| |
| |||||||
Log-Analyse und Auswertung: Trojaner TR/Downloader.Gen und TR/Mail.Blen.FRWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
23.01.2009, 22:04
| #1 |
| |  Trojaner TR/Downloader.Gen und TR/Mail.Blen.FR Hallo, seit Anfang der Woche meldet mir AntiVir immer wieder folgendes: C:\Users\***\AppData\Local\Temp\~tmp\hiprof06\smsh.exe ist das Trojanische Pferd TR/Downloader.Gen - ansonsten sind mir bisher noch keine Probleme aufgefallen. Mein HiJack-Log: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:00:46, on 23.01.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\taskeng.exe C:\Program Files\Windows Defender\MSASCui.exe C:\Users\Susa\AppData\Local\Temp\ieudinit.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\HP\QuickPlay\QPService.exe C:\Program Files\HP\HP Software Update\hpwuSchd2.exe C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe C:\Program Files\Java\jre1.6.0\bin\jusched.exe C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\System32\rundll32.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe C:\Program Files\Skype\Phone\Skype.exe C:\WINDOWS\ehome\ehtray.exe C:\Program Files\Picasa2\PicasaMediaDetector.exe C:\Users\Susa\AppData\Local\Plaxo\3.17.0.16\PlaxoHelper_de.exe C:\Users\Susa\AppData\Local\Plaxo\3.17.0.16\plaxosystray.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Windows\system32\wbem\unsecapp.exe C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe C:\Windows\ehome\ehmsas.exe C:\PROGRA~1\HEWLET~1\Shared\HPQTOA~1.EXE C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe C:\Program Files\Skype\Plugin Manager\skypePM.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\program files\avira\antivir personaledition classic\avcenter.exe C:\WINDOWS\System32\notepad.exe C:\Windows\system32\DllHost.exe C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE C:\Windows\system32\Taskmgr.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=71&bd=Pavilion&pf=laptop R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=71&bd=Pavilion&pf=laptop R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Program Files\Share_Accelerator_MM\tbShar.dll F3 - REG:win.ini: load=C:\Users\Susa\AppData\Local\Temp\ieudinit.exe O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Program Files\Share_Accelerator_MM\tbShar.dll O2 - BHO: BHOIECtrl Class - {6690AF45-86F5-4AFF-ADDD-6067C749D927} - C:\Program Files\NewsStand\Reader\NSIETool.dll O2 - BHO: CmjBrowserHelperObject Object - {6FE6A929-59D1-4763-91AD-29B61CFFB35B} - C:\Program Files\Mindjet\MindManager 8\Mm8InternetExplorer.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll O3 - Toolbar: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Program Files\Share_Accelerator_MM\tbShar.dll O3 - Toolbar: NewsStand Toolbar - {6E94ACD5-2C6A-48AC-84EF-A4DE746D385F} - C:\Program Files\NewsStand\Reader\NSIETool.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start O4 - HKLM\..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe" O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [MMReminderService] C:\Program Files\Mindjet\MindManager 8\MMReminderService.exe O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe O4 - HKCU\..\Run: [Orb] "C:\Program Files\Winamp Remote\bin\OrbTray.exe" /background O4 - HKCU\..\Run: [PlaxoUpdate] C:\Users\Susa\AppData\Local\Plaxo\3.17.0.16\PlaxoHelper_de.exe -a O4 - HKCU\..\Run: [PlaxoSysTray] C:\Users\Susa\AppData\Local\Plaxo\3.17.0.16\PlaxoSysTray.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: An Mindjet MindManager senden - {2F72393D-2472-4F82-B600-ED77F354B7FF} - C:\Program Files\Mindjet\MindManager 8\Mm8InternetExplorer.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O13 - Gopher Prefix: O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLSched.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe -- End of file - 11788 bytes Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 23. Januar 2009 17:41
Es wird nach 1257460 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows Vista
Windowsversion: (Service Pack 1) [6.0.6001]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: SUSASPC
Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 16:02:22
AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 21:14:23
LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 21:14:25
LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 21:14:25
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 22:49:51
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14.01.2009 17:55:29
ANTIVIR2.VDF : 7.1.1.148 440832 Bytes 20.01.2009 19:30:19
ANTIVIR3.VDF : 7.1.1.168 315904 Bytes 22.01.2009 22:40:41
Engineversion : 8.2.0.60
AEVDF.DLL : 8.1.0.6 102772 Bytes 15.10.2008 18:35:58
AESCRIPT.DLL : 8.1.1.32 340347 Bytes 22.01.2009 22:40:44
AESCN.DLL : 8.1.1.5 123251 Bytes 07.11.2008 20:29:18
AERDL.DLL : 8.1.1.3 438645 Bytes 06.11.2008 17:45:06
AEPACK.DLL : 8.1.3.5 393588 Bytes 09.01.2009 12:49:03
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 11.12.2008 17:56:35
AEHEUR.DLL : 8.1.0.86 1552759 Bytes 22.01.2009 22:40:43
AEHELP.DLL : 8.1.2.0 119159 Bytes 20.11.2008 15:59:44
AEGEN.DLL : 8.1.1.10 323957 Bytes 16.01.2009 17:56:45
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 18:35:37
AECORE.DLL : 8.1.5.2 172405 Bytes 28.11.2008 16:01:40
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 18:35:31
AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 21:14:23
AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 21:14:23
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 18:51:19
AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 21:14:23
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 21:14:22
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 21:14:26
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 21:14:18
RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 21:14:18
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Beginn des Suchlaufs: Freitag, 23. Januar 2009 17:41
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPHC_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTStackServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPQTOA~1.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plaxosystray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PlaxoHelper_de.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PicasaMediaDetector.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MmReminderService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PIFSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWAMain.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WiFiMsg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QLBCTRL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QPService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ieudinit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqwmiex.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'XAudio.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PIFSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLCapSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '71' Prozesse mit '71' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '51' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Users\Susa\AppData\Local\Temp\~tmp\hiprof06\smsh.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Users\Susa\AppData\Local\Temp\~tmp\hmunmlcn48a\svchost.exe
[FUND] Ist das Trojanische Pferd TR/Mail.Blen.FR
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49dd006f.qua' verschoben!
Beginne mit der Suche in 'D:\' <HP_RECOVERY>
Ende des Suchlaufs: Freitag, 23. Januar 2009 19:37
Benötigte Zeit: 1:56:32 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
25076 Verzeichnisse wurden überprüft
622525 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
622521 Dateien ohne Befall
4732 Archive wurden durchsucht
3 Warnungen
1 Hinweise
Vielen Dank für eure Hilfe!!! |
|
24.01.2009, 02:23
| #2 |
| | Trojaner TR/Downloader.Gen und TR/Mail.Blen.FR So, habe nun auch Malwarebytes Anti-Malware laufen lassen. Hier der Log:
__________________Code:
ATTFilter Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1684
Windows 6.0.6001 Service Pack 1
24.01.2009 02:15:16
mbam-log-2009-01-24 (02-15-16).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 250533
Laufzeit: 3 hour(s), 54 minute(s), 7 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\System32\serauth1.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\System32\serauth2.dll (Trojan.Agent) -> Quarantined and deleted successfully.
