exe ERROR(3)!!! ScanFile fails for D:\mwav.exe ERROR(3)!!! ScanFile fails for D:\System Volume Information\_restore{27FF9E07-D66C-4E36-9AF9-1FBF3AFC1587}\RP295\A0041244.exe ERROR(3)!!! ScanFile fails for D:\System Volume Information\_restore{27FF9E07-D66C-4E36-9AF9-1FBF3AFC1587}\RP295\A0041245.exe ERROR(3)!!! ScanFile fails for D:\System Volume Information\_restore{27FF9E07-D66C-4E36-9AF9-1FBF3AFC1587}\RP295\A0041246.exe ERROR(3)!!! ScanFile fails for D:\System Volume Information\_restore{B5161474-1564-4673-97F0-17BD929FAE40}\RP468\A0313156.exe ERROR(3)!!! ScanFile fails for D:\System Volume Information\_restore{B5161474-1564-4673-97F0-17BD929FAE40}\RP485\A0324107.exe ERROR(3)!!! ScanFile fails for D:\System Volume Information\_restore{D2E1E55E-1F90-4528-9D4A-481314B341FD}\RP158\A0033239.exe ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts: C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 localhost ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Zahl der gescannten Objekte: 465191 Zahl der kritischen Objekte: 11 Zahl der desinfizierten Objekte: 0 Zahl der umbenannten Objekte: 0 Zahl der gelöschten Objekte: 0 Zeit verstrichen: 05:25:11 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Speicherüberprüfung: Aktiviert Überprüfung der Registrierungsdatenbank: Aktiviert Überprüfung des Startordners: Aktiviert Überprüfung des Systemordners: Aktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Laufwerke: Deaktiviert Überprüfung aller Laufwerke:Aktiviert Die Überprüfung der Ordner: Deaktiviert Batchstart: 15:53:37,28 Batchende: 15:54:44,81 A) beide Schädlinge, B) ist beides der selbe Schädling oder C) hat AntiVir "BDS/Prorat.crh" nebenbei entfernt und ich habe "Midnight Oil Spyware/Adware" nur zufällig entdeckt? Seit der Fehlermeldung habe ich mich außer auf meinem PC und diesem Forum nirgendwo mehr eingeloggt. Das System neu aufzusetzen möchte ich erst als letzte aller Möglichkeiten in betracht ziehen... Wie gehe ich jetzt weiter vor? Vielen Dank im Vorraus. |
10.01.2009, 08:31 | #2 |
| Ungebetener Gast: Midnight Oil Spyware/Adware bzw. BDS/Prorat.crh ? Anmerkung zum ersten Post: Ich habe die oben beschriebene fragwürdige .exe-Datei weder ausgeführt, noch markiert, noch ein MouseOver gemacht. Sie war da. Ich bekam eine Warnung über eine Bedrohung und babe den Zugriff verweigert. Als ich das Fenster mit der Warnung mit "Zugriff verweigern" beantwortet hatte und den Blick wieder dem Ordnerinhalt zuwendete war die Datei nicht mehr da.
__________________Direkt danach habe ich den Cache meines Browsers geleert und einen ergebnislos mit AntiVir die Aktiven Prozesse und nach Rootkits gescannt. Inzwischen habe ich einen Guide zum Entfernen von Midnight Oil gefunden, konnte aber weder einen der genannten Registry-Einträge noch eine der Dateien finden. In der Registry konnte ich einen einzigen Schlüssel mit Namen "Midnight Oil" finden und habe ihn gelöscht - allerdings kam der nicht in oben genanntem Guide vor. Wegen mehrerer Hinweise vom scan mit eScan, ich hätte verwaiste habe ich den Registry Cleaner von TuneUp Utilities durchlaufen lassen. Dabei hatte ich die Hoffnung, daß es sich bei der Ursache für die Midnight Oil-Meldung, nur um einen verwaisten Registry-Eintrag gehandelt hat. Ein erneutes scannen mit eScan brachte keinen Fund von Midnight Oil mehr. Ich weis, daß das nicht beim eigentlichen Problem hilft: Die Datei, die offenbar BDS/Prorat.crh beinhaltet hat und gleich nach dem Download verschwunden ist. Wurde sie jetzt von AntiVir ohne viel Federlesen und ohne Meldung an mich gelöscht, oder hat sich der Trojaner irgendwie gleich nach der Ankunft auf meinem System eingenistet? Inzwischen wären mir auch Spekulationen recht. Vielen Dank |
11.01.2009, 09:09 | #3 |
| Ungebetener Gast: Midnight Oil Spyware/Adware bzw. BDS/Prorat.crh ? Inzwischen habe ich auch noch Malwarebytes' Anti-Malware, CCleaner, Dr. Web und SUPERAntiSpyware Professional ausprobiert. Leider ist der Trojaner (falls tatsächlich noch vorhanden) von keinem entdeckt worden.
