|
Plagegeister aller Art und deren Bekämpfung: Win32Tr\.\yBankerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
14.02.2009, 13:06 | #1 |
| Win32Tr\.\yBanker guten tag, vorneweg ich kenne das forum schon länger und es hat mir immer recht viel geholfen (auch als nicht registrierter benutzer), doch diesmal, hat selbst meine google suche nichts gebracht. also ich habe heute mittag mal die neue Ad-aware version durchlaufen lassen und er hat folgendes gefunden: 1. ganz normal cookies 2. den eintrag Win32Tr\.\yBanker meine frage nun, was ist das und was macht der ? denn ja, ich betreibe online banking mit 2 konten, bin auch auf mehreren anderen seiten angemeldet wo geld im spiel sein kann (shops, bwin usw.) und ehrlich gesagt habe ich gerade etwas panik naja hoffe mal das ihr mir helfen könnt mfg La Espada PS: falls weiter dinge von nöten sind, sagt bescheid |
17.02.2009, 20:49 | #2 |
| Win32Tr\.\yBanker ich pushe das thema nochmal nach oben, da ich wirklich nicht weiß wie ich reagieren soll
__________________ |
18.02.2009, 08:53 | #3 |
| Win32Tr\.\yBanker Hi,
__________________ein bisschen mehr Informationen könntest Du uns schon geben, z. B. wo wird das Teil gefunden, genauer Laut der Meldung und ein HJ-Log gemäß dem Link in meiner Signatur. In der Zwischenzeit keinerlei Banking mehr! chris
__________________ |
18.02.2009, 21:38 | #4 |
| Win32Tr\.\yBanker screenshot: hijackthis log: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:24:11, on 18.02.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe C:\Programme\Sunbelt Software\Personal Firewall\SbPFLnch.exe C:\Programme\Sunbelt Software\Personal Firewall\SbPFSvc.exe C:\Programme\Sunbelt Software\Personal Firewall\SbPFCl.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\RocketDock\RocketDock.exe C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe C:\Programme\Creative\MediaSource5\MtdAcqu.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\Programme\Windows Live\Contacts\wlcomm.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://layer-ads.de/ad.php?random|42292 O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM\..\Run: [RoxWatchTray] "C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe" O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe" O4 - HKCU\..\Run: [MtdAcqu] "C:\Programme\Creative\MediaSource5\MtdAcqu.exe" /s O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ? O8 - Extra context menu item: add to &BOM - C:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Programme\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Programme\Roxio\Digital Home 9\RoxioUpnpService9.exe O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Programme\Sunbelt Software\Personal Firewall\SbPFLnch.exe O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Programme\Sunbelt Software\Personal Firewall\SbPFSvc.exe -- End of file - 8711 bytes |
18.02.2009, 21:59 | #5 | |
| Win32Tr\.\yBanker C:\System Volume Information.... sieht mal wieder nach einem übeltäter in den systemwiederherstellungsdateien aus. brauchst du die systemwiederherstellung überhaupt? zumal gerade eine akute bedrohung durch diesen virus ausgeht, würde sich eventuell empfiehlen, die systemwiederherstellung zu deaktivieren, so dass die wiederherstellungspunkte gelöscht werden. Rechtsklick auf Arbeitsplatz -> Eigenschaften -> Systemwiederherstellung -> Systemwiederherstellung auf allen Laufwerken deaktivieren -------------- bei dem logfile sehe ich jetzt nichts, was da nicht sein sollte. den eintrag hier kannst du allerdings fixen mit hijackthis, der verweist auf eine nicht mehr vorhandene datei: Zitat:
lg |
19.02.2009, 07:35 | #6 |
| Win32Tr\.\yBanker Hi, Systemwiederherstellung löschen http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten (bevor es weiter geht, unbedingt durchführen): Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen Eventuell muss die Systemwiederherstellung noch mal geplättet werden, das sehen wir aber nachher... RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ speichere es auf Deinem Desktop. Starte mit Doppelklick die RSIT.exe. Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Fullscan und alles bereinigen lassen! Log posten. Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp chris
__________________ --> Win32Tr\.\yBanker |
20.02.2009, 15:45 | #7 | |
| Win32Tr\.\yBankerZitat:
mfg La Espada |
20.02.2009, 16:02 | #8 |
| Win32Tr\.\yBanker Hi, RSIT erzeugt ein aussagekräftiges Log von Deinem Rechner (welche Dateien/Verzeichnisse wurden geändert, Reg.-Einträge Dienste, Einstellungen etc.) alles wo sich die netten kleinen Tierchen niederlassen könnten (und die finden immer neue Plätze die wir dann nicht sehen)... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
25.02.2009, 14:11 | #9 |
| Win32Tr\.\yBanker Hallo, ich habe diesen Thread über Google gefunden. Seit gestern stürzte meine explorer.exe immer mal wieder ab. Deshalb entschloss ich mich Ad-Aware durchlaufen zu lassen und auch bei mir wurde der Win32Tr\.\yBanker an 3 Stellen gefunden. Und zwar waren in meinem GTA San Andreas Ordner die samp.exe vom inoffiziellen mod und 2 verknüpfungen betroffen. Ich bin jetzt der Anleitung hier so gut es geht gefolgt und werde dann gleich mal meine Logfiles posten, wenn alles klappt! Merkwürdig finde ich nur, dass bei mir die Dateien im GTA Ordner befallen sind. Bei meinem Bruder, der die Dateien von mir gezogen und ebenfalls installiert hat scheint alles in Ordnung zu sein. Daraus könnte man doch eigentlich schließen, dass ich mir den Trojaner/Virus auf anderem Wege eingefangen hab?! |
25.02.2009, 16:00 | #10 |
| Win32Tr\.\yBanker Habe den Editbutton nicht finden können. Ich poste hier mal meine log.txt. Zusammen mit der info.txt wäre ich auf 51690 Zeichen gekommen, was ja zuviel ist. Wäre nett, wenn mir jemand die relevanten Daten aus der info.txt sagen könnte Und hier die log.txt (Registry dump und anderen entfernt) Code:
ATTFilter Logfile of random's system information tool 1.05 (written by random/random) Microsoft Windows XP Professional Service Pack 3 System drive C: has 14 GB (15%) free of 95 GB Total RAM: 1023 MB (37% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:39:00, on 25.02.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\COMODO\Firewall\cmdagent.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\COMODO\Firewall\cfp.exe C:\Programme\Microsoft IntelliPoint\ipoint.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe C:\Programme\PC Connectivity Solution\ServiceLayer.exe C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\ICQ6.5\ICQ.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\MEIN NAME\Desktop\RSIT.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\trend micro\MEIN NAME.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.yahoo.com/fsc/ O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [InstantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\COMODO\Firewall\cfp.exe" -h O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\Firewall\cfp.exe" -h O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe" O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [Infium] "C:\Programme\QIP Infium\infium.exe" O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing) O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\Firewall\cmdagent.