|
|
24.01.2009, 10:55
| #3 | |
| /// AVZ-Toolkit Guru   | Trojaner TR/Downloader.Gen und TR/Mail.Blen.FR Halli hallo susa_m
__________________ Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:
Erstmal  für deinen strukturierten Post. So kann man gut arbeiten..  Leider muss ich dir sagen, dass es nicht besonders gut bestellt ist um deinen Rechner. Hast du e-Mail Anhänge geöffnet? Dateien Online überprüfen lassen: * Lasse dir auch die versteckten Dateien anzeigen! * Rufe die Seite Virtustotal auf. * Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch. Zitat:
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren! * Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
__________________ |
|
24.01.2009, 19:29
| #4 | ||
| | Trojaner TR/Downloader.Gen und TR/Mail.Blen.FR Hallo undoreal, danke für deine Hilfe. Hier meine sämtlichen Logfiles - bin ich "clean"? Habe jedenfalls keine Fehlermeldungen mehr und auch sonst keine Auffälligkeiten. VirusTotal: Code:
ATTFilter Datei ieudinit.exe empfangen 2009.01.24 12:59:18 (CET)
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.24 -
AhnLab-V3 5.0.0.2 2009.01.24 -
AntiVir 7.9.0.60 2009.01.23 -
Authentium 5.1.0.4 2009.01.24 -
Avast 4.8.1281.0 2009.01.23 -
AVG 8.0.0.229 2009.01.23 BackDoor.Generic_r.EK
BitDefender 7.2 2009.01.24 -
CAT-QuickHeal 10.00 2009.01.24 -
ClamAV 0.94.1 2009.01.24 -
Comodo 944 2009.01.24 -
DrWeb 4.44.0.09170 2009.01.24 -
eSafe 7.0.17.0 2009.01.22 -
eTrust-Vet 31.6.6325 2009.01.24 -
F-Prot 4.4.4.56 2009.01.23 W32/Horst.C.gen!Eldorado
F-Secure 8.0.14470.0 2009.01.24 -
Fortinet 3.117.0.0 2009.01.24 -
GData 19 2009.01.24 -
Ikarus T3.1.1.45.0 2009.01.24 -
K7AntiVirus 7.10.602 2009.01.23 -
Kaspersky 7.0.0.125 2009.01.24 -
McAfee 5504 2009.01.23 -
McAfee+Artemis 5504 2009.01.23 -
Microsoft 1.4205 2009.01.24 -
NOD32 3795 2009.01.23 -
Norman 5.93.01 2009.01.23 -
nProtect 2009.1.8.0 2009.01.23 -
Panda 9.5.1.2 2009.01.24 Suspicious file
PCTools 4.4.2.0 2009.01.24 -
Prevx1 V2 2009.01.24 Malicious Software
Rising 21.13.42.00 2009.01.23 -
SecureWeb-Gateway 6.7.6 2009.01.24 -
Sophos 4.37.0 2009.01.24 -
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.01.24 -
TheHacker 6.3.1.5.227 2009.01.24 -
TrendMicro 8.700.0.1004 2009.01.24 -
VBA32 3.12.8.11 2009.01.23 -
ViRobot 2009.1.23.1576 2009.01.23 -
VirusBuster 4.5.11.0 2009.01.23 -
weitere Informationen
File size: 81920 bytes
MD5...: be0ef12ccd228c5b042a133591e4999f
SHA1..: e7767d4aea12f3ab214aed30b849b851465a4c07
SHA256: 92935c4a311ed65b00b0dfee0157992fac9a0c6414a07fc40c3191d78e96d1c6
SHA512: db3d8f37db698a53f4bd5f6855687cb88663b6f64addb87152a58419938abf9e<br>1da8d89e9100ab694686d2e91ce19d8a94acd2b57ed5ba92b78c05d464eb7a8d<br>
ssdeep: 1536:uuzzV87NpJuLz+pmZ1iZS8Y/QNkNlGJDgRewwzNi+cWt:DV87N7I1iXkNWV<br>cWt<br>
PEiD..: -
TrID..: File type identification<br>Win32 Executable MS Visual C++ (generic) (65.2%)<br>Win32 Executable Generic (14.7%)<br>Win32 Dynamic Link Library (generic) (13.1%)<br>Generic Win/DOS Executable (3.4%)<br>DOS Executable Generic (3.4%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x40a7b6<br>timedatestamp.....: 0x49735dbc (Sun Jan 18 16:50:04 2009)<br>machinetype.......: 0x14c (I386)<br><br>( 3 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0xf03f 0x10000 6.15 360958fbb8a7be46fa0c3bc3d62dd72f<br>.rdata 0x11000 0x1e62 0x2000 5.23 888e825be253c6ddcd8a06992038c1a3<br>.data 0x13000 0x3798 0x1000 1.46 66e21c335f670177ea0c7531c95ae8da<br><br>( 6 imports ) <br>> USER32.dll: LoadImageA<br>> ADVAPI32.dll: RegCloseKey, RegEnumValueA, RegOpenKeyExA, RegGetKeySecurity, RegCreateKeyExA, RegSetValueExA, RegQueryValueExA, LookupAccountSidA, GetTokenInformation, OpenProcessToken<br>> WS2_32.dll: -, -<br>> WININET.dll: InternetReadFile, HttpQueryInfoA, InternetCloseHandle, InternetOpenUrlA, InternetOpenA<br>> NETAPI32.dll: NetUserGetInfo, NetApiBufferFree<br>> KERNEL32.dll: GetCurrentProcess, GetSystemInfo, VirtualProtect, GetLocaleInfoA, FlushFileBuffers, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, SetStdHandle, GetCPInfo, GetOEMCP, GetACP, GetFileTime, GetProcessPriorityBoost, OpenProcess, GetFileType, CreateDirectoryA, GetVolumeInformationA, GetStartupInfoA, GetSystemDirectoryA, OpenMutexA, CreateMutexA, CloseHandle, GetDriveTypeA, GetLogicalDriveStringsA, Sleep, GetLastError, GetLocalTime, GetEnvironmentVariableA, SetEnvironmentVariableA, GetShortPathNameA, ExitProcess, SetFileAttributesA, CreateFileA, CreateProcessA, GlobalFree, CreateThread, GlobalAlloc, MultiByteToWideChar, GetModuleFileNameA, CopyFileA, WriteFile, RtlUnwind, GetSystemTimeAsFileTime, GetProcAddress, GetModuleHandleA, TerminateProcess, GetCommandLineA, GetVersionExA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, HeapReAlloc, HeapAlloc, HeapSize, GetStdHandle, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, HeapDestroy, HeapCreate, VirtualFree, HeapFree, SetFilePointer, LoadLibraryA, InterlockedExchange, VirtualQuery, SetUnhandledExceptionFilter, IsBadReadPtr, IsBadWritePtr, IsBadCodePtr, VirtualAlloc<br><br>( 0 exports ) <br>
Prevx info: <a href='h**p://info.prevx.com/aboutprogramtext.asp?PX5=BBF95B6900208CB740E301C8AE96EE00A1F1B254' target='_blank'>h**p://info.prevx.com/aboutprogramtext.asp?PX5=BBF95B6900208CB740E301C8AE96EE00A1F1B254</a>
Habe nur Zitat:
Zitat:
SuperAntiSpyware: Code:
ATTFilter SUPERAntiSpyware Scan Log
http://www.superantispyware.com
Generated 01/24/2009 at 03:12 PM
Application Version : 4.25.1012
Core Rules Database Version : 3725
Trace Rules Database Version: 1699
Scan type : Complete Scan
Total Scan Time : 02:08:31
Memory items scanned : 706
Memory threats detected : 0
Registry items scanned : 7812
Registry threats detected : 0
File items scanned : 207110
File threats detected : 1
Trojan.SVCHost/Fake
C:\USERS\SUSA\APPDATA\LOCAL\TEMP\~TMP\HMUNMLCN49A\SVCHOST.EXE
Anti Malware: Code:
ATTFilter Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1684
Windows 6.0.6001 Service Pack 1
24.01.2009 18:01:34
mbam-log-2009-01-24 (18-01-34).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 242105
Laufzeit: 2 hour(s), 42 minute(s), 3 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
HijackThis: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:20:15, on 24.01.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Users\Susa\AppData\Local\Temp\ieudinit.exe C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\HP\QuickPlay\QPService.exe C:\Program Files\HP\HP Software Update\hpwuSchd2.exe C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe C:\Program Files\Mindjet\MindManager 8\MmReminderService.exe C:\WINDOWS\System32\rundll32.exe C:\Program Files\Skype\Phone\Skype.exe C:\WINDOWS\ehome\ehtray.exe C:\Program Files\Picasa2\PicasaMediaDetector.exe C:\Windows\system32\wbem\unsecapp.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe C:\Windows\ehome\ehmsas.exe C:\PROGRA~1\HEWLET~1\Shared\HPQTOA~1.EXE C:\Program Files\Synaptics\SynTP\SynTPHelper.exe C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe C:\Windows\system32\Taskmgr.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\Windows\System32\mobsync.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=71&bd=Pavilion&pf=laptop R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=71&bd=Pavilion&pf=laptop R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Program Files\Share_Accelerator_MM\tbShar.dll F3 - REG:win.ini: load=C:\Users\Susa\AppData\Local\Temp\ieudinit.exe O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Program Files\Share_Accelerator_MM\tbShar.dll O2 - BHO: CmjBrowserHelperObject Object - {6FE6A929-59D1-4763-91AD-29B61CFFB35B} - C:\Program Files\Mindjet\MindManager 8\Mm8InternetExplorer.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O3 - Toolbar: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Program Files\Share_Accelerator_MM\tbShar.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start O4 - HKLM\..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [MMReminderService] C:\Program Files\Mindjet\MindManager 8\MMReminderService.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe O4 - HKCU\..\Run: [Orb] "C:\Program Files\Winamp Remote\bin\OrbTray.exe" /background O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: An Mindjet MindManager senden - {2F72393D-2472-4F82-B600-ED77F354B7FF} - C:\Program Files\Mindjet\MindManager 8\Mm8InternetExplorer.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O13 - Gopher Prefix: O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLSched.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe -- End of file - 11268 bytes |
|
24.01.2009, 19:30
| #5 |
| | Trojaner TR/Downloader.Gen und TR/Mail.Blen.FR AntiVir: Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 24. Januar 2009 18:02
Es wird nach 1272260 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows Vista
