Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
TR/Rootkit.Gen bekomme ich nicht weg

TR/Rootkit.Gen bekomme ich nicht weg


Plagegeister aller Art und deren Bekämpfung: TR/Rootkit.Gen bekomme ich nicht weg

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 19.02.2009, 07:22   #1
fatiho
 
TR/Rootkit.Gen bekomme ich nicht weg - Standard

TR/Rootkit.Gen bekomme ich nicht weg


Hab da ein problem mit diesem TR/Rootkit.Gen trojaner
Habe vor 2 tagen gemerkt wenn ich ein programm öffne das dann dieser virus meldung von Antivir kommt.
Das Programm was ich öffne heisst Data Becke Etikketendruckerei.
Dieser Virus vertcteckt sich immer in der C:\WINDOWS\system32\drivers\SSHDRV76.sys
Habe Hijackthis, Malwarebytes, ComboFix schon durch.
Aber mein Problem ist noch nicht weg

Hier die reports

ComboFix 09-02-17.02 - 2009-02-18 15:55:06.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.255.53 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning disabled* (Updated)
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated)
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated)
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\INSTALL.LOG
c:\windows\system32\lssrv.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_IPRIP
-------\Legacy_ISEXENG
-------\Legacy_ZESOFT
-------\Service_Iprip
-------\Service_ISEXEng


((((((((((((((((((((((( Dateien erstellt von 2009-01-18 bis 2009-02-18 ))))))))))))))))))))))))))))))
.

2009-02-18 14:29 . 2009-02-18 14:29 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-18 14:29 . 2009-02-18 14:29 <DIR> d-------- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2009-02-18 14:29 . 2009-02-18 14:29 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-18 14:29 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-18 14:29 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-18 14:12 . 2003-10-30 08:16 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen
2009-02-18 14:12 . 2003-10-30 08:12 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü
2009-02-18 14:12 . 2003-10-30 08:12 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2009-02-18 14:12 . 2009-02-18 16:00 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2009-02-18 14:12 . 2003-10-30 08:23 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Favoriten
2009-02-18 14:12 . 2003-10-30 08:23 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Eigene Dateien
2009-02-18 14:12 . 2003-10-30 08:12 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung
2009-02-18 14:12 . 2003-10-30 08:23 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2009-02-18 14:12 . 2009-02-18 14:12 <DIR> d-------- c:\dokumente und einstellungen\Administrator
2009-02-18 11:41 . 2009-02-18 11:41 <DIR> d-------- c:\programme\Trend Micro
2009-02-04 16:42 . 2009-02-04 16:42 <DIR> d-------- c:\programme\MSXML 4.0
2009-02-02 08:06 . 2009-02-02 08:06 16,520 --a------ c:\windows\FontData.fdb
2009-02-02 08:04 . 2009-02-02 08:04 <DIR> d-------- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Corel
2009-02-02 07:48 . 2009-02-02 07:48 <DIR> d-------- c:\programme\Gemeinsame Dateien\Corel
2009-01-23 08:06 . 2009-01-23 08:06 410,984 --a------ c:\windows\system32\deploytk.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-18 12:01 --------- d-----w c:\programme\Google
2009-02-09 06:57 --------- d-----w c:\programme\Winlog.basic
2009-01-23 07:05 --------- d-----w c:\programme\Java
2008-12-22 07:02 --------- d-----w c:\programme\SpeedFan
2004-07-09 11:34 70,988 ----a-w c:\dokumente und einstellungen\xxx\KS_090704_133323.zip
2002-09-05 05:00 12,800 ----a-w c:\dokumente und einstellungen\xxx\cnmss Canon i550 (Kopieren 2) (Local).exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-13 68856]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-12-10 216520]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HPDJ Taskbar Utility"="c:\windows\System32\spool\drivers\w32x86\3\hpztsb07.exe" [2003-03-09 188416]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-23 136600]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2004-03-09 57393]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2004-03-09 40960]
"SetDefPrt"="c:\programme\Brother\Brmfl04g\BrStDvPt.exe" [2004-11-11 49152]
"ControlCenter2.0"="c:\programme\Brother\ControlCenter2\brctrcen.exe" [2004-11-11 864256]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2006-02-23 35328]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Uninstall HBO BOXING.lnk - c:\windows\iun503.exe [2004-04-06 286720]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"c:\\Programme\\LimeWire\\LimeWire.exe"=
"c:\\StubInstaller.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=