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing) O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- End of file - 8432 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job C:\WINDOWS\tasks\AppleSoftwareUpdate.job ======List of files/folders created in the last 1 months====== 2009-02-25 15:38:29 ----D---- C:\Programme\trend micro 2009-02-25 15:38:08 ----D---- C:\rsit 2009-02-25 14:15:50 ----HDC---- C:\WINDOWS\$NtUninstallKB967715$ 2009-02-25 14:14:18 ----D---- C:\WINDOWS\LastGood 2009-02-25 13:55:47 ----D---- C:\Dokumente und Einstellungen\MEIN NAMEz\Anwendungsdaten\Malwarebytes 2009-02-25 13:55:10 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-02-25 13:55:09 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2009-02-24 13:08:48 ----D---- C:\Programme\Apple Software Update 2009-02-24 13:08:48 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple 2009-02-20 16:32:15 ----D---- C:\spiele 2009-02-12 23:27:46 ----HDC---- C:\WINDOWS\$NtUninstallKB960715$ 2009-02-12 00:19:51 ----D---- C:\Programme\AskBarDis 2009-02-12 00:19:33 ----A---- C:\WINDOWS\system32\msvcr70.dll ======List of files/folders modified in the last 1 months====== 2009-02-25 15:38:29 ----RAD---- C:\Programme 2009-02-25 15:37:59 ----D---- C:\WINDOWS\Prefetch 2009-02-25 14:27:50 ----D---- C:\Programme\Mozilla Firefox 2009-02-25 14:16:47 ----HD---- C:\WINDOWS\inf 2009-02-25 14:16:45 ----D---- C:\WINDOWS 2009-02-25 14:16:10 ----RSHDC---- C:\WINDOWS\system32\dllcache 2009-02-25 14:15:58 ----AD---- C:\WINDOWS\system32 2009-02-25 14:14:11 ----D---- C:\WINDOWS\system32\CatRoot2 2009-02-25 13:57:48 ----D---- C:\WINDOWS\Temp 2009-02-25 13:55:22 ----D---- C:\WINDOWS\system32\drivers 2009-02-25 13:53:35 ----SHD---- C:\System Volume Information 2009-02-25 13:53:35 ----D---- C:\WINDOWS\system32\Restore 2009-02-25 13:52:10 ----A---- C:\WINDOWS\ModemLog_Motorola SM56 Data Fax Modem.txt 2009-02-25 13:51:36 ----SHD---- C:\Config.Msi 2009-02-25 13:51:36 ----D---- C:\Programme\AntiVir PersonalEdition Classic 2009-02-25 13:50:14 ----A---- C:\WINDOWS\SchedLgU.Txt 2009-02-25 13:29:23 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2009-02-25 13:24:05 ----D---- C:\Downloads 2009-02-25 13:19:12 ----HD---- C:\Programme\InstallShield Installation Information 2009-02-25 13:10:17 ----D---- C:\WINDOWS\Debug 2009-02-25 13:05:34 ----A---- C:\WINDOWS\NeroDigital.ini 2009-02-25 13:02:09 ----SHD---- C:\WINDOWS\Installer 2009-02-25 13:01:07 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer 2009-02-25 11:10:40 ----HD---- C:\WINDOWS\$hf_mig$ 2009-02-23 20:07:37 ----D---- C:\Programme\mircmania 2009-02-23 15:36:59 ----D---- C:\Dokumente und Einstellungen\MEIN NAME\Anwendungsdaten\teamspeak2 2009-02-20 16:55:36 ----RSD---- C:\WINDOWS\Fonts 2009-02-18 11:41:37 ----D---- C:\Programme\Steam 2009-02-12 23:27:09 ----D---- C:\Programme\Internet Explorer 2009-02-12 23:26:55 ----D---- C:\WINDOWS\ie7updates 2009-02-12 05:56:17 ----A---- C:\WINDOWS\system32\MRT.exe 2009-02-12 00:19:34 ----D---- C:\Programme\Gemeinsame Dateien\DVDVideoSoft 2009-02-08 19:39:24 ----D---- C:\WINDOWS\system32\Macromed 2009-02-08 13:58:25 ----SD---- C:\WINDOWS\Downloaded Program Files 2009-02-02 13:10:39 ----A---- C:\WINDOWS\system32\lsdelete.exe 2009-01-28 20:42:40 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 atitray;atitray; \??