Windowsversion: (Service Pack 1) [6.0.6001]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: SUSASPC
Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 16:02:22
AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 21:14:23
LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 21:14:25
LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 21:14:25
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 22:49:51
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14.01.2009 17:55:29
ANTIVIR2.VDF : 7.1.1.172 958464 Bytes 23.01.2009 22:41:02
ANTIVIR3.VDF : 7.1.1.173 2048 Bytes 23.01.2009 22:41:03
Engineversion : 8.2.0.60
AEVDF.DLL : 8.1.0.6 102772 Bytes 15.10.2008 18:35:58
AESCRIPT.DLL : 8.1.1.32 340347 Bytes 22.01.2009 22:40:44
AESCN.DLL : 8.1.1.5 123251 Bytes 07.11.2008 20:29:18
AERDL.DLL : 8.1.1.3 438645 Bytes 06.11.2008 17:45:06
AEPACK.DLL : 8.1.3.5 393588 Bytes 09.01.2009 12:49:03
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 11.12.2008 17:56:35
AEHEUR.DLL : 8.1.0.86 1552759 Bytes 22.01.2009 22:40:43
AEHELP.DLL : 8.1.2.0 119159 Bytes 20.11.2008 15:59:44
AEGEN.DLL : 8.1.1.10 323957 Bytes 16.01.2009 17:56:45
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 18:35:37
AECORE.DLL : 8.1.5.2 172405 Bytes 28.11.2008 16:01:40
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 18:35:31
AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 21:14:23
AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 21:14:23
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 18:51:19
AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 21:14:23
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 21:14:22
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 21:14:26
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 21:14:18
RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 21:14:18
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Beginn des Suchlaufs: Samstag, 24. Januar 2009 18:02
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTStackServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPHC_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPQTOA~1.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPERAntiSpyware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PicasaMediaDetector.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MmReminderService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PIFSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWAMain.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WiFiMsg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QLBCTRL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QPService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ieudinit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqwmiex.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'XAudio.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PIFSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLCapSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '71' Prozesse mit '71' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '49' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <HP_RECOVERY>
Ende des Suchlaufs: Samstag, 24. Januar 2009 19:13
Benötigte Zeit: 1:10:59 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
24744 Verzeichnisse wurden überprüft
640779 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
640777 Dateien ohne Befall
5096 Archive wurden durchsucht
2 Warnungen
0 Hinweise
|
|
25.01.2009, 14:07
| #6 | |
| /// AVZ-Toolkit Guru | Trojaner TR/Downloader.Gen und TR/Mail.Blen.FR Mein Verdacht hat sich leider bestätigt. Bei dir läuft ein aktiver Backdoor der dem Angreifer VollZugriff auf deinen Rechner ermöglicht! Er könnte sogar sehen was wir hier so schreiben! Trenne den Rechner physikalisch vom Netz => LAN-Stecker ziehen. Und ändere von einem def. sauberen PC aus alle deine Passwörter und Zugangsdaten! Bereinigung nach einer Kompromitierung Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird. Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist. Master Boot Record überprüfen: Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei mit Administrator-Rechten aus. Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck Zitat:
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen. Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!! Und hier noch ein paar Sachen damit der Rechner danach auch sauber bleibt..
Häufig gestellte Fragen: XP | Vista Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst..
__________________ --> Trojaner TR/Downloader.Gen und TR/Mail.Blen.FR |
|
25.01.2009, 17:20
| #7 | |
| | Trojaner TR/Downloader.Gen und TR/Mail.Blen.FR Ah, das hört sich ja wirklich gar nicht gut an!!! Woran erkennst du genau, dass bei mir eine aktive Backdoor läuft? Denn seit gestern läuft ja eigentlich wieder alles ohne Probleme... Master Boot habe ich überprüft und nicht die Meldung Zitat:
Gibt es wirklich keine andere Möglichkeit, als mein System neu aufzusetzen und die Festplatten zu formatieren? Und falls nein, darf ich dann wirklich keine Dateien behalten? Das negiert ja den Sinn und Zweck eines Computers völlig - keine Urlaubsfotos mehr, keine wichtigen Seminararbeiten etc. mehr? |
|
25.01.2009, 17:26
| #8 | ||||
| /// AVZ-Toolkit Guru | Trojaner TR/Downloader.Gen und TR/Mail.Blen.FR Hast du dir wirklich alles durchgelesen was ich dir gepostet und verlinkt habe? Deine Fragen hören sich nicht wirklich so an.. Das du noch im Internet bist ist mutig.  Poste bitte das MBR log. Woran ich das sehe: Zitat:
Zitat:
Zitat:
Der Angreifer kann dir in diesen Minuten weitere Hintertüren ins System einbauen bzw. hat es schon längst getan, die kein Mensch und erst Recht kein Programm aufspüren kann. Zitat:
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
25.01.2009, 17:36
| #9 |
| | Trojaner TR/Downloader.Gen und TR/Mail.Blen.FR Okay, sorry, für meine dummen Fragen... Was soll ich tun - bin leider aufs Internet angewiesen (Studium und so) und habe heute keine MÖglichkeit, anders ins Internet zu gehen... Hier das MBR log: Code:
ATTFilter Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
|
|
25.01.2009, 17:37
| #10 | |
| /// AVZ-Toolkit Guru | Trojaner TR/Downloader.Gen und TR/Mail.Blen.FR Gut, der MBR ist in Ordnung. Zitat:
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
26.01.2009, 19:25
| #11 |
| | Trojaner TR/Downloader.Gen und TR/Mail.Blen.FR Hallo undoreal, so, ich habe jetzt meinen PC komplett neu aufgesetzt. Habe Office wieder installiert, aber meine gespeicherten Daten noch nicht wieder auf den PC geschoben. Hier die logfiles von eScan für 1) meinen PC und 2) die Festplatte, auf der nun meine Daten gesichert sind. Brauchst du noch mehr Infos? Wie ist es nun bestellt um meinen Laptop? Code:
ATTFilter ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2008.03.07
Microsoft Windows [Version 6.0.6000]
Bootmodus: Normal
eScan Version: 11.0.20
Sprache: German
C:\Users\Susa\AppData\Local\Temp\MWAV.LOG
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\$RECYCLE.BIN\S-1-5-21-4170959885-371275627-2649944993-1000\$R17ERK3.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\$RECYCLE.BIN\S-1-5-21-4170959885-371275627-2649944993-1000\$R3XSFGZ.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\$RECYCLE.BIN\S-1-5-21-4170959885-371275627-2649944993-1000\$R6OU1JH.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\$RECYCLE.BIN\S-1-5-21-4170959885-371275627-2649944993-1000\$R7POZ42.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\$RECYCLE.BIN\S-1-5-21-4170959885-371275627-2649944993-1000\$R9ISRLI.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\$RECYCLE.BIN\S-1-5-21-4170959885-371275627-2649944993-1000\$RA59OLT.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\$RECYCLE.BIN\S-1-5-21-4170959885-371275627-2649944993-1000\$RHP3I7I.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\$RECYCLE.BIN\S-1-5-21-4170959885-371275627-2649944993-1000\$RI4X71U.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\$RECYCLE.BIN\S-1-5-21-4170959885-371275627-2649944993-1000\$RONLU3U.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\$RECYCLE.BIN\S-1-5-21-4170959885-371275627-2649944993-1000\$ROZRPP4.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\$RECYCLE.BIN\S-1-5-21-4170959885-371275627-2649944993-1000\$RPY5TYD.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\$RECYCLE.BIN\S-1-5-21-4170959885-371275627-2649944993-1000\$RRSI0CO.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\$RECYCLE.BIN\S-1-5-21-4170959885-371275627-2649944993-1000\$RS4D3ZP.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\$RECYCLE.BIN\S-1-5-21-4170959885-371275627-2649944993-1000\$RV30GDQ.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Users\Susa\Favorites\HP\eBay.url
Offending file found: C:\Users\Public\Documents\HBEPGUID.TXT
~~~~~~~~~~~
~~~~ Spyware (Vorsicht: Oft Fehlalarm!)