R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;c:\windows\system32\drivers\avmdsloe.sys [2003-06-11 39552]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmndsl.sys [2003-06-11 38992]
S1 SSHDRV76;SSHDRV76;\??\c:\windows\system32\drivers\SSHDRV76.sys --> c:\windows\system32\drivers\SSHDRV76.sys [?]
S3 FDLUBASE;AVM FRITZ!Card DSL SL USB (WinXP/2000);c:\windows\system32\drivers\fdlubase.sys [2003-06-11 659200]
S3 NETFWDSL;AVM FRITZ!web DSL PPP;c:\windows\system32\DRIVERS\NETFWDSL.SYS --> c:\windows\system32\DRIVERS\NETFWDSL.SYS [?]
S3 TOMCATWAN;T-Online DynamicISDN (WDM);c:\windows\system32\DRIVERS\WTOMCAT.SYS --> c:\windows\system32\DRIVERS\WTOMCAT.SYS [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{10d5dce9-76fa-11dc-a5ab-00301b268972}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a
.
Inhalt des "geplante Tasks" Ordners

2008-12-12 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2004\SystemOptimizer.exe []
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Arcor Online - (no file)
HKU-Default-Run-Starting up - wvsvc.exe
HKU-Default-Run-*windows update - wuacrlt.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mStart Page = hxxp://www.arcor.de
mWindow Title = Microsoft Internet Explorer
uInternet Connection Wizard,ShellNext = iexplore
IE: Nach Microsoft &Excel exportieren - c:\micros~1\Office10\EXCEL.EXE/3000
DPF: {990D211C-FBA4-47FB-A764-A2D7A78A79E4} - hxxp://www.gamegarden.net/game/ggsecure.cab
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-18 16:08:18
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\rundll32.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\windows\system32\tcpsvcs.exe
c:\windows\system32\snmp.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-02-18 16:13:04 - PC wurde neu gestartet [xxx]
ComboFix-quarantined-files.txt 2009-02-18 15:12:55

Vor Suchlauf: 478.777.344 Bytes frei
Nach Suchlauf: 1,245,184,000 Bytes frei

138 --- E O F --- 2009-02-12 08:54:29
--------------------------------------------------------------------------



Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1773
Windows 5.1.2600 Service Pack 3

18.02.2009 15:37:56
mbam-log-2009-02-18 (15-37-56).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 136191
Laufzeit: 51 minute(s), 58 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 19
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 4
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\mediaaccess.installer (Adware.MediaAccess) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{00ada225-ea6c-4fb3-82e8-68189201ccb9} (Adware.Winad) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{1e5f0d38-214b-4085-ad2a-d2290e6a2d2c} (Adware.MediaAccess) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{15696ae2-6ea4-47f4-bea6-a3d32693efc7} (Adware.Winad) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{735c5a0c-f79f-47a1-8ca1-2a2e482662a8} (Adware.Winad) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a3fdd654-a057-4971-9844-4ed8e67dbbb8} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{10e42047-deb9-4535-a118-b3f6ec39b807} (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{5f1abcdb-a875-46c1-8345-b72a4567e486} (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{8cba1b49-8144-4721-a7b1-64c578c9eed7} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\media access (Adware.MediaAccess) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Media Access (Adware.MediaAccess) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\LoaderX.EXE (Adware.Winad) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\FunWebProducts (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Fun Web Products (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Fun Web Products (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{10e42047-deb9-4535-a118-b3f6ec39b807} (Adware.ISTBar) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\FunWebProducts (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\FunWebProducts\ScreenSaver (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\FunWebProducts\ScreenSaver\Images (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\FunWebProducts\Shared (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
--------------------------------------------------------------------------


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:21:05, on 19.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\ArcorOnline\AOButler.exe
C:\WINDOWS\regedit.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.gazeteoku.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04g\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Uninstall HBO BOXING.lnk = C:\WINDOWS\iun503.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.Netsquare.de
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {990D211C-FBA4-47FB-A764-A2D7A78A79E4} (SecureLogin) - http://www.gamegarden.net/game/ggsecure.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1490768F-010A-45D1-90D7-3858BF98AAAA}: NameServer = 195.50.140.178 195.50.140.114
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 7154 bytes







Ich muss diesen tojaner los werden.
Bitte helft mir

Alt 19.02.2009, 07:43   #2
Chris4You
 
TR/Rootkit.Gen bekomme ich nicht weg - Standard

TR/Rootkit.Gen bekomme ich nicht weg


Hi,

wir prüfen das mal auf false/positiv online:
Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
c:\windows\system32\tcpsvcs.exe
C:\WINDOWS\system32\drivers\SSHDRV76.sys
C:\WINDOWS\iun503.exe
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

SilentRunner:
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

chris
Ps.: Die Treiber-Section schaue ich mir noch genauer an...
!Danger!
Das hier gehört normalerweise zu einem Backdoor:
Legacy_IPRIP, Service_Iprip -> http://www.threatexpert.com/report.a...1-0768be59ef99
LEGACY_ISEXENG -> ist ebenfalls faul
Legacy_ZESOFT -> Adware.P2PNetworking
Die Frage ist, leben die Treiber noch....
Bzw. Bei einem Backdoor ist Neuaufsetzen angesagt!