__________________Inzwischen habe ich noch einen Durchlauf mit RunScanner gemacht. Hier das log: Code:
ATTFilter Runscanner logfile http://www.runscanner.net * = signed file - = file not found General info ------------ Computer name : *** Creation time : 11.01.2009 09:03:45 Hosts <> 127.0.0.1 : 0 Hosts file location : %SystemRoot%\System32\drivers\etc IE version : 6.0.2900.2180 OS : Microsoft Windows XP OS Build : 2600 OS SP : Service Pack 2 RunScanner Version : 1.7.0.0 User Language : Deutsch (Deutschland) User rights : Administrator Windows folder : C:\WINDOWS Running processes ----------------- D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe (Avira GmbH) D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe (Avira GmbH) D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe (Avira GmbH) * C:\WINDOWS\system32\services.exe (Microsoft Corporation) * C:\WINDOWS\System32\alg.exe (Microsoft Corporation) * C:\WINDOWS\system32\csrss.exe (Microsoft Corporation) * C:\WINDOWS\system32\ctfmon.exe (Microsoft Corporation) * C:\WINDOWS\system32\RUNDLL32.EXE (Microsoft Corporation) * C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) * C:\WINDOWS\system32\svchost.exe (Microsoft Corporation) * C:\WINDOWS\System32\svchost.exe (Microsoft Corporation) * C:\WINDOWS\System32\svchost.exe (Microsoft Corporation) * C:\WINDOWS\System32\svchost.exe (Microsoft Corporation) * C:\WINDOWS\system32\svchost.exe (Microsoft Corporation) C:\WINDOWS\Imgtask.exe * C:\WINDOWS\system32\lsass.exe (Microsoft Corporation) * C:\WINDOWS\system32\nvsvc32.exe (NVIDIA Corporation) * C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.) * D:\runscanner\RunScanner.exe (Runscanner.net) * C:\WINDOWS\system32\spoolsv.exe (Microsoft Corporation) D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe (SUPERAntiSpyware.com) * C:\WINDOWS\System32\TUProgSt.exe (TuneUp Software) * C:\WINDOWS\Explorer.EXE (Microsoft Corporation) * C:\WINDOWS\system32\winlogon.exe (Microsoft Corporation) * c:\windows\System32\smss.exe (Microsoft Corporation) * C:\WINDOWS\system32\wdfmgr.exe (Microsoft Corporation) C:\Programme\Sinus 154 stick\Wifiusb.exe (TECOM) * C:\WINDOWS\System32\wbem\wmiprvse.exe (Microsoft Corporation) Unrated items ------------- 002 D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe (Avira GmbH) 002 C:\WINDOWS\Imgtask.exe 002 C:\WINDOWS\system32\nwiz.exe 003 D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe (SUPERAntiSpyware.com) 005 C:\WINDOWS\Installer\{9D079233-177B-4BEE-A1F7-8568AD3E41D1}\NewShortcut2.exe 010 D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe (Avira AntiVir Personal - Free Antivirus Guard) 010 D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe (Avira AntiVir Personal - Free Antivirus Planer) 010 * C:\WINDOWS\System32\TuneUpDefragService.exe (TuneUp Drive Defrag-Dienst) 010 * C:\WINDOWS\System32\TUProgSt.exe (TuneUp Program Statistics Service) 011 C:\WINDOWS\system32\DRIVERS\mdc8021x.sys (AEGIS Protocol (IEEE 802.1x) v2.3.1.9) 011 * D:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys (avgio) 011 * D:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys (avgntflt) 011 * C:\WINDOWS\system32\DRIVERS\avipbb.sys (avipbb) 011 * C:\Programme\MediaCoder\SysInfo.sys (CrystalSysInfo) 011 * C:\WINDOWS\System32\Drivers\ElbyCDFL.sys (ElbyCDFL) 011 C:\WINDOWS\system32\DRIVERS\fasttrak.sys (fasttrak) 011 C:\WINDOWS\system32\PCANDIS5.SYS (PCANDIS5 NDIS Protocol Driver) 011 D:\Programme\SUPERAntiSpyware\SASDIFSV.SYS (SASDIFSV) 011 D:\Programme\SUPERAntiSpyware\SASENUM.SYS (SASENUM) 011 D:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL) 011 C:\WINDOWS\system32\DRIVERS\PRISMA02.sys (Sinus 154 stick) 011 C:\WINDOWS\system32\DRIVERS\ssmdrv.sys (ssmdrv) 011 C:\WINDOWS\System32\Drivers\DgiVecp.sys (Team MFP Comm Driver) 031 C:\Programme\Gemeinsame Dateien\System\OLE DB\msdaipp.dll (Microsoft Corporation) {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} 031 C:\Programme\Gemeinsame Dateien\System\OLE DB\msdaipp.dll (Microsoft Corporation) {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} 031 C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation) {CD00020A-8B95-11D1-82DB-00C04FB1625D} 031 C:\Programme\Gemeinsame Dateien\System\OLE DB\msdaipp.dll (Microsoft Corporation) {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} 035 C:\WINDOWS\system32\mscories.dll (Microsoft Corporation) {89B4C1CD-B018-4511-B0A1-5476DBF70820} 047 Zone: microsoft.com : *.microsoft.com 047 Zone: rapidshare.com : *.rapidshare.com 047 Zone: rapidshare.de : *.rapidshare.de 047 Zone: utorrent.com : *.utorrent.com 050 D:\Programme\SUPERAntiSpyware\SASSEH.DLL (SuperAdBlocker.com) {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} 061 C:\WINDOWS\system32\nvshell.dll {1CDB2949-8F65-4355-8456-263E7C208A5D} 061 C:\WINDOWS\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A47} 061 C:\WINDOWS\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48} 061 D:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A} 061 * C:\Programme\TuneUp Utilities 2009\DseShExt-x86.dll (TuneUp Software) {4838CD50-7E5D-4811-9B17-C47A85539F28} 061 * C:\Programme\TuneUp Utilities 2009\SDShelEx-win32.dll (TuneUp Software) {4858E7D9-8E12-45a3-B6A3-1CD128C9D403} 061 * C:\WINDOWS\System32\uxtuneup.dll (TuneUp Software) {44440D00-FF19-4AFC-B765-9A0970567D97} 061 C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL (Microsoft Corporation) {BDEADF00-C265-11D0-BCED-00A0C90AB50F} 061 C:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA} 067 D:\Programme\SUPERAntiSpyware\SASWINLO.dll (SUPERAntiSpyware.com) 102 GUID / CLSID not found {32683183-48a0-441b-a342-7c2a440a9478} 104 GUID / CLSID not found {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} 105 Download with GetRight : C:\Programme\GetRight\GRdownload.htm 105 Nach Microsoft &Excel exportieren : res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 105 Open with GetRight Browser : C:\Programme\GetRight\GRbrowse.htm 173 D:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A} 173 D:\Programme\SUPERAntiSpyware\SASCTXMN.DLL (SUPERAntiSpyware.com) SUPERAntiSpyware Context Menu 173 * C:\Programme\TuneUp Utilities 2009\SDShelEx-win32.dll (TuneUp Software) {4858E7D9-8E12-45a3-B6A3-1CD128C9D403} 173 C:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA} 221 D:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A} 221 D:\Programme\SUPERAntiSpyware\SASCTXMN.DLL (SUPERAntiSpyware.com) SUPERAntiSpyware Context Menu 221 * C:\Programme\TuneUp Utilities 2009\SDShelEx-win32.dll (TuneUp Software) {4858E7D9-8E12-45a3-B6A3-1CD128C9D403} 221 C:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA} 225 D:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A} 225 D:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A} 225 C:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA} 225 C:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA} 227 D:\Programme\SUPERAntiSpyware\SASCTXMN.DLL (SUPERAntiSpyware.com) SUPERAntiSpyware Context Menu 227 * C:\Programme\TuneUp Utilities 2009\DseShExt-x86.dll (TuneUp Software) {4838CD50-7E5D-4811-9B17-C47A85539F28} 227 * C:\Programme\TuneUp Utilities 2009\SDShelEx-win32.dll (TuneUp Software) {4858E7D9-8E12-45a3-B6A3-1CD128C9D403} 227 C:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA} 229 C:\WINDOWS\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48} Missing files ------------- 010 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe 011 C:\WINDOWS\system32\drivers\Abiosdsk.sys 011 C:\WINDOWS\system32\drivers\abp480n5.sys 011 C:\WINDOWS\system32\drivers\adpu160m.sys 011 C:\WINDOWS\system32\drivers\Aha154x.sys 011 C:\WINDOWS\system32\drivers\aic78u2.sys 011 C:\WINDOWS\system32\drivers\aic78xx.sys 011 C:\WINDOWS\system32\drivers\AliIde.sys 011 C:\WINDOWS\system32\drivers\amsint.sys 011 C:\WINDOWS\system32\drivers\asc.sys 011 C:\WINDOWS\system32\drivers\asc3350p.sys 011 C:\WINDOWS\system32\drivers\asc3550.sys 011 C:\WINDOWS\system32\drivers\Atdisk.sys 011 C:\WINDOWS\system32\drivers\cd20xrnt.sys 011 C:\WINDOWS\system32\drivers\Changer.sys 011 C:\WINDOWS\system32\drivers\CmdIde.sys 011 C:\WINDOWS\system32\drivers\Cpqarray.sys 011 C:\WINDOWS\system32\drivers\dac2w2k.sys 011 C:\WINDOWS\system32\drivers\dac960nt.sys 011 C:\WINDOWS\system32\drivers\dpti2o.sys 011 E:\INSTALL\GMSIPCI.SYS 011 C:\WINDOWS\system32\drivers\hpn.sys 011 C:\WINDOWS\system32\drivers\hpt3xx.sys 011 C:\WINDOWS\system32\drivers\i2omgmt.sys 011 C:\WINDOWS\system32\drivers\i2omp.sys 011 C:\WINDOWS\system32\drivers\ini910u.sys 011 C:\WINDOWS\system32\drivers\IntelIde.sys 011 C:\WINDOWS\system32\drivers\lbrtfdc.sys 011 C:\WINDOWS\system32\drivers\mraid35x.sys 011 C:\WINDOWS\system32\drivers\PCIDump.sys 011 C:\WINDOWS\system32\drivers\PDCOMP.sys 011 C:\WINDOWS\system32\drivers\PDFRAME.sys 011 C:\WINDOWS\system32\drivers\PDRELI.sys 011 C:\WINDOWS\system32\drivers\PDRFRAME.sys 011 C:\WINDOWS\system32\drivers\perc2.sys 011 C:\WINDOWS\system32\drivers\perc2hib.sys 011 C:\WINDOWS\system32\drivers\ql1080.sys 011 C:\WINDOWS\system32\drivers\Ql10wnt.sys 011 C:\WINDOWS\system32\drivers\ql12160.sys 011 C:\WINDOWS\system32\drivers\ql1240.sys 011 C:\WINDOWS\system32\drivers\ql1280.sys 011 C:\WINDOWS\system32\drivers\Simbad.sys 011 C:\WINDOWS\system32\drivers\Sparrow.sys 011 C:\WINDOWS\system32\drivers\sym_hi.sys 011 C:\WINDOWS\system32\drivers\sym_u3.sys 011 C:\WINDOWS\system32\drivers\symc810.sys 011 C:\WINDOWS\system32\drivers\symc8xx.sys 011 C:\WINDOWS\system32\drivers\TosIde.sys 011 C:\WINDOWS\system32\drivers\ultra.sys 011 C:\WINDOWS\system32\drivers\ViaIde.sys 011 C:\WINDOWS\system32\drivers\WDICA.sys 061 deskpan.dll |
12.01.2009, 10:24 | #4 |
| Ungebetener Gast: Midnight Oil Spyware/Adware bzw. BDS/Prorat.crh ? Zuerst einmal Danke an alle, die jetzt noch in diesen Thread reinschauen. Mit Hilfe des Test-Programms Trojan Simulator konnte ich ähnliche Bedingungen nachstellen: Bei der Option "Zugriff verweigern" löscht AntiVir die verdächtige Datei sofort vom System. |
Themen zu Ungebetener Gast: Midnight Oil Spyware/Adware bzw. BDS/Prorat.crh ? |
abgesicherten modus, antivirus, avira, bho, browser, components, computer, dateisystem, einstellungen, excel, fehlalarm, fehler, fehlermeldung, firefox, hijack, hijackthis, internet, internet explorer, maßnahme, prozesse, registrierungsdatenbank, rundll, security, software, stick, system, system neu, trojaner, windows, windows xp, wlan |