|
Plagegeister aller Art und deren Bekämpfung: Trojan-Dropper.SEH + PopupWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
16.02.2009, 23:34 | #1 |
| Trojan-Dropper.SEH + Popup Hallo Forum! Ich bin neu hier, mein Problem aber wahrscheinlich nicht. Ich versuche jetzt schon seit 4 Tagen einen lästigen Zeitgenossen loszuwerden. Ich habe schon jede Menge gegoogelt und noch mehr ausprobiert., In diesem Forum gab es schon einen thread dazu. Die Vorschläge habe ich auch alle durchprobiert. Malwarebytes Antimalware -> kein Fund Kaspersky -> kein Fund (mehr dazu später) Antivir -> kein Fund PC-Doctor -> findet und löscht in der reg den Trojan Dropper.SEH Navilog habe ich auch durchlaufen lassen, das hat auch keinen Erfolg gebracht. Das Problem: Den Trojan-Dropper.SEH kann der PC-Doctor (Vollversion) finden und auch löschen, nach einem Neustart ist er aber wieder da. Ich vermutre einen Service dafür in System32 (wird leider vor Kaspersky gestartet) Beim Internet Explorer wird beim anklicken von links bei google und auch anderen Seiten ein Popup mit Jamba Werbung oder auch andere geöffnet. (Popups sind eigentlich auf "hoch" geblockt. Ebenso bei Kaspersky. Heute und gestern wurde noch ein Virus in C:/System Volume Information gefunden. Konnte wegen Zugriffmangel nicht von Kaspersky gelöscht werden hats aber 3 mal pro Sekunde versucht. (Das macht den Rechner lahm ) Hab dann die entsprechenden Dateien selbst gelöscht. Hier kommen jetzt ein paar logs. Mein Problem ist, das ich zwar mit dem Rechner umgehen kann, aber keine Ahnung habe welche von den laufenden Dateien verdächtig sind. Und wo das Problem zu suchen ist. Mies finde ich, dass Kaspersky und Antivir (habe ich installiert, weil ich dachte das Kaspersky vom Virus kompromitiert wurde) nicht finden. Meldung vom PC-Doctor in Reg Code:
ATTFilter HKEY_USERS\S-1-5-21-1004336348-1177238915-725345543-1004\Software\fcn HKEY_USERS\S-1-5-21-1004336348-1177238915-725345543-1004\Software\fcn#cnid HKEY_USERS\S-1-5-21-1004336348-1177238915-725345543-1004\Software\fcn#did HKEY_USERS\S-1-5-21-1004336348-1177238915-725345543-1004\Software\fcn#gid Geändert von Marfi (16.02.2009 um 23:49 Uhr) |
16.02.2009, 23:35 | #2 |
| Trojan-Dropper.SEH + PopupCode:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:42:53, on 16.02.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\WINDOWS\system32\crypserv.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Paragon Software\Drive Backup 9 Professional\Net Burner Service\NetBurnerService.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Spyware Doctor\pctsAuxs.exe C:\WINDOWS\Explorer.EXE C:\Programme\Spyware Doctor\pctsSvc.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Spyware Doctor\pctsTray.exe C:\WINDOWS\system32\nvraidservice.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\regrcg.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\LevelOne\Common\RaUI.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\System32\alg.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1 O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [regrcg] "c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\regrcg.exe" regrcg O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\CCleaner.exe" /AUTO O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: LevelOne Wireless Utility.lnk = C:\Programme\LevelOne\Common\RaUI.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1234649902718 O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - h**p://sdlc-esd.sun.com/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab?AuthParam=1233775754_2291a953f8ce169efbfc1d44eb317d4d&GroupName=JSC&FilePath=/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab&File=jinstall-6u11-windows-i586-jc.cab&BHost=javadl.sun.com O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Kaspersky Internet Security (avp) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Net Burner iSCSI Service (NetBurnerService) - Paragon GmbH - C:\Programme\Paragon Software\Drive Backup 9 Professional\Net Burner Service\NetBurnerService.exe O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe -- End of file - 8119 bytes |
16.02.2009, 23:36 | #3 |
| Trojan-Dropper.SEH + PopupCode:
ATTFilter info.txt logfile of random's system information tool 1.05 2009-02-13 19:53:47 ======Uninstall list====== -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Adobe Reader 8.1.1-->MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A81100000003} Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE AVRStudio4-->C:\Programme\InstallShield Installation Information\{D5D88F8F-FDA4-4CF4-9F3E-3F40118C2120}\setup.exe -runfromtemp -l0x0009 -removeonly Canon iP3300 Benutzerregistrierung-->C:\Programme\Canon\IJEREG\iP3300\UNINST.EXE Canon iP3300-->"C:\WINDOWS\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP3300\DelDrv.exe" /U:{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP3300 /L0x0007 Canon PhotoRecord-->MsiExec.exe /X{BBBC2B89-E193-4348-A83C-C8DD8210A4AC} Canon Setup Utility 2.3-->"C:\Programme\Canon\Canon Setup Utility 2.3\Maint.exe" /Uninstall C:\Programme\Canon\Canon Setup Utility 2.3\uninst.ini Canon Utilities Easy-PhotoPrint-->C:\Programme\Canon\Easy-PhotoPrint\uninst.exe uninst.ini Canon Utilities Easy-PrintToolBox-->C:\WINDOWS\BJPSUNST.EXE CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe" Easy-WebPrint-->C:\WINDOWS\IsUn0407.exe -fC:\Programme\Canon\Easy-WebPrint\Uninst.isu eMule-->"C:\Programme\eMule\Uninstall.exe" EPSON Scan-->C:\Programme\epson\escndv\setup\setup.exe /r Favorit-->"c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\regrcg.exe" -uninstall GetDataBack for NTFS-->"C:\Programme\Runtime Software\GetDataBack for NTFS\Uninstall.exe" "C:\Programme\Runtime Software\GetDataBack for NTFS\install.log" -u High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe" HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe" IsoBuster 2.2-->"C:\Programme\Smart Projects\IsoBuster\Uninst\unins000.exe" Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF} Kaspersky Internet Security 2009-->MsiExec.exe /I{8CB14A64-CEF4-4C8F-B1C8-1C3B8752CB55} Kaspersky Internet Security 2009-->MsiExec.exe /I{8CB14A64-CEF4-4C8F-B1C8-1C3B8752CB55} LevelOne WNC-0301USB Wireless Adapter-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{E91E8912-769D-42F0-8408-0E329443BABC}\setup.exe" -l0x9 -removeonly Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe" Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe" Microsoft Office XP Professional-->MsiExec.exe /I{91110407-6000-11D3-8CFE-0050048383C9} Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d} MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71} neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B} NVIDIA Drivers-->C:\WINDOWS\system32\nvuninst.exe UninstallGUI O&O DiskRecovery-->MsiExec.exe /X{53480880-18E0-4097-A460-F22DD3AC6D70} Paragon Drive Backup™ 9 Professional-->MsiExec.exe /I{485DF5E7-8379-4BFA-BAE1-9B8DBFE0D6B4} PDFCreator-->C:\Programme\PDFCreator\unins000.exe Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe" Spyware Doctor 6.0-->C:\Programme\Spyware Doctor\unins000.exe /LOG Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe" Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe" VCRedistSetup-->MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027} VIA Plattform-Geräte-Manager-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{20D4A895-748C-4D88-871C-FDB1695B0169} Visual C++ 2008 x86 Runtime - (v9.0.30729)-->MsiExec.exe /X{F333A33D-125C-32A2-8DCE-5C5D14231E27} Visual C++ 2008 x86 Runtime - v9.0.30729.01-->C:\WINDOWS\system32\msiexec.exe /x {F333A33D-125C-32A2-8DCE-5C5D14231E27} /qb+ REBOOTPROMPT="" Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe" WinRAR-->C:\Programme\WinRAR\uninstall.exe WISO Sparbuch 2009-->C:\Programme\InstallShield Installation Information\{00C58EBE-223E-4AB6-8AE9-38F27F4420BD}\Setup.exe -runfromtemp -l0x0007 -removeonly =====HijackThis Backups===== O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll ======Security center information====== AV: Avira AntiVir PersonalEdition AV: Kaspersky Internet Security FW: Kaspersky Internet Security System event log Computer Name: *** Event Code: 7 Message: Fehlerhafter Block bei Gerät \Device\Harddisk1\D. Record Number: 752 Source Name: Disk Time Written: 20090203205040.000000+060 Event Type: Fehler User: Computer Name: *** Event Code: 7 Message: Fehlerhafter Block bei Gerät \Device\Harddisk1\D. Record Number: 751 Source Name: Disk Time Written: 20090203205040.000000+060 Event Type: Fehler User: Computer Name: *** Event Code: 7 Message: Fehlerhafter Block bei Gerät \Device\Harddisk1\D. Record Number: 750 Source Name: Disk Time Written: 20090203205040.000000+060 Event Type: Fehler User: Computer Name: *** Event Code: 7 Message: Fehlerhafter Block bei Gerät \Device\Harddisk1\D. Record Number: 749 Source Name: Disk Time Written: 20090203205040.000000+060 Event Type: Fehler User: Computer Name: *** Event Code: 7 Message: Fehlerhafter Block bei Gerät \Device\Harddisk1\D. Record Number: 748 Source Name: Disk Time Written: 20090203205040.000000+060 Event Type: Fehler User: Application event log Computer Name: *** Event Code: 1000 Message: Die Leistungsindikatoren für den Dienst ContentIndex (ContentIndex) wurden geladen. Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte. Record Number: 5 Source Name: LoadPerf Time Written: 20090201223013.000000+060 Event Type: Informationen User: Computer Name: *** Event Code: 1000 Message: Die Leistungsindikatoren für den Dienst TermService (Terminaldienste) wurden geladen. Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte. Record Number: 4 Source Name: LoadPerf Time Written: 20090201223012.000000+060 Event Type: Informationen User: Computer Name: *** Event Code: 1000 Message: Die Leistungsindikatoren für den Dienst RemoteAccess (Routing und RAS) wurden geladen. Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte. Record Number: 3 Source Name: LoadPerf Time Written: 20090201222840.000000+060 Event Type: Informationen User: Computer Name: *** Event Code: 1000 Message: Die Leistungsindikatoren für den Dienst PSched (PSched) wurden geladen. Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte. Record Number: 2 Source Name: LoadPerf Time Written: 20090201222838.000000+060 Event Type: Informationen User: Computer Name: *** Event Code: 1000 Message: Die Leistungsindikatoren für den Dienst RSVP (QoS-RSVP) wurden geladen. Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte. Record Number: 1 Source Name: LoadPerf Time Written: 20090201222837.000000+060 Event Type: Informationen User: Security event log Computer Name: *** Event Code: 514 Message: Ein Authentifizierungspaket wurde durch die lokale Sicherheitsinstanz geladen. Dieses Authentifizierungspaket wird verwendet, um Anmeldeversuche zu authentifizieren. Name des Authentifizierungspakets: C:\WINDOWS\system32\msv1_0.dll : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Record Number: 329 Source Name: Security Time Written: 20090202184827.000000+060 Event Type: Überwachung erfolgreich User: NT-AUTORITÄT\SYSTEM Computer Name: *** Event Code: 514 Message: Ein Authentifizierungspaket wurde durch die lokale Sicherheitsinstanz geladen. Dieses Authentifizierungspaket wird verwendet, um Anmeldeversuche zu authentifizieren. Name des Authentifizierungspakets: C:\WINDOWS\system32\wdigest.dll : WDigest Record Number: 328 Source Name: Security Time Written: 20090202184827.000000+060 Event Type: Überwachung erfolgreich User: NT-AUTORITÄT\SYSTEM Computer Name: *** Event Code: 514 Message: Ein Authentifizierungspaket wurde durch die lokale Sicherheitsinstanz geladen. Dieses Authentifizierungspaket wird verwendet, um Anmeldeversuche zu authentifizieren. Name des Authentifizierungspakets: C:\WINDOWS\system32\schannel.dll : Schannel Record Number: 327 Source Name: Security Time Written: 20090202184827.000000+060 Event Type: Überwachung erfolgreich User: NT-AUTORITÄT\SYSTEM Computer Name: *** Event Code: 514 Message: Ein Authentifizierungspaket wurde durch die lokale Sicherheitsinstanz geladen. Dieses Authentifizierungspaket wird verwendet, um Anmeldeversuche zu authentifizieren. Name des Authentifizierungspakets: C:\WINDOWS\system32\schannel.dll : Microsoft Unified Security Protocol Provider Record Number: 326 Source Name: Security Time Written: 20090202184827.000000+060 Event Type: Überwachung erfolgreich User: NT-AUTORITÄT\SYSTEM Computer Name: *** Event Code: 514 Message: Ein Authentifizierungspaket wurde durch die lokale Sicherheitsinstanz geladen. Dieses Authentifizierungspaket wird verwendet, um Anmeldeversuche zu authentifizieren. Name des Authentifizierungspakets: C:\WINDOWS\system32\msv1_0.dll : NTLM Record Number: 325 Source Name: Security Time Written: 20090202184827.000000+060 Event Type: Überwachung erfolgreich User: NT-AUTORITÄT\SYSTEM ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem "windir"=%SystemRoot% "FP_NO_HOST_CHECK"=NO "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=6 "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 10, GenuineIntel "PROCESSOR_REVISION"=170a "NUMBER_OF_PROCESSORS"=2 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP -----------------EOF----------------- |
16.02.2009, 23:38 | #4 |
| Trojan-Dropper.SEH + Popup Uninstall List Code:
ATTFilter Adobe Flash Player 10 ActiveX Adobe Reader 8.1.1 Avira AntiVir Personal - Free Antivirus AVRStudio4 Canon iP3300 Canon iP3300 Benutzerregistrierung Canon PhotoRecord Canon Setup Utility 2.3 Canon Utilities Easy-PhotoPrint Canon Utilities Easy-PrintToolBox CCleaner (remove only) Easy-WebPrint EPSON Scan Favorit GetDataBack for NTFS High Definition Audio Driver Package - KB888111 HijackThis 2.0.2 Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595) Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484) Hotfix für Windows XP (KB952287) IsoBuster 2.2 Java(TM) 6 Update 11 Kaspersky Internet Security 2009 Kaspersky Internet Security 2009 Kaspersky Online Scanner LevelOne WNC-0301USB Wireless Adapter Malwarebytes' Anti-Malware Microsoft .NET Framework 2.0 Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU Microsoft .NET Framework 3.0 Service Pack 2 Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU Microsoft .NET Framework 3.5 Language Pack SP1 - deu Microsoft .NET Framework 3.5 Language Pack SP1 - DEU Microsoft .NET Framework 3.5 SP1 Microsoft .NET Framework 3.5 SP1 Microsoft Internationalized Domain Names Mitigation APIs Microsoft National Language Support Downlevel APIs Microsoft Office XP Professional Microsoft Visual C++ 2005 Redistributable MSXML 4.0 SP2 (KB954430) Navilog1 3.7.3 neroxml NVIDIA Drivers O&O DiskRecovery Paragon Drive Backup™ 9 Professional PDFCreator Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2) Sicherheitsupdate für Windows Internet Explorer 7 (KB956390) Sicherheitsupdate für Windows Internet Explorer 7 (KB958215) Sicherheitsupdate für Windows Internet Explorer 7 (KB960714) Sicherheitsupdate für Windows Internet Explorer 7 (KB961260) Sicherheitsupdate für Windows Media Player (KB952069) Sicherheitsupdate für Windows XP (KB923789) Sicherheitsupdate für Windows XP (KB938464) Sicherheitsupdate für Windows XP (KB941569) Sicherheitsupdate für Windows XP (KB946648) Sicherheitsupdate für Windows XP (KB950762) Sicherheitsupdate für Windows XP (KB950974) Sicherheitsupdate für Windows XP (KB951066) Sicherheitsupdate für Windows XP (KB951376-v2) Sicherheitsupdate für Windows XP (KB951698) Sicherheitsupdate für Windows XP (KB951748) Sicherheitsupdate für Windows XP (KB952954) Sicherheitsupdate für Windows XP (KB954211) Sicherheitsupdate für Windows XP (KB954459) Sicherheitsupdate für Windows XP (KB954600) Sicherheitsupdate für Windows XP (KB955069) Sicherheitsupdate für Windows XP (KB956391) Sicherheitsupdate für Windows XP (KB956802) Sicherheitsupdate für Windows XP (KB956803) Sicherheitsupdate für Windows XP (KB956841) Sicherheitsupdate für Windows XP (KB957097) Sicherheitsupdate für Windows XP (KB958215) Sicherheitsupdate für Windows XP (KB958644) Sicherheitsupdate für Windows XP (KB958687) Sicherheitsupdate für Windows XP (KB960714) Sicherheitsupdate für Windows XP (KB960715) Spyware Doctor 6.0 Update für Windows XP (KB951978) Update für Windows XP (KB955839) VCRedistSetup VIA Plattform-Geräte-Manager Visual C++ 2008 x86 Runtime - (v9.0.30729) Visual C++ 2008 x86 Runtime - v9.0.30729.01 Windows Media Format Runtime Windows XP Service Pack 3 WinRAR WISO Sparbuch 2008 WISO Sparbuch 2009 XML Paper Specification Shared Components Language Pack 1.0 |
16.02.2009, 23:39 | #5 |
| Trojan-Dropper.SEH + Popup RSIT-log Teil 1 Code:
ATTFilter Logfile of random's system information tool 1.05 (written by random/random) Run by *** at 2009-02-16 12:44:46 Microsoft Windows XP *** Edition Service Pack 3 System drive C: has 497 GB (81%) free of 610 GB Total RAM: 3197 MB (75% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:44:51, on 16.02.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\WINDOWS\system32\crypserv.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Paragon Software\Drive Backup 9 Professional\Net Burner Service\NetBurnerService.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Spyware Doctor\pctsAuxs.exe C:\WINDOWS\Explorer.EXE C:\Programme\Spyware Doctor\pctsSvc.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Spyware Doctor\pctsTray.exe C:\WINDOWS\system32\nvraidservice.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\regrcg.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\LevelOne\Common\RaUI.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\System32\alg.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Programme\Trend Micro\HijackThis\***.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1 O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [regrcg] "c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\regrcg.exe" regrcg O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\CCleaner.exe" /AUTO O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: LevelOne Wireless Utility.lnk = C:\Programme\LevelOne\Common\RaUI.