\C:\Programme\Radeon Omega Drivers\v4.8.442\ATI Tray Tools\atitray.sys [] R1 avgio;avgio; \??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys [] R1 cmdGuard;COMODO Firewall Pro Sandbox Driver; C:\WINDOWS\System32\DRIVERS\cmdguard.sys [2008-12-09 101776] R1 cmdHlp;COMODO Firewall Pro Helper Driver; C:\WINDOWS\System32\DRIVERS\cmdhlp.sys [2008-11-19 31504] R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448] R1 WmiAcpi;Microsoft Windows-Verwaltungsschnittstelle für ACPI; C:\WINDOWS\system32\DRIVERS\wmiacpi.sys [2008-04-13 8832] R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.4.5.0; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2008-03-08 21035] R2 NwlnkIpx;NWLink IPX/SPX/NetBIOS-kompatibles Transportprotokoll; C:\WINDOWS\system32\DRIVERS\nwlnkipx.sys [2008-04-13 88320] R2 NwlnkNb;NWLink-NetBIOS; C:\WINDOWS\system32\DRIVERS\nwlnknb.sys [2004-08-10 63232] R2 NwlnkSpx;NWLink SPX/SPXII-Protokoll; C:\WINDOWS\system32\DRIVERS\nwlnkspx.sys [2004-08-10 55936] R2 Sentinel;Sentinel; C:\WINDOWS\System32\Drivers\SENTINEL.SYS [2004-05-14 76288] R2 tmcomm;tmcomm; \??\C:\WINDOWS\system32\drivers\tmcomm.sys [] R2 U3sHlpDr;U3sHlpDr; \??\C:\WINDOWS\System32\Drivers\U3sHlpDr.sys [] R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800] R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2007-12-05 2782208] R3 avgntflt;avgntflt; \??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys [] R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2008-04-13 13952] R3 dtscsi;dtscsi; C:\WINDOWS\System32\Drivers\dtscsi.sys [2006-08-19 223128] R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384] R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368] R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2005-08-01 2547008] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288] R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824] R3 Point32;Microsoft IntelliPoint Filter Driver; C:\WINDOWS\system32\DRIVERS\point32.sys [2008-06-10 31048] R3 RTL8023xp;Realtek RTL8139/810x/8169/8110 all in one NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtlnicxp.sys [2005-08-01 70912] R3 smserial;smserial; C:\WINDOWS\system32\DRIVERS\smserial.sys [2005-08-01 839724] R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2005-03-18 188928] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608] R3 w29n51;Intel(R) PRO/Wireless 2200BG Netzwerkverbindungstreiber für Windows XP; C:\WINDOWS\system32\DRIVERS\w29n51.sys [2008-01-07 2216064] S3 camfilt2;camfilt2; C:\WINDOWS\system32\DRIVERS\camfilt2.sys [2007-08-06 94720] S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024] S3 hamachi;Hamachi Network Interface; C:\WINDOWS\system32\DRIVERS\hamachi.sys [2007-09-19 17480] S3 HdAudAddService;Microsoft UAA-Funktionstreiber für den High Definition Audio-Dienst; C:\WINDOWS\system32\drivers\HdAudio.sys [2005-01-07 145920] S3 MHNDRV;MHN-Treiber; C:\WINDOWS\system32\DRIVERS\mhndrv.sys [2004-08-10 11008] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504] S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248] S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880] S3 pccsmcfd;PCCS Mode Change Filter Driver; C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys [2008-08-26 18816] S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver; C:\WINDOWS\system32\DRIVERS\wg111v2.sys [] S3 SCREAMINGBDRIVER;Screaming Bee Audio; C:\WINDOWS\system32\drivers\ScreamingBAudio.sys [] S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136] S3 SNPSTD3;Hercules Classic Silver; C:\WINDOWS\system32\DRIVERS\snpstd3.sys [2007-07-17 10371072] S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232] S3 SysInteg19234;SysInteg19234; \??