Treiber anzeigen:
http://support.microsoft.com/kb/311272
Auspacken, in dem Unterverzeichnis i386 liegt die per CMD startbare exe.
Eine Commandshell öffnen, in das Verzeichnis wechseln und dort folgendes
eingeben:
devcon status * > drivers.txt
In dem Verzeichnis wirst Du nun eine Datei drivers.txt finden, diese öffenen und den
Inhalt in Deinen Thread kopieren.
__________________

__________________
Geändert von Chris4You (19.02.2009 um 07:57 Uhr)

Alt 19.02.2009, 08:25   #3
fatiho
 
TR/Rootkit.Gen bekomme ich nicht weg - Standard

TR/Rootkit.Gen bekomme ich nicht weg


So hier der 1

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.93 2009.02.19 -
AhnLab-V3 2009.2.19.0 2009.02.18 -
AntiVir 7.9.0.83 2009.02.18 -
Authentium 5.1.0.4 2009.02.18 -
Avast 4.8.1335.0 2009.02.18 -
AVG 8.0.0.237 2009.02.19 -
BitDefender 7.2 2009.02.19 -
CAT-QuickHeal 10.00 2009.02.19 -
ClamAV 0.94.1 2009.02.18 -
Comodo 983 2009.02.18 -
DrWeb 4.44.0.09170 2009.02.19 -
eSafe 7.0.17.0 2009.02.18 -
eTrust-Vet 31.6.6365 2009.02.19 -
F-Prot 4.4.4.56 2009.02.18 -
F-Secure 8.0.14470.0 2009.02.19 -
Fortinet 3.117.0.0 2009.02.18 -
GData 19 2009.02.19 -
Ikarus T3.1.1.45.0 2009.02.19 -
K7AntiVirus 7.10.630 2009.02.18 -
Kaspersky 7.0.0.125 2009.02.19 -
McAfee 5529 2009.02.17 -
McAfee+Artemis 5529 2009.02.17 -
Microsoft 1.4306 2009.02.19 -
NOD32 3866 2009.02.18 -
Norman 6.00.06 2009.02.18 -
nProtect 2009.1.8.0 2009.02.19 -
Panda 10.0.0.10 2009.02.18 -
PCTools 4.4.2.0 2009.02.18 -
Prevx1 V2 2009.02.19 -
Rising 21.17.30.00 2009.02.19 -
SecureWeb-Gateway 6.7.6 2009.02.18 -
Sophos 4.38.0 2009.02.19 -
Sunbelt 3.2.1855.2 2009.02.17 -
Symantec 10 2009.02.19 -
TheHacker 6.3.2.2.259 2009.02.18 -
TrendMicro 8.700.0.1004 2009.02.19 -
VBA32 3.12.10.0 2009.02.18 -
ViRobot 2009.2.19.1614 2009.02.19 -
VirusBuster 4.5.11.0 2009.02.18 -
weitere Informationen
File size: 19456 bytes
MD5...: 7a1a532f14fde28489dc349c6e404a67
SHA1..: a4d764eb6ba806b461aa0b148e1cb7dbf9daa564
SHA256: 2bd9f0c54c7107b4d1957f5db788265cd87602320cf48453b4a2d6f249eee392
SHA512: 0c6ab172f09b240dc2c1fb61dbab2162f1773adaeedf0313e6153e40f5302b5f
c2a6fd27255839597c391f1574289b5ffe1cb4f50a8c30460c4e4c641e8819fa
ssdeep: 384:vcq0ph/oAtd+Q1SngmMMD6M2saiVkbRVBs+zbwW6gycDkWX/W:0NtdXSgxsa
iKtXvGNcD1

PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1001ef8
timedatestamp.....: 0x3b7d852a (Fri Aug 17 20:57:14 2001)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3ffa 0x4000 6.50 0990d8bcdaf238c1fc745021da7fac46
.data 0x5000 0x818 0x400 2.26 d8a175d815abd6e14098451f7d708232
.rsrc 0x6000 0x3f0 0x400 3.36 ab0ce5e403174e33501897d80a9f0115