~~~~~~~~~~~
eScan-AntiViren- und Antispyware-Werkzeugsatz.
C:\Program Files\SUPERAntiSpyware, 25-Jan-2009 [Ordner]
Antiviren- und Antispywaredatenbanken werden heruntergeladen...
eScan-AntiViren- und Antispyware-Werkzeugsatz.
C:\Program Files\SUPERAntiSpyware, 25-Jan-2009 [Ordner]
Antiviren- und Antispywaredatenbanken werden heruntergeladen...
eScan-AntiViren- und Antispyware-Werkzeugsatz.
Scannen Spyware: Aktiviert
** {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} = C:\Program Files\SUPERAntiSpyware\SASSEH.DLL
***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft *****
Indexed Spyware Databases Successfully Created...
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{9BD3A001-42A2-491E-AACA-9512F6CF4CDB})! Action taken: Keine Maßnahme ergriffen.
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{C5DA1F2B-B2BF-4DFC-BC9A-439133543A67})! Action taken: Keine Maßnahme ergriffen.
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{D2129738-6A78-4BCB-915A-412982CAA23D})! Action taken: Keine Maßnahme ergriffen.
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{DC90EAA6-69B8-4DE4-9A7B-5B2C5B3FEACD})! Action taken: Keine Maßnahme ergriffen.
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{1EDFD7DF-030D-4144-952E-9D7D86691CDB})! Action taken: Keine Maßnahme ergriffen.
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{459A91BC-193F-4A70-959C-BFF69D781142})! Action taken: Keine Maßnahme ergriffen.
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{464D3E06-7D5B-416F-A6EE-0FFB1A5E931B})! Action taken: Keine Maßnahme ergriffen.
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{497B84D4-FB2F-4AB0-A280-8AACFB4B355F})! Action taken: Keine Maßnahme ergriffen.
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{66718B8E-A382-4FE2-AA7A-926F9D8C4621})! Action taken: Keine Maßnahme ergriffen.
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{BC39A57D-DF2C-45B4-BFFD-7D55E911C1B2})! Action taken: Keine Maßnahme ergriffen.
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{CCA2E620-B807-451F-BAFD-2057AF9025FE})! Action taken: Keine Maßnahme ergriffen.
System found infected with ezula Spyware/Adware (eBay.url)! Action taken: Keine Maßnahme ergriffen.
System found infected with Adware.OneStep Adware (C:\Users\Public\Documents\HBEPGUID.TXT)! Action taken: Keine Maßnahme ergriffen.
C:\Users\Susa\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\Quarantine\Quarantine - 01-26-2009 - 00-38-55.SBU konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
laufende Prozesse - commandline
~~~~~~~~~~~~~~~~~~~~~~
System Idle Process -
System -
smss.exe -
csrss.exe -
wininit.exe -
csrss.exe -
services.exe -
lsass.exe -
lsm.exe -
winlogon.exe -
svchost.exe -
svchost.exe -
svchost.exe -
svchost.exe -
svchost.exe -
svchost.exe -
audiodg.exe -
SLsvc.exe -
svchost.exe -
svchost.exe -
spoolsv.exe -
sched.exe -
svchost.exe -
dwm.exe - "C:\Windows\system32\Dwm.exe"
explorer.exe - C:\Windows\Explorer.EXE
MSASCui.exe - "C:\Program Files\Windows Defender\MSASCui.exe" -hide
SynTPEnh.exe - "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe"
QPService.exe - "C:\Program Files\HP\QuickPlay\QPService.exe"
hpwuSchd2.exe - "C:\Program Files\HP\HP Software Update\hpwuSchd2.exe"
QLBCTRL.exe - "C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe" /Start
WiFiMsg.exe - "C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe"
HPWAMain.exe - "C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe"
jusched.exe - "C:\Program Files\Java\jre6\bin\jusched.exe"
PIFSvc.exe - "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
avgnt.exe - "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
GrooveMonitor.exe - "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
sidebar.exe - "C:\Program Files\Windows Sidebar\sidebar.exe" /autoRun
Skype.exe - "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
SUPERAntiSpyware.exe - "C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe"
avguard.exe -
svchost.exe -
CLCapSvc.exe -
LSSrvc.exe -
PIFSvc.exe -
svchost.exe -
svchost.exe -
SearchIndexer.exe -
XAudio.exe -
hpqwmiex.exe -
CLSched.exe -
taskeng.exe -
taskeng.exe - taskeng.exe {FF0F9A20-0924-4AB0-AD6E-BF167296BBFD}
taskeng.exe -
psi.exe -
WmiPrvSE.exe -
rundll32.exe - rundll32.exe NVSVC.DLL,nvsvcInitialize
HPQTOA~1.EXE - "C:\PROGRA~1\HEWLET~1\Shared\HPQTOA~1.EXE" -Embedding
HPHC_Service.exe -
firefox.exe - "C:\Program Files\Mozilla Firefox\firefox.exe"
TrustedInstaller.exe -
wuauclt.exe - "C:\Windows\system32\wuauclt.exe"
mexe.com -
notepad.exe -
SearchProtocolHost.exe -
SearchFilterHost.exe -
cmd.exe - cmd /c ""C:\Users\Susa\Desktop\find.bat" "
conime.exe - C:\Windows\system32\conime.exe
cscript.exe - cscript C:\escan\prclst.vbs //nologo
WmiPrvSE.exe -
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Windows\system32\asferror.dll (2048), 25-Jan-2009, Microsoft Corporation, Betriebssystem Microsoft® Windows®
C:\Windows\system32\mferror.dll (2048), 25-Jan-2009, Microsoft Corporation, Betriebssystem Microsoft® Windows®
C:\Windows\system32\asferror.dll (2048), 25-Jan-2009, Microsoft Corporation, Betriebssystem Microsoft® Windows®
C:\Windows\system32\mferror.dll (2048), 25-Jan-2009, Microsoft Corporation, Betriebssystem Microsoft® Windows®
ERROR!!! Invalid Entry \SystemRoot\system32\drivers\blbdrive.sys in HKLM\SYSTEM\CurrentControlSet\Services\blbdrive. Action Taken: No Action Taken.