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1234649902718 O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - h**p://sdlc-esd.sun.com/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab?AuthParam=1233775754_2291a953f8ce169efbfc1d44eb317d4d&GroupName=JSC&FilePath=/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab&File=jinstall-6u11-windows-i586-jc.cab&BHost=javadl.sun.com O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Kaspersky Internet Security (avp) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Net Burner iSCSI Service (NetBurnerService) - Paragon GmbH - C:\Programme\Paragon Software\Drive Backup 9 Professional\Net Burner Service\NetBurnerService.exe O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe -- End of file - 8167 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] Adobe PDF Reader Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}] IEVkbdBHO Class - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll [2009-02-02 62728] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{68F9551E-0411-48E4-9AAF-4BC42A6A46BE}] EWPBrowseObject Class - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll [2006-04-18 34304] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] Java(tm) Plug-In SSV Helper - C:\Programme\Java\jre6\bin\ssv.dll [2009-02-05 320920] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-02-05 34816] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-02-05 73728] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "NVRaidService"=C:\WINDOWS\system32\nvraidservice.exe [2007-11-30 188448] "NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2007-11-28 8491008] "nwiz"=nwiz.exe /install [] "Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2007-10-10 39792] "NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2007-11-28 81920] "HDAudDeck"=C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe [2008-05-14 29831168] "AVP"=C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe [2009-02-06 201992] "Easy-PrintToolBox"=C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE [2004-01-14 409600] "SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-02-05 136600] "avgnt"=C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-12 266497] "ISTray"=C:\Programme\Spyware Doctor\pctsTray.exe [2008-08-25 1168264] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] "regrcg"=c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\regrcg.exe [2009-02-02 278528] "MSMSGS"=C:\Programme\Messenger\msmsgs.exe [2008-04-14 1695232] "ccleaner"=C:\Programme\CCleaner\CCleaner.exe [2009-01-20 1451248] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart LevelOne Wireless Utility.lnk - C:\Programme\LevelOne\Common\RaUI.exe Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLS"="C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon] C:\WINDOWS\system32\klogon.dll [2008-04-25 206088] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\sdauxservice] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\sdcoreservice] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe:*:Enabled:Kaspersky Anti-Virus" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Programme\eMule\emule.exe"="C:\Programme\eMule\emule.exe:*:Enabled:eMule" "C:\WINDOWS\system32\java.exe"="C:\WINDOWS\system32\java.exe:*:Enabled:Java(TM) Platform SE binary" "C:\Programme\Java\jre6\launch4j-tmp\JDownloader.exe"="C:\Programme\Java\jre6\launch4j-tmp\JDownloader.exe:*:Disabled:Java(TM) Platform SE binary" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fca5a5c3-f0a4-11dd-81b9-806d6172696f}] shell\AutoRun\command - E:\cdstart.exe |
16.02.2009, 23:41 | #6 |
| Trojan-Dropper.SEH + Popup RSIT Log Teil 2 Code:
ATTFilter ======List of files/folders created in the last 1 months====== 2009-02-15 21:59:55 ----D---- C:\Programme\Gemeinsame Dateien\Buhl Data Service 2009-02-15 18:45:52 ----D---- C:\WINDOWS\ERUNT 2009-02-15 18:41:47 ----D---- C:\SDFix 2009-02-15 06:33:52 ----A---- C:\WINDOWS\system32\mucltui.dll.mui 2009-02-15 06:33:52 ----A---- C:\WINDOWS\system32\mucltui.dll 2009-02-15 00:26:20 ----N---- C:\WINDOWS\system32\spmsg2.dll 2009-02-15 00:26:19 ----HDC---- C:\WINDOWS\$NtUninstallXPSEPSCLP$ 2009-02-15 00:22:03 ----D---- C:\WINDOWS\system32\XPSViewer 2009-02-15 00:22:00 ----D---- C:\Programme\MSBuild 2009-02-15 00:21:58 ----D---- C:\WINDOWS\system32\en-US 2009-02-15 00:21:52 ----D---- C:\Programme\Reference Assemblies 2009-02-15 00:21:31 ----N---- C:\WINDOWS\system32\xpssvcs.dll 2009-02-15 00:21:31 ----N---- C:\WINDOWS\system32\xpsshhdr.dll 2009-02-15 00:21:31 ----N---- C:\WINDOWS\system32\prntvpt.dll 2009-02-15 00:21:31 ----D---- C:\cc6f374efb8b018550a2e0ba61 2009-02-15 00:09:51 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Genuine Advantage 2009-02-14 11:20:30 ----A---- C:\cleannavi.txt 2009-02-14 10:52:04 ----A---- C:\fixnavi.txt 2009-02-14 10:48:58 ----D---- C:\Programme\Navilog1 2009-02-14 10:44:13 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2009-02-14 10:38:53 ----D---- C:\WINDOWS\system32\Kaspersky Lab 2009-02-13 19:53:43 ----D---- C:\rsit 2009-02-11 16:44:19 ----A---- C:\CKINFO.TXT 2009-02-11 16:44:05 ----D---- C:\Programme\Stellar Phoenix Windows Data Recovery 2009-02-10 19:31:00 ----D---- C:\Programme\Lavasoft 2009-02-10 19:31:00 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2009-02-10 15:49:48 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes 2009-02-10 15:49:40 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-02-10 13:10:38 ----D---- C:\ARCEA Backup 2009-02-09 19:12:02 ----A---- C:\WINDOWS\system32\pdfcmnnt.dll 2009-02-09 19:12:01 ----D---- C:\Programme\PDFCreator 2009-02-09 19:12:01 ----A---- C:\WINDOWS\system32\VB6DE.DLL 2009-02-09 19:12:01 ----A---- C:\WINDOWS\system32\MSMPIDE.DLL 2009-02-09 19:12:01 ----A---- C:\WINDOWS\system32\MSCMCDE.DLL 2009-02-09 19:12:01 ----A---- C:\WINDOWS\system32\MSCC2DE.DLL 2009-02-09 19:06:54 ----A---- C:\WINDOWS\system32\regsvr32.exe.log 2009-02-09 18:16:20 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2009-02-09 18:16:09 ----D---- C:\Programme\Spyware Doctor 2009-02-09 18:16:09 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\PC Tools 2009-02-09 18:04:49 ----D---- C:\Programme\CCleaner 2009-02-09 18:01:33 ----D---- C:\Programme\Trend Micro 2009-02-09 17:33:28 ----D---- C:\Programme\Smart Projects 2009-02-09 13:18:30 ----D---- C:\Programme\Avira 2009-02-09 13:18:30 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2009-02-09 12:58:21 ----A---- C:\WINDOWS\system32\BASSMOD.dll 2009-02-09 12:58:06 ----D---- C:\Temp 2009-02-08 19:49:41 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Ashampoo 2009-02-08 19:47:28 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo 2009-02-08 17:55:05 ----A---- C:\WINDOWS\system32\MsiExec.exe.log 2009-02-08 17:52:54 ----D---- C:\WINDOWS\RegisteredPackages 2009-02-08 17:52:34 ----A---- C:\WINDOWS\system32\d3dx9_28.dll 2009-02-08 17:05:49 ----A---- C:\WINDOWS\Crypkey.ini 2009-02-08 17:05:46 ----RA---- C:\WINDOWS\Setup_ck.exe 2009-02-08 17:05:46 ----A---- C:\WINDOWS\system32\Crypserv.exe 2009-02-08 17:05:46 ----A---- C:\WINDOWS\Setup_ck.dll 2009-02-08 17:05:46 ----A---- C:\WINDOWS\Ckrfresh.exe 2009-02-08 17:05:46 ----A---- C:\WINDOWS\Ckconfig.exe 2009-02-08 17:05:42 ----D---- C:\Programme\Disk Doctors NTFS Data Recovery 2009-02-08 13:11:04 ----D---- C:\Programme\Areca 2009-02-08 11:53:19 ----D---- C:\Programme\MSXML 4.0 2009-02-07 18:34:25 ----A---- C:\WINDOWS\system32\wdapi811.dll 2009-02-07 18:34:24 ----N---- C:\WINDOWS\system32\msvcr70.dll 2009-02-07 18:34:24 ----A---- C:\WINDOWS\system32\wdapi920.dll 2009-02-07 18:34:24 ----A---- C:\WINDOWS\system32\vc6-re200l.dll 2009-02-07 18:34:24 ----A---- C:\WINDOWS\system32\RWUXThemeS.dll 2009-02-07 18:34:24 ----A---- C:\WINDOWS\system32\BCGCBPRO95580.dll 2009-02-07 18:34:16 ----D---- C:\Programme\Atmel 2009-02-07 17:57:09 ----DC---- C:\WINDOWS\system32\DRVSTORE 2009-02-07 17:56:09 ----D---- C:\Programme\Paragon Software 2009-02-06 20:36:26 ----A---- C:\WINDOWS\Irremote.ini 2009-02-06 20:04:10 ----A---- C:\WINDOWS\system32\d3dx9_30.dll 2009-02-06 19:42:13 ----A---- C:\WINDOWS\wiso.ini 2009-02-06 19:16:32 ----A---- C:\WINDOWS\system32\cdintf300.dll 2009-02-06 19:15:46 ----D---- C:\Programme\WISO 2009-02-06 19:08:52 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Buhl Data Service 2009-02-06 19:07:38 ----RSD---- C:\WINDOWS\assembly 2009-02-06 19:07:23 ----D---- C:\WINDOWS\Microsoft.NET 2009-02-06 19:05:27 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH 2009-02-05 20:28:24 ----D---- C:\WINDOWS\Sun 2009-02-05 20:28:15 ----A---- C:\WINDOWS\system32\javaws.exe 2009-02-05 20:28:15 ----A---- C:\WINDOWS\system32\javaw.exe 2009-02-05 20:28:15 ----A---- C:\WINDOWS\system32\java.exe 2009-02-05 20:28:15 ----A---- C:\WINDOWS\system32\deploytk.dll 2009-02-05 20:28:10 ----D---- C:\Programme\Java 2009-02-05 20:27:25 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun 2009-02-03 20:04:26 ----D---- C:\Programme\OO Software 2009-02-03 19:31:25 ----D---- C:\Programme\Runtime Software 2009-02-03 04:40:38 ----A---- C:\WINDOWS\ODBC.INI 2009-02-03 04:39:56 ----D---- C:\Programme\Gemeinsame Dateien\Designer 2009-02-03 04:38:55 ----D---- C:\WINDOWS\ShellNew 2009-02-03 04:38:49 ----D---- C:\Programme\Microsoft Office 2009-02-02 21:24:29 ----D---- C:\WINDOWS\Minidump 2009-02-02 20:47:58 ----HD---- C:\WINDOWS\PIF 2009-02-02 20:46:38 ----D---- C:\Programme\eMule 