\C:\WINDOWS\system32\drivers\SysInteg010.sys [] S3 usb2vcom;USB to Serial Bridge Controller; C:\WINDOWS\System32\Drivers\usb2vcom.sys [2006-07-17 30368] S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032] S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856] S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368] S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-15 82688] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AntiVirScheduler;AntiVir PersonalEdition Classic Planer; C:\Programme\AntiVir PersonalEdition Classic\sched.exe [2008-10-23 68865] R2 AntiVirService;AntiVir PersonalEdition Classic Guard; C:\Programme\AntiVir PersonalEdition Classic\avguard.exe [2008-10-23 151297] R2 cmdAgent;COMODO Internet Security Helper Service; C:\Programme\COMODO\Firewall\cmdagent.exe [2008-12-09 618232] R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-01-09 152984] R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service; C:\Programme\Lavasoft\Ad-Aware\AAWService.exe [2009-02-02 950096] R2 McrdSvc;Media Center Extender Service; C:\WINDOWS\ehome\mcrdsvc.exe [2005-08-05 99328] R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-19 322120] R2 PnkBstrA;PnkBstrA; C:\WINDOWS\system32\PnkBstrA.exe [2008-03-14 66872] R2 PnkBstrB;PnkBstrB; C:\WINDOWS\system32\PnkBstrB.exe [2008-03-14 103736] R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336] R3 ServiceLayer;ServiceLayer; C:\Programme\PC Connectivity Solution\ServiceLayer.exe [2008-11-11 620544] S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2007-09-28 593920] S2 Fax;Fax; C:\WINDOWS\system32\fxssvc.exe [2008-04-14 268800] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-04-13 33632] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-04-13 68952] S3 de_serv;AVM FRITZ!web Routing Service; C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe [] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance; C:\MAGIX\Common\Database\bin\fbserver.exe [2005-08-10 1527900] S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728] S3 MHN;MHN; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336] S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136] S3 usprserv;User Privilege Service; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336] S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576] S4 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2007-12-05 495616] -----------------EOF----------------- Geändert von Gnirehtarb (25.02.2009 um 16:11 Uhr) |
26.02.2009, 08:12 | #11 |
| Win32Tr\.\yBanker @Gnirehtarb Hi, bitte die von Dir gefundenen Files (welche waren es, wo?) bei Virustotal prüfen lassen, plus die unten angegebenen Treiber: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\System32\Drivers\dtscsi.sys (Daemontools oder ein Wurm) C:\WINDOWS\system32\DRIVERS\mhndrv.sys (http://www.prevx.com/filenames/X2639274353248427300-0/MHNDRV2ESYS.html)
Bitte scannen mit MAM und Prevx! Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Fullscan und alles bereinigen lassen! Log posten. Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp Prevx: http://www.prevx.com/freescan.asp Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
26.02.2009, 11:48 | #12 |
| Win32Tr\.\yBanker Vielen Dank für die schnelle Antwort. Ich hab die versteckten Ordner angezeigt und dann Virustotal benutzt. Folgendes kam dabei heraus: Code:
ATTFilter Datei mhndrv.sys empfangen 2009.02.26 11:30:32 (CET) Status: Beendet Nicht gefunden Ergebnis: 0/39 (0%) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.93 2009.02.26 - AhnLab-V3 2009.2.26.0 2009.02.25 - AntiVir 7.9.0.88 2009.02.26 - Authentium 5.1.0.4 2009.02.25 - Avast 4.8.1335.0 2009.02.25 - AVG 8.0.0.237 2009.02.26 - BitDefender 7.2 2009.02.26 - CAT-QuickHeal 10.00 2009.02.26 - ClamAV 0.94.1 2009.02.25 - Comodo 986 2009.02.20 - DrWeb 4.44.0.09170 2009.02.26 - eSafe 7.0.17.0 2009.02.25 - eTrust-Vet 31.6.6375 2009.02.26 - F-Prot 4.4.4.56 2009.02.25 - F-Secure 8.0.14470.0 2009.02.26 - Fortinet 3.117.0.0 2009.02.26 - GData 19 2009.02.26 - Ikarus T3.1.1.45.0 2009.02.26 - K7AntiVirus 7.10.647 2009.02.25 - Kaspersky 7.0.0.125 2009.02.26 - McAfee 5536 2009.02.25 - McAfee+Artemis 5536 2009.02.25 - Microsoft 1.4306 2009.02.26 - NOD32 3890 2009.02.26 - Norman 6.00.06 2009.02.25 - nProtect 2009.1.8.0 2009.02.26 - Panda 10.0.0.10 2009.02.26 - PCTools 4.4.2.0 2009.02.25 - Prevx1 V2 2009.02.26 - Rising 21.18.32.00 2009.02.26 - SecureWeb-Gateway 6.0.0 2009.02.26 - Sophos 4.39.0 2009.02.26 - Sunbelt 3.2.1858.2 2009.02.25 - Symantec 10 2009.02.26 - TheHacker 6.3.2.5.265 2009.02.25 - TrendMicro 8.700.0.1004 2009.02.26 - VBA32 3.12.10.0 2009.02.26 - ViRobot 2009.2.26.1624 2009.02.26 - VirusBuster 4.5.11.0 2009.02.25 - weitere Informationen File size: 11008 bytes MD5...: 7f2f1d2815a6449d346fcccbc569fbd6 SHA1..: 3085859db0bf86a7014c1222321d68b0605768dd SHA256: 1c5a321ce95ce4d9aa2cb5a00e9b7e711521a6bbb25d36f7f49a397c361585c6 SHA512: fd1cc04ebe6043f5fcee6fe5bc57185b050f07a88b8c1dba7d60d292b929bdcb bfaf1c0c93e5d4fcd537b939d8b11ca46c065fd8b6006a8d5f2ff0847e9364e8 ssdeep: 192:6L9DvB9rtRzH8chmCWnh6RIBLQsOyh8iOIoJRaO0LmCsW1pvvW5DXVmVw:6L 1vB9rrccWzZtlh0dJRh+/sW1pvvWe PEiD..: - TrID..: File type identification Generic Win/DOS Executable (49.9%) DOS Executable Generic (49.8%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x12085 timedatestamp.....: 0x4118a72e (Tue Aug 10 10:45:02 2004) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x300 0x1af4 0x1b00 6.24 e85d995947c2851c7b7da2fa6ab865df .rdata 0x1e00 0x1a4 0x200 3.13 1e44126c3497709bada215832493fd75 .data 0x2000 0x44 0x80 0.38 0c41a08c90a7d5e81bf065649ebabedc INIT 0x2080 0x32a 0x380 4.98 eac5e44018d7b0f8ed40eed75a287e33 .rsrc 0x2400 0x440 0x480 3.31 1fd1baf851cca727b2ec3ee4fbb367bc .reloc 0x2880 0x248 0x280 5.79 d40d025ca4fa1787c2f6b0336a028023 ( 2 imports ) > ntoskrnl.exe: KeInitializeSpinLock, IoCreateDevice, RtlInitUnicodeString, MmUnlockPages, IoFreeMdl, ExAllocatePoolWithQuotaTag, _except_handler3, IoReleaseCancelSpinLock, IoAcquireCancelSpinLock, ExFreePoolWithTag, KeAcquireInStackQueuedSpinLockAtDpcLevel, MmMapLockedPagesSpecifyCache, MmProbeAndLockPages, IoAllocateMdl, ProbeForWrite, SeSinglePrivilegeCheck, SeExports, KeTickCount, IoDeleteDevice, KeReleaseInStackQueuedSpinLockFromDpcLevel, IofCompleteRequest > HAL.dll: KeReleaseInStackQueuedSpinLock, KeAcquireInStackQueuedSpinLock ( 0 exports ) Mit Malwarebytes habe ich gescannt und nichts gefunden. Prevx sagt auch: Status CLEAN Die Files in denen der Banker gefunden wurde, sind mittlerweile ja von Ad Aware entfernt oder kann man die noch irgendwo finden, wenn die unter Quarantäne gestellt sind? |
Themen zu Win32Tr\.\yBanker |
ad-aware, anderen, angemeldet, benutzer, dinge, folge, folgendes, forum, frage, geld, google, guten, länger, neue, nichts, online, online banking, panik, recht, seite, seiten, suche, version, win, win32 |