ERROR!!! Invalid Entry "c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon in HKLM\SYSTEM\CurrentControlSet\Services\CLTNetCnService. Action Taken: No Action Taken.
ERROR!!! Invalid Entry "c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon in HKLM\SYSTEM\CurrentControlSet\Services\LiveUpdate Notice Ex. Action Taken: No Action Taken.
ERROR(3)!!! ScanFile fails for C:\Windows\bthservsdp.dat
ERROR(3)!!! ScanFile fails for C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
ERROR(3)!!! ScanFile fails for C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
ERROR(3)!!! ScanFile fails for C:\hiberfil.sys
ERROR(3)!!! ScanFile fails for C:\HP\HPQWare\dtshortcuts\KO_KR\??.lnk
ERROR(3)!!! ScanFile fails for C:\HP\HPQWare\dtshortcuts\ZH_CN\????.lnk
ERROR(3)!!! ScanFile fails for C:\HP\HPQWare\dtshortcuts\ZH_HK\?????eBay!.lnk
ERROR(3)!!! ScanFile fails for C:\HP\HPQWare\favs\KO_KR\HP\??.url
ERROR(3)!!! ScanFile fails for C:\HP\HPQWare\favs\ZH_CN\HP\????.url
ERROR(3)!!! ScanFile fails for C:\HP\HPQWare\favs\ZH_HK\HP\?????eBay!.url
ERROR(3)!!! ScanFile fails for C:\HP\HPQWare\StartMenuLink\KO_KR\??.lnk
ERROR(3)!!! ScanFile fails for C:\HP\HPQWare\StartMenuLink\ZH_CN\????.lnk
ERROR(3)!!! ScanFile fails for C:\HP\HPQWare\StartMenuLink\ZH_HK\?????eBay!.lnk
ERROR(3)!!! ScanFile fails for C:\pagefile.sys
ERROR(3)!!! ScanFile fails for C:\ProgramData\Microsoft\Search\Data\Applications\Windows\MSS.log
ERROR(3)!!! ScanFile fails for C:\ProgramData\Microsoft\Search\Data\Applications\Windows\tmp.edb
ERROR(3)!!! ScanFile fails for C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Windows.edb
ERROR(3)!!! ScanFile fails for C:\Users\Susa\AppData\Local\Microsoft\Windows\UsrClass.dat
ERROR(3)!!! ScanFile fails for C:\Users\Susa\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG1
ERROR(3)!!! ScanFile fails for C:\Users\Susa\AppData\Local\Microsoft\Windows Defender\FileTracker\{4B591747-7F71-4DE9-A89B-A0B420A612C9}
ERROR(3)!!! ScanFile fails for C:\Users\Susa\AppData\Roaming\Mozilla\Firefox\Profiles\5rcf4jea.default\places.sqlite-journal
ERROR(3)!!! ScanFile fails for C:\Users\Susa\NTUSER.DAT
ERROR(3)!!! ScanFile fails for C:\Users\Susa\ntuser.dat.LOG1
ERROR(3)!!! ScanFile fails for C:\WINDOWS\bthservsdp.dat
ERROR(3)!!! ScanFile fails for C:\WINDOWS\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
ERROR(3)!!! ScanFile fails for C:\WINDOWS\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
ERROR(3)!!! ScanFile fails for C:\WINDOWS\ServiceProfiles\LocalService\NTUSER.DAT
ERROR(3)!!! ScanFile fails for C:\WINDOWS\ServiceProfiles\LocalService\ntuser.dat.LOG1
ERROR(3)!!! ScanFile fails for C:\WINDOWS\ServiceProfiles\NetworkService\NTUSER.DAT
ERROR(3)!!! ScanFile fails for C:\WINDOWS\ServiceProfiles\NetworkService\ntuser.dat.LOG1
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\catroot2\edb.log
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\catroot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\COMPONENTS
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\COMPONENTS.LOG1
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\DEFAULT
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\DEFAULT.LOG1
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\RegBack\COMPONENTS
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\RegBack\DEFAULT
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\RegBack\SAM
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\RegBack\SECURITY
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\RegBack\SOFTWARE
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\RegBack\SYSTEM
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\SAM
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\SAM.LOG1
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\SECURITY
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\SECURITY.LOG1
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\SOFTWARE
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\SOFTWARE.LOG1
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\SYSTEM
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\SYSTEM.LOG1
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\SMI\Store\Machine\SCHEMA.DAT
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\SMI\Store\Machine\schema.dat.LOG1
ERROR(3)!!! ScanFile fails for D:\System Volume Information\Desktop.ini
ERROR(3)!!! ScanFile fails for D:\System Volume Information\Folder.htt
ERROR(3)!!! ScanFile fails for D:\System Volume Information\Protect.ed
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\Windows\System32\drivers\etc\hosts:
C:\Windows\System32\drivers\etc\hosts:127.0.0.1 localhost
C:\Windows\System32\drivers\etc\hosts:::1 localhost
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Zeit überschritten beim Scannen von C:\$RECYCLE.BIN\S-1-5-21-4170959885-371275627-2649944993-1000\$RIY4QBR.exe!!!
Zeit überschritten beim Scannen von C:\$RECYCLE.BIN\S-1-5-21-4170959885-371275627-2649944993-1000\$RLGW3MR.exe!!!
Zeit überschritten beim Scannen von C:\MSOCache\All Users\{90120000-0015-0407-0000-0000000FF1CE}-C\AccLR.cab!!!
Zeit überschritten beim Scannen von C:\MSOCache\All Users\{90120000-0030-0000-0000-0000000FF1CE}-C\EnterWW.cab!!!
Zeit überschritten beim Scannen von C:\MSOCache\All Users\{90120000-0044-0407-0000-0000000FF1CE}-C\InfLR.cab!!!
Zeit überschritten beim Scannen von C:\MSOCache\All Users\{90120000-006E-0407-0000-0000000FF1CE}-C\OfficeLR.cab!!!
Zeit überschritten beim Scannen von C:\Program Files\Adobe\Reader 8.0\Setup Files\{AC76BA86-7AD7-1031-7B44-A80000000002}\Data1.cab!!!
Zeit überschritten beim Scannen von C:\Program Files\Common Files\microsoft shared\OFFICE12\1031\ADO210.CHM!!!
Zeit überschritten beim Scannen von C:\Program Files\Common Files\microsoft shared\VBA\VBA6\1031\VBLR6.CHM!!!
Zeit überschritten beim Scannen von C:\SwSetup\MSWorks\GR\PFiles\MSWorks\WKSv7std.sbt!!!
Zeit überschritten beim Scannen von C:\SwSetup\QPW\data2.cab!!!
Zeit überschritten beim Scannen von C:\SwSetup\RoxioCB9\EMC_90\Data1.cab!!!
Zeit überschritten beim Scannen von C:\SwSetup\RoxioCB9\EMC_90\Data2.cab!!!
Zeit überschritten beim Scannen von C:\SwSetup\RoxioCB9\RCP_AUDIO_33\AUDIO.msi!!!
Zeit überschritten beim Scannen von C:\SwSetup\RoxioCB9\RCP_COPY_33\COPY.msi!!!
Zeit überschritten beim Scannen von C:\SwSetup\RoxioCB9\RCP_CORE_33\RCPCORE.msi!!!
Zeit überschritten beim Scannen von C:\SwSetup\RoxioCB9\RCP_DATA_33\BMPLE.msi!!!
Zeit überschritten beim Scannen von C:\SwSetup\RoxioCB9\RCP_EASYARCHIVE_33\EAC.msi!!!
Zeit überschritten beim Scannen von C:\SwSetup\RoxioCB9\RCP_TOOLS_33\TOOLS.msi!!!