2009-02-02 20:44:58 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Help 2009-02-02 20:41:07 ----D---- C:\WINDOWS\Prefetch 2009-02-02 20:27:02 ----D---- C:\WINDOWS\system32\de 2009-02-02 20:27:02 ----D---- C:\WINDOWS\system32\bits 2009-02-02 20:27:02 ----D---- C:\WINDOWS\l2schemas 2009-02-02 20:25:16 ----D---- C:\WINDOWS\ServicePackFiles 2009-02-02 20:22:13 ----HDC---- C:\WINDOWS\$NtServicePackUninstall$ 2009-02-02 20:20:51 ----D---- C:\WINDOWS\E*** 2009-02-02 20:17:10 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia 2009-02-02 20:15:23 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\WinRAR 2009-02-02 20:15:05 ----D---- C:\Programme\WinRAR 2009-02-02 19:54:46 ----D---- C:\WINDOWS\ie7updates 2009-02-02 19:54:33 ----D---- C:\WINDOWS\WBEM 2009-02-02 19:54:31 ----D---- C:\WINDOWS\system32\de-de 2009-02-02 19:54:15 ----HDC---- C:\WINDOWS\ie7 2009-02-02 19:54:08 ----HDC---- C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$ 2009-02-02 19:53:58 ----HDC---- C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$ 2009-02-02 19:53:47 ----A---- C:\WINDOWS\system32\xmllite.dll 2009-02-02 19:53:19 ----D---- C:\WINDOWS\network diagnostic 2009-02-02 19:50:17 ----A---- C:\WINDOWS\system32\MRT.exe 2009-02-02 19:18:59 ----D---- C:\Programme\Gemeinsame Dateien\CANON 2009-02-02 19:18:35 ----A---- C:\WINDOWS\BJPSUNST.EXE 2009-02-02 19:17:49 ----A---- C:\WINDOWS\IsUn0407.exe 2009-02-02 19:17:30 ----A---- C:\WINDOWS\OpPrintServer.INI 2009-02-02 19:16:12 ----HD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ 2009-02-02 19:16:07 ----A---- C:\WINDOWS\system32\CNMLM84.DLL 2009-02-02 19:16:04 ----HD---- C:\WINDOWS\system32\CanonIJ Uninstaller Information 2009-02-02 19:16:00 ----HD---- C:\Programme\CanonBJ 2009-02-02 19:15:04 ----D---- C:\Programme\Canon 2009-02-02 19:13:58 ----N---- C:\WINDOWS\system32\spmsg.dll 2009-02-02 19:13:58 ----D---- C:\WINDOWS\system32\PreInstall 2009-02-02 19:13:57 ----HD---- C:\WINDOWS\$hf_mig$ 2009-02-02 19:13:38 ----D---- C:\Programme\epson 2009-02-02 19:13:37 ----A---- C:\WINDOWS\system32\eswia52.dll 2009-02-02 19:13:37 ----A---- C:\WINDOWS\system32\esint52.dll 2009-02-02 19:12:45 ----A---- C:\WINDOWS\CDE P34903590GD.ini 2009-02-02 19:07:50 ----A---- C:\WINDOWS\system32\wpa.bak 2009-02-02 19:06:44 ----D---- C:\WINDOWS\system32\SoftwareDistribution 2009-02-02 19:01:38 ----A---- C:\WINDOWS\system32\Install7x.dll 2009-02-02 19:01:38 ----A---- C:\WINDOWS\system32\AegisI5.exe 2009-02-02 19:01:00 ----D---- C:\Programme\LevelOne 2009-02-02 18:50:58 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files 2009-02-02 18:45:48 ----D---- C:\Programme\Kaspersky Lab 2009-02-02 18:45:48 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2009-02-02 18:26:08 ----SHD---- C:\RECYCLER 2009-02-02 18:24:10 ----HD---- C:\Programme\InstallShield Installation Information 2009-02-02 18:23:39 ----A---- C:\WINDOWS\system32\ksuser.dll 2009-02-02 18:23:29 ----A---- C:\WINDOWS\system32\spupdsvc.exe 2009-02-02 18:22:59 ----N---- C:\WINDOWS\system32\difxapi.dll 2009-02-02 18:22:59 ----D---- C:\Programme\VIA 2009-02-02 18:22:53 ----D---- C:\Programme\Gemeinsame Dateien\InstallShield 2009-02-02 18:20:31 ----D---- C:\WINDOWS\NV17481752.TMP 2009-02-02 18:18:47 ----RA---- C:\WINDOWS\system32\fdco1.dll 2009-02-02 18:18:46 ----RA---- C:\WINDOWS\system32\nvconrm.dll 2009-02-02 18:18:46 ----RA---- C:\WINDOWS\system32\bdco1.dll 2009-02-02 18:18:46 ----A---- C:\WINDOWS\system32\nvunrm.exe 2009-02-02 18:12:33 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe 2009-02-02 18:11:54 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe 2009-02-02 18:11:52 ----D---- C:\Programme\Gemeinsame Dateien\Adobe 2009-02-02 18:11:52 ----D---- C:\Programme\Adobe 2009-02-02 18:05:59 ----D---- C:\WINDOWS\nview 2009-02-02 18:05:59 ----A---- C:\WINDOWS\system32\nvudisp.exe 2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerzht.dll 2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerzhc.dll 2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServertr.dll 2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerth.dll 2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServersv.dll 2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServersl.dll 2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServersk.dll 2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerru.dll 2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerptb.dll 2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerpt.dll 2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerpl.dll 2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerno.dll 2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServernl.dll 2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerko.dll 2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerja.dll 2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerit.dll 2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerhu.dll 2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerhe.dll 2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerfr.dll 2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerfi.dll 2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServeres.dll 2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerenu.dll 2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServereng.dll 2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerel.dll 2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerde.dll 2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerda.dll 2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServercs.dll 2009-02-02 18:05:18 ----A---- C:\WINDOWS\system32\NvRaidServerar.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionzht.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionzhc.dll |
16.02.2009, 23:42 | #7 |
| Trojan-Dropper.SEH + Popup RSIT Log Teil 3 Code:
ATTFilter 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectiontr.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionth.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionsv.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionsl.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionsk.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionru.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionptb.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionpt.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionpl.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionno.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionnl.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionko.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionja.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionit.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionhu.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionhe.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionfr.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionfi.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectiones.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionenu.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectioneng.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionel.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionde.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionda.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectioncs.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvSataConnectionar.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\nvsataconnection.exe 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardzht.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardzhc.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardtr.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardth.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardsv.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardsl.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardsk.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardru.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardptb.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardpt.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardpl.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardno.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardnl.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardko.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardja.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardit.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardhu.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardhe.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardfr.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardfi.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardes.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardenu.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardeng.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardel.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardde.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardda.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardcs.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizardar.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidWizard.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvzht.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvzhc.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvtr.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvth.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvsv.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvsl.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvsk.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvru.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvptb.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvpt.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvpl.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvno.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvnl.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvko.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvja.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvit.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvhu.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvhe.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvfr.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvfi.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSves.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvenu.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSveng.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvel.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvde.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvda.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvcs.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidSvar.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\nvraidservice.exe 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\NvRaidServer.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\nvexpbar.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\nvcpluir.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\nvcplui.exe 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\MSVCR71.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\MSVCP71.dll 2009-02-02 18:05:17 ----A---- C:\WINDOWS\system32\MFC71.dll 2009-02-02 18:04:59 ----D---- C:\WINDOWS\system32\ReinstallBackups 2009-02-02 18:04:57 ----RA---- C:\WINDOWS\system32\fdco1ins.dll 2009-02-02 18:04:56 ----RA---- C:\WINDOWS\system32\bdco1ins.dll 2009-02-02 18:04:55 ----RA---- C:\WINDOWS\system32\nvusmb.exe 2009-02-02 18:04:52 ----RA---- C:\WINDOWS\system32\NVUNINST.EXE 2009-02-02 18:04:49 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\InstallShield 2009-02-02 18:04:29 ----A---- C:\WINDOWS\Ascd_log.ini 2009-02-02 18:03:56 ----A---- C:\WINDOWS\Ascd_tmp.ini 2009-02-01 23:11:00 ----SH---- C:\boot.ini 2009-02-01 23:06:32 ----RSHDC---- C:\WINDOWS\system32\dllcache 2009-02-01 23:06:32 ----RSD---- C:\WINDOWS\Fonts 2009-02-01 23:06:32 ----RD---- C:\WINDOWS\Web 2009-02-01 23:06:32 ----HD---- C:\WINDOWS\inf 2009-02-01 23:06:32 ----D---- C:\WINDOWS\WinSxS 2009-02-01 23:06:32 ----D---- C:\WINDOWS\twain_32 2009-02-01 23:06:32 ----D---- C:\WINDOWS\Temp 2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\wins 2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\wbem 2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\usmt 2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\spool 2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\ShellExt 2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\Setup 2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\ras 2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\oobe 2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\npp 2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\mui 2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\inetsrv 2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\IME 2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\icsxml 2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\ias 2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\export 2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\drivers 2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\dhcp 2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\config 2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\3com_dmi 2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\3076 2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\2052 2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\1054 2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\1042 2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\1041 2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\1037 2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\1033 2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\1031 2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\1028 2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32\1025 2009-02-01 23:06:32 ----D---- C:\WINDOWS\system32 2009-02-01 23:06:32 ----D---- C:\WINDOWS\system 2009-02-01 23:06:32 ----D---- C:\WINDOWS\security 2009-02-01 23:06:32 ----D---- C:\WINDOWS\Resources 2009-02-01 23:06:32 ----D---- C:\WINDOWS\repair 2009-02-01 23:06:32 ----D---- C:\WINDOWS\Provisioning 2009-02-01 23:06:32 ----D---- C:\WINDOWS\PeerNet 2009-02-01 23:06:32 ----D---- C:\WINDOWS\pchealth 2009-02-01 23:06:32 ----D---- C:\WINDOWS\OemDir 2009-02-01 23:06:32 ----D---- C:\WINDOWS\mui 2009-02-01 23:06:32 ----D---- C:\WINDOWS\msapps 2009-02-01 23:06:32 ----D---- C:\WINDOWS\msagent 2009-02-01 23:06:32 ----D---- C:\WINDOWS\Media 2009-02-01 23:06:32 ----D---- C:\WINDOWS\java 2009-02-01 23:06:32 ----D---- C:\WINDOWS\ime 2009-02-01 23:06:32 ----D---- C:\WINDOWS\Help 2009-02-01 23:06:32 ----D---- C:\WINDOWS\Driver Cache 2009-02-01 23:06:32 ----D---- C:\WINDOWS\Debug 2009-02-01 23:06:32 ----D---- C:\WINDOWS\Cursors 2009-02-01 23:06:32 ----D---- C:\WINDOWS\Connection Wizard 2009-02-01 23:06:32 ----D---- C:\WINDOWS\Config 2009-02-01 23:06:32 ----D---- C:\WINDOWS\AppPatch 2009-02-01 23:06:32 ----D---- C:\WINDOWS\addins 2009-02-01 23:06:32 ----D---- C:\WINDOWS 2009-02-01 22:37:09 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Identities 2009-02-01 22:37:08 ----HD---- C:\Programme\Uninstall Information 2009-02-01 22:37:03 ----SD---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft 2009-02-01 22:37:03 ----ASH---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\desktop.ini 2009-02-01 22:35:12 ----D---- C:\WINDOWS\SoftwareDistribution 2009-02-01 22:35:10 ----SD---- C:\WINDOWS\system32\Microsoft 2009-02-01 22:35:10 ----N---- C:\WINDOWS\SchedLgU.Txt 2009-02-01 22:32:17 ----D---- C:\WINDOWS\system32\xircom 2009-02-01 22:32:17 ----D---- C:\Programme\xerox 2009-02-01 22:32:17 ----D---- C:\Programme\microsoft frontpage 2009-02-01 22:32:14 ----A---- C:\WINDOWS\control.ini 2009-02-01 22:32:14 ----A---- C:\AUTOEXEC.BAT 2009-02-01 22:32:08 ----A---- C:\WINDOWS\system32\mapi32.dll 2009-02-01 22:31:37 ----SD---- C:\WINDOWS\Downloaded Program Files 2009-02-01 22:31:37 ----RD---- C:\WINDOWS\Offline Web Pages 2009-02-01 22:31:37 ----RAH---- C:\WINDOWS\system32\logonui.exe.manifest 2009-02-01 22:31:33 ----RAH---- C:\WINDOWS\system32\cdplayer.exe.manifest 2009-02-01 22:31:31 ----HD---- C:\Programme\WindowsUpdate 2009-02-01 22:31:30 ----D---- C:\Programme\Online-Dienste 2009-02-01 22:31:19 ----D---- C:\WINDOWS\system32\DirectX 2009-02-01 22:31:04 ----A---- C:\WINDOWS\system32\atrace.dll 2009-02-01 22:31:02 ----A---- C:\WINDOWS\system32\desktop.ini 2009-02-01 22:31:02 ----A---- C:\WINDOWS\desktop.ini 2009-02-01 22:30:57 ----A---- C:\WINDOWS\system32\nmevtmsg.dll 2009-02-01 22:30:56 ----D---- C:\Programme\Gemeinsame Dateien\Dienste 2009-02-01 22:30:56 ----A---- C:\WINDOWS\system32\acctres.dll 2009-02-01 22:30:53 ----SD---- C:\WINDOWS\Tasks 2009-02-01 22:30:53 ----D---- C:\Programme\Gemeinsame Dateien\MSSoap 2009-02-01 22:30:53 ----A---- C:\WINDOWS\system32\icfgnt5.dll 2009-02-01 22:30:50 ----D---- C:\WINDOWS\system32\Macromed 2009-02-01 22:30:50 ----D---- C:\WINDOWS\srchasst 2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\wuweb.dll 2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\wups.dll 2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\wucltui.dll 2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\wuauserv.dll 2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\wuaueng1.dll 2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\wuaueng.dll 2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\wuauclt1.exe 2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\wuauclt.exe 2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\wuapi.dll 2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\qmgrprxy.dll 2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\qmgr.dll 2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\bitsprx3.dll 2009-02-01 22:30:47 ----A---- C:\WINDOWS\system32\bitsprx2.dll 2009-02-01 22:30:44 ----D---- C:\Programme\Movie Maker 2009-02-01 22:30:41 ----A---- C:\WINDOWS\system32\safrslv.dll 2009-02-01 22:30:41 ----A---- C:\WINDOWS\system32\safrdm.dll 2009-02-01 22:30:41 ----A---- C:\WINDOWS\system32\safrcdlg.dll 2009-02-01 22:30:41 ----A---- C:\WINDOWS\system32\racpldlg.dll 2009-02-01 22:30:39 ----D---- C:\WINDOWS\system32\Restore 