Zeit überschritten beim Scannen von !!!
Zeit überschritten beim Scannen von C:\Users\Susa\AppData\Local\Adobe\Updater5\Install\reader8rdr-de_DE\AdbeRdr813_de_DE.msi!!!
Zeit überschritten beim Scannen von C:\Users\Susa\Downloads\mwav.exe!!!
Zeit überschritten beim Scannen von D:\preload\BASE3.WIM!!!
Zahl der gescannten Objekte: 156574
Zahl der kritischen Objekte: 27
Zahl der desinfizierten Objekte: 0
Zahl der umbenannten Objekte: 0
Zahl der gelöschten Objekte: 0
Zeit verstrichen: 01:05:18
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Speicherüberprüfung: Aktiviert
Überprüfung der Registrierungsdatenbank: Aktiviert
Überprüfung des Startordners: Aktiviert
Überprüfung des Systemordners: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Laufwerke: Deaktiviert
Überprüfung aller Laufwerke:Aktiviert
Überprüfung der Ordner: Deaktiviert
Batchstart: 17:54:48,01
Batchende: 17:55:07,61
|
|
26.01.2009, 19:27
| #12 |
| | Trojaner TR/Downloader.Gen und TR/Mail.Blen.FR und hier für die Festplatte: Code:
ATTFilter ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2008.03.07
Microsoft Windows [Version 6.0.6000]
Bootmodus: Normal
eScan Version: 11.0.20
Sprache: German
C:\Users\Susa\AppData\Local\Temp\MWAV.LOG
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\$RECYCLE.BIN\S-1-5-21-4170959885-371275627-2649944993-1000\$R17ERK3.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\$RECYCLE.BIN\S-1-5-21-4170959885-371275627-2649944993-1000\$R3XSFGZ.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\$RECYCLE.BIN\S-1-5-21-4170959885-371275627-2649944993-1000\$R6OU1JH.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\$RECYCLE.BIN\S-1-5-21-4170959885-371275627-2649944993-1000\$R7POZ42.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\$RECYCLE.BIN\S-1-5-21-4170959885-371275627-2649944993-1000\$R9ISRLI.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\$RECYCLE.BIN\S-1-5-21-4170959885-371275627-2649944993-1000\$RA59OLT.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\$RECYCLE.BIN\S-1-5-21-4170959885-371275627-2649944993-1000\$RHP3I7I.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\$RECYCLE.BIN\S-1-5-21-4170959885-371275627-2649944993-1000\$RI4X71U.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\$RECYCLE.BIN\S-1-5-21-4170959885-371275627-2649944993-1000\$RONLU3U.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\$RECYCLE.BIN\S-1-5-21-4170959885-371275627-2649944993-1000\$ROZRPP4.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\$RECYCLE.BIN\S-1-5-21-4170959885-371275627-2649944993-1000\$RPY5TYD.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\$RECYCLE.BIN\S-1-5-21-4170959885-371275627-2649944993-1000\$RRSI0CO.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\$RECYCLE.BIN\S-1-5-21-4170959885-371275627-2649944993-1000\$RS4D3ZP.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\$RECYCLE.BIN\S-1-5-21-4170959885-371275627-2649944993-1000\$RV30GDQ.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Users\Susa\Favorites\HP\eBay.url
Offending file found: C:\Users\Public\Documents\HBEPGUID.TXT
Offending file found: C:\Users\Susa\Favorites\HP\eBay.url
Offending file found: C:\Users\Public\Documents\HBEPGUID.TXT
~~~~~~~~~~~
~~~~ Spyware (Vorsicht: Oft Fehlalarm!)
~~~~~~~~~~~
eScan-AntiViren- und Antispyware-Werkzeugsatz.
C:\Program Files\SUPERAntiSpyware, 25-Jan-2009 [Ordner]
Antiviren- und Antispywaredatenbanken werden heruntergeladen...
eScan-AntiViren- und Antispyware-Werkzeugsatz.
C:\Program Files\SUPERAntiSpyware, 25-Jan-2009 [Ordner]
Antiviren- und Antispywaredatenbanken werden heruntergeladen...
eScan-AntiViren- und Antispyware-Werkzeugsatz.
Scannen Spyware: Aktiviert
** {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} = C:\Program Files\SUPERAntiSpyware\SASSEH.DLL
***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft *****
Indexed Spyware Databases Successfully Created...
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{9BD3A001-42A2-491E-AACA-9512F6CF4CDB})! Action taken: Keine Maßnahme ergriffen.
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{C5DA1F2B-B2BF-4DFC-BC9A-439133543A67})! Action taken: Keine Maßnahme ergriffen.
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{D2129738-6A78-4BCB-915A-412982CAA23D})! Action taken: Keine Maßnahme ergriffen.
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{DC90EAA6-69B8-4DE4-9A7B-5B2C5B3FEACD})! Action taken: Keine Maßnahme ergriffen.
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{1EDFD7DF-030D-4144-952E-9D7D86691CDB})! Action taken: Keine Maßnahme ergriffen.
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{459A91BC-193F-4A70-959C-BFF69D781142})! Action taken: Keine Maßnahme ergriffen.
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{464D3E06-7D5B-416F-A6EE-0FFB1A5E931B})! Action taken: Keine Maßnahme ergriffen.
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{497B84D4-FB2F-4AB0-A280-8AACFB4B355F})! Action taken: Keine Maßnahme ergriffen.
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{66718B8E-A382-4FE2-AA7A-926F9D8C4621})! Action taken: Keine Maßnahme ergriffen.
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{BC39A57D-DF2C-45B4-BFFD-7D55E911C1B2})! Action taken: Keine Maßnahme ergriffen.
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{CCA2E620-B807-451F-BAFD-2057AF9025FE})! Action taken: Keine Maßnahme ergriffen.
System found infected with ezula Spyware/Adware (eBay.url)! Action taken: Keine Maßnahme ergriffen.
System found infected with Adware.OneStep Adware (C:\Users\Public\Documents\HBEPGUID.TXT)! Action taken: Keine Maßnahme ergriffen.
C:\Users\Susa\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\Quarantine\Quarantine - 01-26-2009 - 00-38-55.SBU konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
Scannen Spyware: Aktiviert
***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft *****
Indexed Spyware Databases Successfully Created...
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{9BD3A001-42A2-491E-AACA-9512F6CF4CDB})! Action taken: Keine Maßnahme ergriffen.
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{C5DA1F2B-B2BF-4DFC-BC9A-439133543A67})! Action taken: Keine Maßnahme ergriffen.
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{D2129738-6A78-4BCB-915A-412982CAA23D})! Action taken: Keine Maßnahme ergriffen.
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{DC90EAA6-69B8-4DE4-9A7B-5B2C5B3FEACD})! Action taken: Keine Maßnahme ergriffen.
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{1EDFD7DF-030D-4144-952E-9D7D86691CDB})! Action taken: Keine Maßnahme ergriffen.
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{459A91BC-193F-4A70-959C-BFF69D781142})! Action taken: Keine Maßnahme ergriffen.
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{464D3E06-7D5B-416F-A6EE-0FFB1A5E931B})! Action taken: Keine Maßnahme ergriffen.
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{497B84D4-FB2F-4AB0-A280-8AACFB4B355F})! Action taken: Keine Maßnahme ergriffen.
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{66718B8E-A382-4FE2-AA7A-926F9D8C4621})! Action taken: Keine Maßnahme ergriffen.
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{BC39A57D-DF2C-45B4-BFFD-7D55E911C1B2})! Action taken: Keine Maßnahme ergriffen.
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{CCA2E620-B807-451F-BAFD-2057AF9025FE})! Action taken: Keine Maßnahme ergriffen.
System found infected with ezula Spyware/Adware (eBay.url)! Action taken: Keine Maßnahme ergriffen.
System found infected with Adware.OneStep Adware (C:\Users\Public\Documents\HBEPGUID.TXT)! Action taken: Keine Maßnahme ergriffen.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b3c4d772-ebbb-11dd-9f30-001641f63d2b} !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
laufende Prozesse - commandline
~~~~~~~~~~~~~~~~~~~~~~
System Idle Process -
System -
smss.exe -
csrss.exe -
wininit.exe -
csrss.exe -
services.exe -
lsass.exe -
lsm.exe -
winlogon.exe -
svchost.exe -
svchost.exe -
svchost.exe -
svchost.exe -
svchost.exe -
svchost.exe -
audiodg.exe -
SLsvc.exe -
svchost.exe -
svchost.exe -
spoolsv.exe -
sched.exe -
svchost.exe -
dwm.exe - "C:\Windows\system32\Dwm.exe"
explorer.exe - C:\Windows\Explorer.EXE
MSASCui.exe - "C:\Program Files\Windows Defender\MSASCui.exe" -hide
SynTPEnh.exe - "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe"
QPService.exe - "C:\Program Files\HP\QuickPlay\QPService.exe"
hpwuSchd2.exe - "C:\Program Files\HP\HP Software Update\hpwuSchd2.exe"
QLBCTRL.exe - "C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe" /Start
WiFiMsg.exe - "C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe"
HPWAMain.exe - "C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe"
jusched.exe - "C:\Program Files\Java\jre6\bin\jusched.exe"
PIFSvc.exe - "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
avgnt.exe - "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
GrooveMonitor.exe - "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
sidebar.exe - "C:\Program Files\Windows Sidebar\sidebar.exe" /autoRun
Skype.exe - "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
SUPERAntiSpyware.exe - "C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe"
avguard.exe -
svchost.exe -
CLCapSvc.exe -
LSSrvc.exe -
PIFSvc.exe -
svchost.exe -
svchost.exe -
SearchIndexer.exe -
XAudio.exe -
hpqwmiex.exe -
CLSched.exe -
taskeng.exe -
taskeng.exe - taskeng.exe {FF0F9A20-0924-4AB0-AD6E-BF167296BBFD}
taskeng.exe -
psi.exe -
WmiPrvSE.exe -
rundll32.exe - rundll32.exe NVSVC.DLL,nvsvcInitialize
HPQTOA~1.EXE - "C:\PROGRA~1\HEWLET~1\Shared\HPQTOA~1.EXE" -Embedding
HPHC_Service.exe -
firefox.exe - "C:\Program Files\Mozilla Firefox\firefox.exe"
TrustedInstaller.exe -
wuauclt.exe - "C:\Windows\system32\wuauclt.exe"
mexe.com -
conime.exe - C:\Windows\system32\conime.exe
SearchProtocolHost.exe -
SearchFilterHost.exe -
cmd.exe - cmd /c ""C:\Users\Susa\Desktop\find.bat" "
cscript.exe - cscript C:\escan\prclst.vbs //nologo
WmiPrvSE.exe -
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Windows\system32\asferror.dll (2048), 25-Jan-2009, Microsoft Corporation, Betriebssystem Microsoft® Windows®
C:\Windows\system32\mferror.dll (2048), 25-Jan-2009, Microsoft Corporation, Betriebssystem Microsoft® Windows®
C:\Windows\system32\asferror.dll (2048), 25-Jan-2009, Microsoft Corporation, Betriebssystem Microsoft® Windows®
C:\Windows\system32\mferror.dll (2048), 25-Jan-2009, Microsoft Corporation, Betriebssystem Microsoft® Windows®
ERROR!!! Invalid Entry \SystemRoot\system32\drivers\blbdrive.sys in HKLM\SYSTEM\CurrentControlSet\Services\blbdrive. Action Taken: No Action Taken.
ERROR!!! Invalid Entry "c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon in HKLM\SYSTEM\CurrentControlSet\Services\CLTNetCnService. Action Taken: No Action Taken.
ERROR!!! Invalid Entry "c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon in HKLM\SYSTEM\CurrentControlSet\Services\LiveUpdate Notice Ex. Action Taken: No Action Taken.
ERROR(3)!!! ScanFile fails for C:\Windows\bthservsdp.dat
ERROR(3)!!! ScanFile fails for C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
ERROR(3)!!! ScanFile fails for C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
ERROR(3)!!! ScanFile fails for C:\hiberfil.sys
ERROR(3)!!! ScanFile fails for C:\HP\HPQWare\dtshortcuts\KO_KR\??.lnk
ERROR(3)!!! ScanFile fails for C:\HP\HPQWare\dtshortcuts\ZH_CN\????.lnk
ERROR(3)!!! ScanFile fails for C:\HP\HPQWare\dtshortcuts\ZH_HK\?????eBay!.lnk
ERROR(3)!!! ScanFile fails for C:\HP\HPQWare\favs\KO_KR\HP\??.url
ERROR(3)!!! ScanFile fails for C:\HP\HPQWare\favs\ZH_CN\HP\????.url
ERROR(3)!!! ScanFile fails for C:\HP\HPQWare\favs\ZH_HK\HP\?????eBay!.url
ERROR(3)!!! ScanFile fails for C:\HP\HPQWare\StartMenuLink\KO_KR\??.lnk
ERROR(3)!!! ScanFile fails for C:\HP\HPQWare\StartMenuLink\ZH_CN\????.lnk
ERROR(3)!!! ScanFile fails for C:\HP\HPQWare\StartMenuLink\ZH_HK\?????eBay!.lnk
ERROR(3)!!! ScanFile fails for C:\pagefile.sys
ERROR(3)!!! ScanFile fails for C:\ProgramData\Microsoft\Search\Data\Applications\Windows\MSS.log
ERROR(3)!!! ScanFile fails for C:\ProgramData\Microsoft\Search\Data\Applications\Windows\tmp.edb
ERROR(3)!!! ScanFile fails for C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Windows.edb
ERROR(3)!!! ScanFile fails for C:\Users\Susa\AppData\Local\Microsoft\Windows\UsrClass.dat
ERROR(3)!!! ScanFile fails for C:\Users\Susa\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG1
ERROR(3)!!! ScanFile fails for C:\Users\Susa\AppData\Local\Microsoft\Windows Defender\FileTracker\{4B591747-7F71-4DE9-A89B-A0B420A612C9}
ERROR(3)!!! ScanFile fails for C:\Users\Susa\AppData\Roaming\Mozilla\Firefox\Profiles\5rcf4jea.default\places.sqlite-journal
ERROR(3)!!! ScanFile fails for C:\Users\Susa\NTUSER.DAT
ERROR(3)!!! ScanFile fails for C:\Users\Susa\ntuser.dat.LOG1
ERROR(3)!!! ScanFile fails for C:\WINDOWS\bthservsdp.dat
ERROR(3)!!! ScanFile fails for C:\WINDOWS\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
ERROR(3)!!! ScanFile fails for C:\WINDOWS\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
ERROR(3)!!! ScanFile fails for C:\WINDOWS\ServiceProfiles\LocalService\NTUSER.DAT
ERROR(3)!!! ScanFile fails for C:\WINDOWS\ServiceProfiles\LocalService\ntuser.dat.LOG1
ERROR(3)!!! ScanFile fails for C:\WINDOWS\ServiceProfiles\NetworkService\NTUSER.DAT
ERROR(3)!!! ScanFile fails for C:\WINDOWS\ServiceProfiles\NetworkService\ntuser.dat.LOG1
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\catroot2\edb.log
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\catroot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\COMPONENTS
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\COMPONENTS.LOG1
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\DEFAULT
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\DEFAULT.LOG1
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\RegBack\COMPONENTS
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\RegBack\DEFAULT
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\RegBack\SAM
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\RegBack\SECURITY
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\RegBack\SOFTWARE
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\RegBack\SYSTEM
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\SAM
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\SAM.LOG1
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\SECURITY
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\SECURITY.LOG1
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\SOFTWARE
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\SOFTWARE.LOG1
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\SYSTEM
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\config\SYSTEM.LOG1
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\SMI\Store\Machine\SCHEMA.DAT
ERROR(3)!!! ScanFile fails for C:\WINDOWS\System32\SMI\Store\Machine\schema.dat.LOG1
ERROR(3)!!! ScanFile fails for D:\System Volume Information\Desktop.ini
ERROR(3)!!! ScanFile fails for D:\System Volume Information\Folder.htt
ERROR(3)!!! ScanFile fails for D:\System Volume Information\Protect.ed
ERROR(3)!!! ScanFile fails for F:\Susanne\Studium\_Sem4_SS08\_Englisch_\20080520_?-Learning_GET CUSTOMS.doc
ERROR(3)!!! ScanFile fails for F:\Susa\Desktop\Susanne\Studium\_Sem4_SS08\_Englisch_\20080520_?-Learning_GET CUSTOMS.doc
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\Windows\System32\drivers\etc\hosts:
C:\Windows\System32\drivers\etc\hosts:127.0.0.1 localhost
C:\Windows\System32\drivers\etc\hosts:::1 localhost
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Zeit überschritten beim Scannen von C:\$RECYCLE.BIN\S-1-5-21-4170959885-371275627-2649944993-1000\$RIY4QBR.exe!!!