2009-02-01 22:30:39 ----A---- C:\WINDOWS\system32\srsvc.dll 2009-02-01 22:30:39 ----A---- C:\WINDOWS\system32\srrstr.dll 2009-02-01 22:30:39 ----A---- C:\WINDOWS\system32\srclient.dll 2009-02-01 22:30:39 ----A---- C:\WINDOWS\system32\fltmc.exe 2009-02-01 22:30:39 ----A---- C:\WINDOWS\system32\fltlib.dll 2009-02-01 22:30:38 ----A---- C:\WINDOWS\system32\nmmkcert.dll 2009-02-01 22:30:38 ----A---- C:\WINDOWS\system32\msconf.dll 2009-02-01 22:30:38 ----A---- C:\WINDOWS\system32\mnmsrvc.exe 2009-02-01 22:30:38 ----A---- C:\WINDOWS\system32\mnmdd.dll 2009-02-01 22:30:38 ----A---- C:\WINDOWS\system32\isrdbg32.dll 2009-02-01 22:30:38 ----A---- C:\WINDOWS\system32\ils.dll 2009-02-01 22:30:36 ----D---- C:\Programme\NetMeeting 2009-02-01 22:30:36 ----A---- C:\WINDOWS\system32\msoert2.dll 2009-02-01 22:30:36 ----A---- C:\WINDOWS\system32\msoeacct.dll 2009-02-01 22:30:35 ----A---- C:\WINDOWS\system32\inetres.dll 2009-02-01 22:30:35 ----A---- C:\WINDOWS\system32\inetcomm.dll 2009-02-01 22:30:34 ----D---- C:\Programme\Outlook Express 2009-02-01 22:30:34 ----A---- C:\WINDOWS\system32\schedsvc.dll 2009-02-01 22:30:34 ----A---- C:\WINDOWS\system32\mstinit.exe 2009-02-01 22:30:34 ----A---- C:\WINDOWS\system32\mstask.dll 2009-02-01 22:30:33 ----A---- C:\WINDOWS\system32\isign32.dll 2009-02-01 22:30:33 ----A---- C:\WINDOWS\system32\inetcfg.dll 2009-02-01 22:30:33 ----A---- C:\WINDOWS\system32\icwphbk.dll 2009-02-01 22:30:33 ----A---- C:\WINDOWS\system32\icwdial.dll 2009-02-01 22:30:29 ----D---- C:\Programme\Internet Explorer 2009-02-01 22:30:29 ----D---- C:\Programme\Gemeinsame Dateien\System 2009-02-01 22:30:26 ----D---- C:\Programme\ComPlus Applications 2009-02-01 22:30:26 ----A---- C:\WINDOWS\vbaddin.ini 2009-02-01 22:30:26 ----A---- C:\WINDOWS\vb.ini 2009-02-01 22:30:25 ----D---- C:\WINDOWS\Registration 2009-02-01 22:30:13 ----D---- C:\Programme\Online Services 2009-02-01 22:30:12 ----D---- C:\Programme\Windows Media Player 2009-02-01 22:30:11 ----D---- C:\Programme\Messenger 2009-02-01 22:30:08 ----D---- C:\Programme\MSN Gaming Zone 2009-02-01 22:30:08 ----A---- C:\WINDOWS\system32\write.exe 2009-02-01 22:30:00 ----A---- C:\WINDOWS\system32\sndvol32.exe 2009-02-01 22:30:00 ----A---- C:\WINDOWS\system32\hticons.dll 2009-02-01 22:30:00 ----A---- C:\WINDOWS\system32\avwav.dll 2009-02-01 22:30:00 ----A---- C:\WINDOWS\system32\avtapi.dll 2009-02-01 22:30:00 ----A---- C:\WINDOWS\system32\avmeter.dll 2009-02-01 22:29:59 ----A---- C:\WINDOWS\system32\winchat.exe 2009-02-01 22:29:54 ----A---- C:\WINDOWS\system32\getuname.dll 2009-02-01 22:29:54 ----A---- C:\WINDOWS\system32\charmap.exe 2009-02-01 22:29:54 ----A---- C:\WINDOWS\system32\calc.exe 2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\winmine.exe 2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\usrlogon.cmd 2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\tsshutdn.exe 2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\tslabels.ini 2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\tskill.exe 2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\tsdiscon.exe 2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\tscon.exe 2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\sol.exe 2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\shadow.exe 2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\reset.exe 2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\mshearts.exe 2009-02-01 22:29:53 ----A---- C:\WINDOWS\system32\freecell.exe 2009-02-01 22:29:52 ----A---- C:\WINDOWS\system32\rwinsta.exe 2009-02-01 22:29:52 ----A---- C:\WINDOWS\system32\regini.exe 2009-02-01 22:29:52 ----A---- C:\WINDOWS\system32\rdpcfgex.dll 2009-02-01 22:29:52 ----A---- C:\WINDOWS\system32\qwinsta.exe 2009-02-01 22:29:52 ----A---- C:\WINDOWS\system32\qappsrv.exe 2009-02-01 22:29:52 ----A---- C:\WINDOWS\system32\msg.exe 2009-02-01 22:29:52 ----A---- C:\WINDOWS\system32\msdtcprf.ini 2009-02-01 22:29:52 ----A---- C:\WINDOWS\system32\logoff.exe 2009-02-01 22:29:52 ----A---- C:\WINDOWS\system32\cdmodem.dll 2009-02-01 22:29:51 ----A---- C:\WINDOWS\system32\stclient.dll 2009-02-01 22:29:51 ----A---- C:\WINDOWS\system32\mtxlegih.dll 2009-02-01 22:29:51 ----A---- C:\WINDOWS\system32\mtxex.dll 2009-02-01 22:29:51 ----A---- C:\WINDOWS\system32\mtxdm.dll 2009-02-01 22:29:51 ----A---- C:\WINDOWS\system32\dcomcnfg.exe 2009-02-01 22:29:51 ----A---- C:\WINDOWS\system32\comsnap.dll 2009-02-01 22:29:51 ----A---- C:\WINDOWS\system32\comrepl.dll 2009-02-01 22:29:51 ----A---- C:\WINDOWS\system32\comaddin.dll 2009-02-01 22:29:47 ----A---- C:\WINDOWS\system32\wmimgmt.msc 2009-02-01 22:29:40 ----D---- C:\Programme\MSN 2009-02-01 22:29:40 ----A---- C:\WINDOWS\system32\sndrec32.exe 2009-02-01 22:29:40 ----A---- C:\WINDOWS\system32\mplay32.exe 2009-02-01 22:29:40 ----A---- C:\WINDOWS\system32\accwiz.exe 2009-02-01 22:29:39 ----D---- C:\Programme\Windows NT 2009-02-01 22:29:39 ----A---- C:\WINDOWS\system32\spider.exe 2009-02-01 22:29:39 ----A---- C:\WINDOWS\system32\mspaint.exe 2009-02-01 22:29:39 ----A---- C:\WINDOWS\system32\hypertrm.dll 2009-02-01 22:29:39 ----A---- C:\WINDOWS\system32\clipbrd.exe 2009-02-01 22:29:38 ----A---- C:\WINDOWS\system32\tscupgrd.exe 2009-02-01 22:29:38 ----A---- C:\WINDOWS\system32\tscfgwmi.dll 2009-02-01 22:29:38 ----A---- C:\WINDOWS\system32\termsrv.dll 2009-02-01 22:29:38 ----A---- C:\WINDOWS\system32\sessmgr.exe 2009-02-01 22:29:38 ----A---- C:\WINDOWS\system32\remotepg.dll 2009-02-01 22:29:38 ----A---- C:\WINDOWS\system32\rdshost.exe 2009-02-01 22:29:38 ----A---- C:\WINDOWS\system32\rdsaddin.exe 2009-02-01 22:29:38 ----A---- C:\WINDOWS\system32\rdchost.dll 2009-02-01 22:29:38 ----A---- C:\WINDOWS\system32\mstscax.dll 2009-02-01 22:29:38 ----A---- C:\WINDOWS\system32\mstsc.exe 2009-02-01 22:29:37 ----D---- C:\WINDOWS\system32\MsDtc 2009-02-01 22:29:37 ----A---- C:\WINDOWS\system32\rdpwsx.dll 2009-02-01 22:29:37 ----A---- C:\WINDOWS\system32\rdpsnd.dll 2009-02-01 22:29:37 ----A---- C:\WINDOWS\system32\rdpclip.exe 2009-02-01 22:29:37 ----A---- C:\WINDOWS\system32\qprocess.exe 2009-02-01 22:29:37 ----A---- C:\WINDOWS\system32\mtxoci.dll 2009-02-01 22:29:37 ----A---- C:\WINDOWS\system32\msdtcuiu.dll 2009-02-01 22:29:37 ----A---- C:\WINDOWS\system32\msdtctm.dll 2009-02-01 22:29:37 ----A---- C:\WINDOWS\system32\msdtcprx.dll 2009-02-01 22:29:37 ----A---- C:\WINDOWS\system32\icaapi.dll 2009-02-01 22:29:37 ----A---- C:\WINDOWS\system32\cfgbkend.dll 2009-02-01 22:29:36 ----D---- C:\WINDOWS\system32\Com 2009-02-01 22:29:36 ----A---- C:\WINDOWS\system32\xolehlp.dll 2009-02-01 22:29:36 ----A---- C:\WINDOWS\system32\msdtclog.dll 2009-02-01 22:29:36 ----A---- C:\WINDOWS\system32\msdtc.exe 2009-02-01 22:29:36 ----A---- C:\WINDOWS\system32\colbact.dll 2009-02-01 22:29:36 ----A---- C:\WINDOWS\system32\clbcatex.dll 2009-02-01 22:29:36 ----A---- C:\WINDOWS\system32\catsrvps.dll 2009-02-01 22:29:35 ----A---- C:\WINDOWS\system32\comuid.dll 2009-02-01 22:29:35 ----A---- C:\WINDOWS\system32\comsvcs.dll 2009-02-01 22:29:35 ----A---- C:\WINDOWS\system32\clbcatq.dll 2009-02-01 22:29:35 ----A---- C:\WINDOWS\system32\catsrvut.dll 2009-02-01 22:29:35 ----A---- C:\WINDOWS\system32\catsrv.dll 2009-02-01 22:29:32 ----A---- C:\WINDOWS\system32\servdeps.dll 2009-02-01 22:29:32 ----A---- C:\WINDOWS\system32\mmfutil.dll 2009-02-01 22:29:31 ----A---- C:\WINDOWS\system32\licwmi.dll 2009-02-01 22:29:31 ----A---- C:\WINDOWS\system32\cmprops.dll 2009-02-01 22:28:18 ----A---- C:\WINDOWS\system32\h323log.txt 2009-02-01 22:14:04 ----A---- C:\WINDOWS\system32\hidserv.dll 2009-02-01 22:13:38 ----A---- C:\WINDOWS\system32\usbui.dll 2009-02-01 22:13:07 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI 2009-02-01 22:13:06 ----SHD---- C:\WINDOWS\Installer 2009-02-01 22:13:06 ----D---- C:\Programme\Gemeinsame Dateien\ODBC 2009-02-01 22:13:06 ----A---- C:\WINDOWS\ODBCINST.INI 2009-02-01 22:13:04 ----D---- C:\Programme\Gemeinsame Dateien\SpeechEngines 2009-02-01 22:13:03 ----RD---- C:\Programme 2009-02-01 22:13:03 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared 2009-02-01 22:13:03 ----AD---- C:\Programme\Gemeinsame Dateien 2009-02-01 22:13:02 ----RA---- C:\WINDOWS\system32\kbdazel.dll 2009-02-01 22:13:01 ----RA---- C:\WINDOWS\system32\kbdtuq.dll 2009-02-01 22:13:01 ----RA---- C:\WINDOWS\system32\kbdtuf.dll 2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbdycc.dll 2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbduzb.dll 2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbdur.dll 2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbdtat.dll 2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbdru1.dll 2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbdru.dll 2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbdmon.dll 2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbdkyr.dll 2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbdkaz.dll 2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbdbu.dll 2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbdblr.dll 2009-02-01 22:13:00 ----RA---- C:\WINDOWS\system32\kbdaze.dll 2009-02-01 22:12:59 ----RA---- C:\WINDOWS\system32\kbdhept.dll 2009-02-01 22:12:59 ----RA---- C:\WINDOWS\system32\kbdhela3.dll 