Zeit überschritten beim Scannen von C:\$RECYCLE.BIN\S-1-5-21-4170959885-371275627-2649944993-1000\$RLGW3MR.exe!!!
Zeit überschritten beim Scannen von C:\MSOCache\All Users\{90120000-0015-0407-0000-0000000FF1CE}-C\AccLR.cab!!!
Zeit überschritten beim Scannen von C:\MSOCache\All Users\{90120000-0030-0000-0000-0000000FF1CE}-C\EnterWW.cab!!!
Zeit überschritten beim Scannen von C:\MSOCache\All Users\{90120000-0044-0407-0000-0000000FF1CE}-C\InfLR.cab!!!
Zeit überschritten beim Scannen von C:\MSOCache\All Users\{90120000-006E-0407-0000-0000000FF1CE}-C\OfficeLR.cab!!!
Zeit überschritten beim Scannen von C:\Program Files\Adobe\Reader 8.0\Setup Files\{AC76BA86-7AD7-1031-7B44-A80000000002}\Data1.cab!!!
Zeit überschritten beim Scannen von C:\Program Files\Common Files\microsoft shared\OFFICE12\1031\ADO210.CHM!!!
Zeit überschritten beim Scannen von C:\Program Files\Common Files\microsoft shared\VBA\VBA6\1031\VBLR6.CHM!!!
Zeit überschritten beim Scannen von C:\SwSetup\MSWorks\GR\PFiles\MSWorks\WKSv7std.sbt!!!
Zeit überschritten beim Scannen von C:\SwSetup\QPW\data2.cab!!!
Zeit überschritten beim Scannen von C:\SwSetup\RoxioCB9\EMC_90\Data1.cab!!!
Zeit überschritten beim Scannen von C:\SwSetup\RoxioCB9\EMC_90\Data2.cab!!!
Zeit überschritten beim Scannen von C:\SwSetup\RoxioCB9\RCP_AUDIO_33\AUDIO.msi!!!
Zeit überschritten beim Scannen von C:\SwSetup\RoxioCB9\RCP_COPY_33\COPY.msi!!!
Zeit überschritten beim Scannen von C:\SwSetup\RoxioCB9\RCP_CORE_33\RCPCORE.msi!!!
Zeit überschritten beim Scannen von C:\SwSetup\RoxioCB9\RCP_DATA_33\BMPLE.msi!!!
Zeit überschritten beim Scannen von C:\SwSetup\RoxioCB9\RCP_EASYARCHIVE_33\EAC.msi!!!
Zeit überschritten beim Scannen von C:\SwSetup\RoxioCB9\RCP_TOOLS_33\TOOLS.msi!!!
Zeit überschritten beim Scannen von !!!
Zeit überschritten beim Scannen von C:\Users\Susa\AppData\Local\Adobe\Updater5\Install\reader8rdr-de_DE\AdbeRdr813_de_DE.msi!!!
Zeit überschritten beim Scannen von C:\Users\Susa\Downloads\mwav.exe!!!
Zeit überschritten beim Scannen von D:\preload\BASE3.WIM!!!
Zahl der gescannten Objekte: 156574
Zahl der kritischen Objekte: 27
Zahl der desinfizierten Objekte: 0
Zahl der umbenannten Objekte: 0
Zahl der gelöschten Objekte: 0
Zeit verstrichen: 01:05:18
Zeit überschritten beim Scannen von F:\Susanne\Studium\ISN\_ESNSatellite_\gallery-2.2.1-typical.zip!!!
Zeit überschritten beim Scannen von F:\Susa\Desktop\Susanne\Programme\BlazeMediaPro\setup_blazemp.exe!!!
Zeit überschritten beim Scannen von F:\Susa\Desktop\Susanne\Programme\Fotobuch\fotobuch_de.exe!!!
Zeit überschritten beim Scannen von F:\Susa\Desktop\Susanne\Programme\Fotobuch Design-Center2\fotobuch_de.exe!!!
Zeit überschritten beim Scannen von F:\Susa\Desktop\Susanne\Programme\GooglePicasa\picasa2-current.exe!!!
Zeit überschritten beim Scannen von F:\Susa\Desktop\Susanne\Schule\USB\Prüfung\Planungs-Kriterien.ppt!!!
Zeit überschritten beim Scannen von F:\Susa\Desktop\Susanne\Studium\ISN\_ESNSatellite_\gallery-2.2.1-typical.zip!!!
Zeit überschritten beim Scannen von F:\Susa\Outlook\kontakte.pst!!!
Zeit überschritten beim Scannen von F:\Susa\Outlook\Outlook.pst!!!
Zeit überschritten beim Scannen von F:\Susa\Outlook\Outlookmail.fh-stpoelten.ac.at-00000004.pst!!!
Zahl der gescannten Objekte: 159811
Zahl der kritischen Objekte: 13
Zeit verstrichen: 00:58:33
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Speicherüberprüfung: Aktiviert
Überprüfung der Registrierungsdatenbank: Aktiviert
Überprüfung des Startordners: Aktiviert
Überprüfung des Systemordners: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Laufwerke: Deaktiviert
Überprüfung aller Laufwerke:Aktiviert
Überprüfung der Ordner: Deaktiviert
Speicherüberprüfung: Deaktiviert
Überprüfung der Registrierungsdatenbank: Deaktiviert
Überprüfung des Startordners: Deaktiviert
Überprüfung des Systemordners: Deaktiviert
Überprüfung der Dienste: Deaktiviert
Überprüfung der Laufwerke: Aktiviert
Überprüfung aller Laufwerke:Deaktiviert
Batchstart: 19:18:24,22
Batchende: 19:18:50,20
|
|
26.01.2009, 20:09
| #13 |
| /// AVZ-Toolkit Guru | Trojaner TR/Downloader.Gen und TR/Mail.Blen.FR Wenn du den Rechner nach Anleitung neuaufgesetzt hast ist er sauber.. Und welche Dateien du rüberziehen darfst und welche nicht das hab ich dir geschrieben. Da sind einige nicht in Ordnung..
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
| Themen zu Trojaner TR/Downloader.Gen und TR/Mail.Blen.FR |
| anfang, antivir, antivirus, audiodg.exe, avira, bho, bonjour, computer, excel, firefox, hijackthis, hilfe!!, hilfe!!!, immer wieder, internet, internet explorer, launch, local\temp, logfile, logon.exe, mozilla, nt.dll, picasa, prozesse, registry, rundll, service pack 1, software, suchlauf, svchost.exe, symantec, system, trojaner, verweise, virus gefunden, vista, warnung, windows, windows defender, windows sidebar |
Linear-Darstellung