2009-02-01 22:12:59 ----RA---- C:\WINDOWS\system32\kbdhela2.dll 2009-02-01 22:12:59 ----RA---- C:\WINDOWS\system32\kbdhe319.dll 2009-02-01 22:12:58 ----RA---- C:\WINDOWS\system32\kbdhe220.dll 2009-02-01 22:12:58 ----RA---- C:\WINDOWS\system32\kbdhe.dll 2009-02-01 22:12:58 ----RA---- C:\WINDOWS\system32\kbdgkl.dll 2009-02-01 22:12:57 ----RA---- C:\WINDOWS\system32\kbdlv1.dll 2009-02-01 22:12:57 ----RA---- C:\WINDOWS\system32\kbdlv.dll 2009-02-01 22:12:57 ----RA---- C:\WINDOWS\system32\kbdlt1.dll 2009-02-01 22:12:57 ----RA---- C:\WINDOWS\system32\kbdlt.dll 2009-02-01 22:12:57 ----RA---- C:\WINDOWS\system32\kbdest.dll 2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdycl.dll 2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdsl1.dll 2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdsl.dll 2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdro.dll 2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdpl1.dll 2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdpl.dll 2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdhu1.dll 2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdhu.dll 2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdcz2.dll 2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdcz1.dll 2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdcz.dll 2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\kbdcr.dll 2009-02-01 22:12:56 ----RA---- C:\WINDOWS\system32\KBDAL.DLL 2009-02-01 22:12:54 ----A---- C:\WINDOWS\system32\spxcoins.dll 2009-02-01 22:12:54 ----A---- C:\WINDOWS\system32\irclass.dll 2009-02-01 22:12:54 ----A---- C:\WINDOWS\system32\EqnClass.Dll 2009-02-01 22:12:54 ----A---- C:\WINDOWS\system32\dgsetup.dll 2009-02-01 22:12:54 ----A---- C:\WINDOWS\system32\dgrpsetu.dll 2009-02-01 22:12:52 ----N---- C:\WINDOWS\system32\CONFIG.TMP 2009-02-01 22:12:52 ----A---- C:\WINDOWS\TASKMAN.EXE 2009-02-01 22:12:52 ----A---- C:\WINDOWS\system32\batt.dll 2009-02-01 22:12:51 ----A---- C:\WINDOWS\system32\storprop.dll 2009-02-01 22:12:51 ----A---- C:\WINDOWS\notepad.exe |
16.02.2009, 23:43 | #8 |
| Trojan-Dropper.SEH + Popup RSIT Log Teil 4 Code:
ATTFilter 2009-02-01 22:12:48 ----ASH---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini 2009-02-01 22:12:45 ----RA---- C:\WINDOWS\SET8.tmp 2009-02-01 22:12:43 ----RA---- C:\WINDOWS\SET4.tmp 2009-02-01 22:12:42 ----RA---- C:\WINDOWS\SET3.tmp 2009-02-01 22:12:39 ----D---- C:\WINDOWS\system32\CatRoot2 2009-02-01 22:12:39 ----D---- C:\WINDOWS\system32\CatRoot 2009-02-01 22:12:33 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft 2009-02-01 22:12:16 ----SHD---- C:\System Volume Information 2009-02-01 22:12:16 ----D---- C:\Dokumente und Einstellungen ======List of files/folders modified in the last 1 months====== 2009-02-16 12:22:03 ----A---- C:\WINDOWS\system.ini 2009-02-15 09:19:27 ----A---- C:\WINDOWS\win.ini ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2008-10-30 75072] R1 IKSysFlt;System Filter Driver; C:\WINDOWS\system32\drivers\iksysflt.sys [2008-08-25 66952] R1 IKSysSec;System Security Driver; C:\WINDOWS\system32\drivers\iksyssec.sys [2008-08-25 81288] R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448] R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720] R1 klif;Kaspersky Lab Driver; C:\WINDOWS\system32\DRIVERS\klif.sys [2009-02-06 213520] R1 NetBurn;Paragon NetBurning Driver; C:\WINDOWS\system32\DRIVERS\NetBurn.sys [2008-06-28 84752] R1 NetworkX;NetworkX; C:\WINDOWS\system32\ckldrv.sys [2006-01-10 31846] R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248] R1 Uim_IM;UIM Drive Backup Image Plugin; C:\WINDOWS\System32\Drivers\Uim_IM.sys [2008-06-28 130688] R1 UimBus;Universal Image Mounter Controller; C:\WINDOWS\system32\DRIVERS\UimBus.sys [2008-06-28 33072] R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.4.3.0; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2009-02-02 20747] R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800] R3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys [] R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384] R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368] R3 KLFLTDEV;Kaspersky Lab KLFltDev; C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 26640] R3 klim5;Kaspersky Anti-Virus NDIS Filter; C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-03-25 24592] R3 monfilt;monfilt; C:\WINDOWS\system32\drivers\monfilt.sys [2008-02-14 1389056] R3 MTsensor;ATK0110 ACPI UTILITY; C:\WINDOWS\system32\DRIVERS\ASACPI.sys [2004-08-12 5810] R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824] R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2007-11-28 6866912] R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2007-11-17 22016] R3 RT73;LevelOne WNC-0301USB Wireless Adapter Driver; C:\WINDOWS\system32\DRIVERS\rt73.sys [2005-11-03 245504] R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520] R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152] R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368] R3 VIAHdAudAddService;VIA High Definition Audio Driver Service; C:\WINDOWS\system32\drivers\viahduaa.sys [2008-05-08 238080] R3 WinDriver6;WinDriver6; C:\WINDOWS\system32\drivers\windrvr6.sys [2008-02-19 191424] S3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2007-11-17 54016] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AntiVirScheduler;Avira AntiVir Personal - Free Antivirus Planer; C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-15 68865] R2 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard; C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-15 151297] R2 avp;Kaspersky Internet Security; C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe [2009-02-06 201992] R2 Crypkey License;Crypkey License; C:\WINDOWS\system32\crypserv.exe [2006-03-01 69632] R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-02-05 152984] R2 NetBurnerService;Net Burner iSCSI Service; C:\Programme\Paragon Software\Drive Backup 9 Professional\Net Burner Service\NetBurnerService.exe [2008-06-28 223248] R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2007-11-28 155716] R2 sdAuxService;PC Tools Auxiliary Service; C:\Programme\Spyware Doctor\pctsAuxs.exe [2008-06-13 356920] R2 sdCoreService;PC Tools Security Service; C:\Programme\Spyware Doctor\pctsSvc.exe [2008-10-09 1079176] R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2004-08-11 38912] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632] S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104] S3 idsvc;Windows CardSpace; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664] S3 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe [] S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096] -----------------EOF----------------- |
16.02.2009, 23:59 | #9 |
Gast | Trojan-Dropper.SEH + Popup Hallo Marfi, Du musst die Wiederherstellungspunkte von Windows löschen, in denen ist der Virus gespeichert, was natürlich blöd ist. Also: Rechtsklick Arbeitsplatz -> Eigenschaften -> Register Wiederherstellung -> automatische Wiederherstellung deaktivieren -> ok Kannst Du nachdem die Dateien gelöscht wurden wieder aktivieren. - lass die Virenprogramme nochmal laufen (Kaspersky und Malwarebytes) - C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\regrcg.exe unter VirusTotal - Kostenloser online Viren- und Malwarescanner prüfen lassen, wenn Sie nichts finden, dann (sonst nochmal melden): - CCleaner laufen lassen - HijackThis laufen lassen (und Logfile posten) anschließend noch ein bischen aufräumen (deinstallieren): - Adobe Reader 8.1.1 (neue Version 9 laden) - Java(TM) 6 Update 11 (Java 6 Update 12 laden) - Microsoft .NET Framework 2.0 Service Pack 2 (Neue Version schon vorhanden) - Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU (Neue Version schon vorhanden) - Microsoft .NET Framework 3.0 Service Pack 2 (Neue Version schon vorhanden) - Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU (Neue Version schon vorhanden) - WISO Sparbuch 2008 (2009 vorhanden) AnitVirenprogramme (such Dir eins aus, der Rest fliegt weg!): - Malwarebytes' Anti-Malware - Navilog1 3.7.3 - Kaspersky Internet Security 2009 - Spyware Doctor 6.0 - Antivir brauchst auch nicht auf dem System (bei Bedarf neu installieren) - HijackThis 2.0.2 - CCleaner Grüße 45cl3p1u5 Geändert von 45cl3p1u5 (17.02.2009 um 00:11 Uhr) |
18.02.2009, 10:26 | #10 |
| Trojan-Dropper.SEH + Popup Hallo 45cl3p1u5, soweit wie Du mir es gesagt hast, habe ich es durchgeführt. Als ich die regrcg.exe untersuchen wollte, habe ich sie nicht mehr gefunden. stattdessen fiel mir diese hier auf. Code:
ATTFilter C:\Dokumente und Einstellungen\***\LokaleEinstellungen\Anwendungsdaten\wqymsei.exe VirusTotal hat da auch was gefunden Ich melde mich nochmal, ob das Problem jetzt gelößt ist. Code:
ATTFilter Datei wqymsei.exe empfangen 2009.02.18 10:17:04 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 4/39 (10.26%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 2. Geschätzte Startzeit ist zwischen 58 und 83 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.93 2009.02.18 - AhnLab-V3 2009.2.17.2 2009.02.18 - AntiVir 7.9.0.83 2009.02.18 - Authentium 5.1.0.4 2009.02.18 - Avast 4.8.1335.0 2009.02.17 - AVG 8.0.0.237 2009.02.17 - BitDefender 7.2 2009.02.18 - CAT-QuickHeal 10.00 2009.02.18 - ClamAV 0.94.1 2009.02.18 - Comodo 982 2009.02.17 - DrWeb 4.44.0.09170 2009.02.18 - eSafe 7.0.17.0 2009.02.17 - eTrust-Vet 31.6.6363 2009.02.18 - F-Prot 4.4.4.56 2009.02.17 - F-Secure 8.0.14470.0 2009.02.18 - Fortinet 3.117.0.0 2009.02.18 - GData 19 2009.02.18 - Ikarus T3.1.1.45.0 2009.02.18 - K7AntiVirus 7.10.582 2009.01.09 - Kaspersky 7.0.0.125 2009.02.18 - McAfee 5529 2009.02.17 - McAfee+Artemis 5529 2009.02.17 - Microsoft 1.4306 2009.02.18 - NOD32 3863 2009.02.18 - Norman 6.00.06 2009.02.17 Banker.EFTK nProtect 2009.1.8.0 2009.02.18 - Panda 9.4.3.20 2009.02.17 - PCTools 4.4.2.0 2009.02.17 - Prevx1 V2 2009.02.18 Malicious Software Rising 21.17.21.00 2009.02.18 - SecureWeb-Gateway 6.7.6 2009.02.18 Ad-Spyware.LooksLike.NaviP263168 Sophos 4.38.0 2009.02.18 - Sunbelt 3.2.1855.2 2009.02.17 Trojan-Spy.Win32.Ardamax.F (vf) Symantec 10 2009.02.18 - TheHacker 6.3.2.2.259 2009.02.18 - TrendMicro 8.700.0.1004 2009.02.18 - VBA32 3.12.8.13 2009.02.18 - ViRobot 2009.2.18.1612 2009.02.18 - VirusBuster 4.5.11.0 2009.02.17 - |
18.02.2009, 11:32 | #11 |
| Trojan-Dropper.SEH + Popup Vielen Dank!! Das Problem ist nun gelößt! Ich musste im abgesicherten Modus die entsrechende Datei und alle temp und sonstigen Einträge löschen. Mit CCleaner nochmal aufgeräumt und alles durchsucht. Jetzt ist alles wieder schön sauber, keine Popups keine Registryeinträge Ich bin glücklich und mein Rechner auch Danke 45cl3p1u5 Du hast mir sehr geholfen. |
18.02.2009, 11:53 | #12 |
Gast | Trojan-Dropper.SEH + Popup versuch vorsichtshalber noch folgendes: Bitte lade Dir Navilog1 von IL-MAFIOSO herunter. * Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen. * Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus. * Wähle E für Englisch im Sprachenmenü * Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter. * Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte. * Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt. * Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein. Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt. Hinweis: Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren. Grüße 45cl3p1u5 |
19.02.2009, 12:46 | #13 |
| Trojan-Dropper.SEH + Popup Mein Problem scheint doch nicht ganz gelößt Kaspersky kann die Virensignaturen nicht mehr updaten, mir fehlen angeblich die Rechte für die Dateioperation. Als Admin habe ich Vollzugriff auf den Ordner gegeben, trotzdem geht es nicht. Keine Ahnung was das jetzt wieder ist. Kann es ein Festplattenfehler sein? Oder hat der Virus noch was verwurstet? Ich bin ratlos... Hier die logs Code:
ATTFilter Navipromo Removal version 3.7.4 started on 19.02.2009 at 12:13:40,01 Fix running from C:\Programme\navilog1 Updated on 16.02.2009 at 18h00 by IL-MAFIOSO Microsoft Windows XP *** Edition ( v5.1.2600 ) Service Pack 3 X86-based PC ( Multiprocessor Free : Intel Pentium III Xeon-Prozessor ) BIOS : Phoenix - AwardBIOS v6.00PG USER : *** ( Administrator ) BOOT : Normal boot Antivirus : Kaspersky Internet Security 8.0.0.506 (Not Activated) Firewall : Kaspersky Internet Security 8.0.0.506 (Not Activated) A:\ (USB) C:\ (Local Disk) - NTFS - Total:596 Go (Free:495 Go) D:\ (CD or DVD) E:\ (CD or DVD) Automatic removal with Catchme and GNS results Cleanning stage done on Reboot *** fsbl1.txt not found *** (Check that Catchme found nothing in Search Mode) *** Deleting with Backups GenericNaviSearch results *** * Deletion in "C:\WINDOWS\System32" * * Deletion in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" * * Deletion in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" * *** Deleting folders in "C:\WINDOWS" *** *** Deleting folders in "C:\Programme" *** *** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" *** *** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1" *** *** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" *** *** Deleting folders in "C:\Dokumente und Einstellungen\***\anwend~1" *** *** Deleting folders in "C:\DOKUME~1\ADMINI~1\anwend~1" *** *** Deleting folders in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" *** *** Deleting folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *** *** Deleting folders in "C:\Dokumente und Einstellungen\***\startm~1\progra~1" *** *** Deleting folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" *** *** Deleting files *** *** Deleting temporary files *** Cleaning of C:\WINDOWS\Temp done ! Cleaning of C:\Dokumente und Einstellungen\***\lokale~1\Temp done ! *** Complementary Search *** (Search specific files) 1)Deletion with backups new Instant Access files: 2)Heuristic search and deletion with backups : * In "C:\WINDOWS\system32" * * In "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" * * In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" * *** Copy Registry to Safebackup folder *** Backing up Registry done ! *** Cleaning Registry *** Registry cleaned *** Certificates *** Egroup Certificate not found ! Electronic-Group Certificate not found ! Montorgueil Certificate not found ! OOO-Favorit Certificate not found ! Sunny-Day-Design-Ltd Certificate not found ! *** Search others known folders and files *** *** Cleaning stage complete on 19.02.2009 at 12:18:57,90 *** Code:
ATTFilter Search Navipromo version 3.7.4 began on 19.02.2009 at 12:12:14,40 !!! Warning, this report may include legitimate files/programs !!! !!! Post this report on the forum you are being helped !!! !!! Don't continue with removal unless instructed by an authorized helper !!! Fix running from C:\Programme\navilog1 Updated on 16.02.2009 at 18h00 by IL-MAFIOSO Microsoft Windows XP *** Edition ( v5.1.2600 ) Service Pack 3 X86-based PC ( Multiprocessor Free : Intel Pentium III Xeon-Prozessor ) BIOS : Phoenix - AwardBIOS v6.00PG USER : *** ( Administrator ) BOOT : Normal boot Antivirus : Kaspersky Internet Security 8.0.0.506 (Not Activated) Firewall : Kaspersky Internet Security 8.0.0.506 (Not Activated) A:\ (USB) C:\ (Local Disk) - NTFS - Total:596 Go (Free:495 Go) D:\ (CD or DVD) E:\ (CD or DVD) Search done in normal mode *** Searching for installed Software *** *** Search folders in "C:\WINDOWS" *** *** Search folders in "C:\Programme" *** *** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" *** *** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" *** *** Search folders in "c:\dokume~1\alluse~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\***\anwend~1" *** *** Search folders in "C:\DOKUME~1\ADMINI~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" *** *** Search folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\***\startm~1\progra~1" *** *** Search folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" *** *** Search with GenericNaviSearch *** !!! Possibility of legitimate files in the result !!! !!! Must always be checked before manually deleting !!! * Scan in "C:\WINDOWS\system32" * * Scan in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" * * Scan in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" * *** Search files *** *** Search specific Registry keys *** !! Following keys are not certainly all infected !! *** Complementary Search *** (Search specific files) 1)Search new Instant Access files : 2)Heuristic Search : * In "C:\WINDOWS\system32" : * In "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" : * In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" : 3)Certificates Search : Egroup certificate not found ! Electronic-Group certificate not found ! Montorgueil certificate not found ! OOO-Favorit certificate not found ! Sunny-Day-Design-Ltd certificate not found ! 4)Search others known folders and files : *** Search completed on 19.02.2009 at 12:12:40,07 *** Code:
ATTFilter 19.02.2009 12:40:28 Fehler bei der Untersuchung einer geladenen Komponente KDBI386 19.02.2009 12:40:28 Fehler beim Update einer Komponente KDBI386 19.02.2009 12:40:28 Unzureichende Rechte zum Ausführen einer Datei-Operation C:/Dokumente und Einstellungen/All Users/Anwendungsdaten/Kaspersky Lab/AVP8/Bases/klavemu.kdl 19.02.2009 12:40:28 Unzureichende Rechte zum Ausführen einer Datei-Operation C:/Dokumente und Einstellungen/All Users/Anwendungsdaten/Kaspersky Lab/AVP8/Bases/kavbase.kdl |
19.02.2009, 14:32 | #14 |
Gast | Trojan-Dropper.SEH + Popup Hallo Marfi, das hat nichts mit Dateirechten zu tun, sondern irgendwie ist Dein Lizenzschlüssel von Kaspersky beschädigt worden und Du hast deshalb keine Rechte mehr Updates zu machen. Weiß leider nicht, wie man das behebt. Ich würde eine Deinstallation -> Installation versuchen. Grüße 45cl3p1u5 |
19.02.2009, 23:30 | #15 |
| Trojan-Dropper.SEH + Popup Hallo 45cl3p1u5, das Problem lag bei Kaspersky, jetzt ist alles wieder okay. Auf deren Server war was nicht in Ordnung. Ich habe im Support Forum duzende Einträge gefunden Vielen Dank nochmal, es scheint jetzt alles bestens zu sein. Gruß Marfi |
Themen zu Trojan-Dropper.SEH + Popup |
dateien, explorer, folge, forum, gelöscht, google, internet, internet explorer, lahm, links, löschen, neu, neustart, popup, popups, problem, seite, seiten, software, system, system32, trojan, virus, vorschläge, werbung |