( 4 imports )
> ADVAPI32.dll: SetServiceStatus, RegisterServiceCtrlHandlerW, StartServiceCtrlDispatcherW
> KERNEL32.dll: LeaveCriticalSection, EnterCriticalSection, ExitProcess, GetLastError, InitializeCriticalSection, SetErrorMode, FreeLibrary, Sleep, GetProcAddress, LoadLibraryW, lstrcpyW, lstrlenW, lstrcatW, GetSystemDirectoryW, GetModuleHandleA, GetCommandLineA, GetVersionExA, WriteFile, GetStdHandle, GetModuleFileNameA, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, HeapDestroy, HeapCreate, VirtualFree, HeapFree, LoadLibraryA, HeapAlloc, GetACP, GetOEMCP, GetCPInfo, VirtualAlloc, HeapReAlloc, LCMapStringA, MultiByteToWideChar, LCMapStringW, GetStringTypeA, GetStringTypeW, RtlUnwind, GetLocaleInfoA, VirtualProtect, GetSystemInfo, VirtualQuery
> ntdll.dll: DbgPrint
> RPCRT4.dll: RpcMgmtStopServerListening, RpcServerListen, RpcMgmtWaitServerListen

( 0 exports )

CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=7a1a532f14fde28489dc349c6e404a67' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=7a1a532f14fde28489dc349c6e404a67</a>


------------------------------------------------------------------------


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.93 2009.02.19 -
AhnLab-V3 2009.2.19.0 2009.02.18 -
AntiVir 7.9.0.83 2009.02.18 -
Authentium 5.1.0.4 2009.02.18 -
Avast 4.8.1335.0 2009.02.18 -
AVG 8.0.0.237 2009.02.19 -
BitDefender 7.2 2009.02.19 -
CAT-QuickHeal 10.00 2009.02.19 -
ClamAV 0.94.1 2009.02.18 -
Comodo 983 2009.02.18 -
DrWeb 4.44.0.09170 2009.02.19 -
eSafe 7.0.17.0 2009.02.18 Suspicious File
eTrust-Vet 31.6.6365 2009.02.19 -
F-Prot 4.4.4.56 2009.02.18 -
F-Secure 8.0.14470.0 2009.02.19 -
Fortinet 3.117.0.0 2009.02.18 -
GData 19 2009.02.19 -
Ikarus T3.1.1.45.0 2009.02.19 -
K7AntiVirus 7.10.630 2009.02.18 -
Kaspersky 7.0.0.125 2009.02.19 -
McAfee 5529 2009.02.17 -
McAfee+Artemis 5529 2009.02.17 -
Microsoft 1.4306 2009.02.19 -
NOD32 3866 2009.02.18 -
Norman 6.00.06 2009.02.18 -
nProtect 2009.1.8.0 2009.02.19 -
Panda 10.0.0.10 2009.02.18 -
PCTools 4.4.2.0 2009.02.18 -
Prevx1 V2 2009.02.19 -
Rising 21.17.30.00 2009.02.19 -
SecureWeb-Gateway 6.7.6 2009.02.18 -
Sophos 4.38.0 2009.02.19 -
Sunbelt 3.2.1855.2 2009.02.17 -
Symantec 10 2009.02.19 -
TheHacker 6.3.2.2.259 2009.02.18 -
TrendMicro 8.700.0.1004 2009.02.19 -
VBA32 3.12.10.0 2009.02.18 -
ViRobot 2009.2.19.1614 2009.02.19 -
VirusBuster 4.5.11.0 2009.02.18 -
weitere Informationen
File size: 53760 bytes
MD5...: ef3504dd32e2ea222be0cbc9a0895f89
SHA1..: 045ca007add445fffae37e589e645888c5815948
SHA256: 3d24631effcb4567478bea863d3f8bd280b1771c471cca3a16beed510bb622da
SHA512: 1e25346db83494b23fd3f3625bbc29daa501e12817204089bcbaf196cb356c0d
0a9ce1fccd0abc21d0cf6dd8770d718776333125cb3c12dd237cc7764e1bbb11
ssdeep: 1536:LYK3kJkKaN3bTc6yCcZVa3iv7s0CzkJfY:LYK0Gv3bIhCLO7s0P

PEiD..: PKLITE32 1.1 -> PKWARE Inc.
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x41f000
timedatestamp.....: 0x405efc45 (Mon Mar 22 14:46:29 2004)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x16204 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x18000 0x244 0x400 2.73 cae18fec52655a527375e290f8798fb2
.data 0x19000 0x92c 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
INIT 0x1a000 0x48e 0x600 4.51 d73e9f6e71d3c4bfb51ec6fd653602d2
.rsrc 0x1b000 0x410 0x600 2.49 721fe6ef9087d949e566e42bba317ae1
.delete 0x1c000 0x28a4 0x200 6.33 fb852b060e7eee549a9354d35902257a
.pklstb 0x1f000 0xfa00 0xba00 7.85 83cefe929d4d974f05c65a08cf9620d0
.relo2 0x2f000 0x86 0x200 1.89 f5de1c72a0b183a58829006e2cafe71d

( 1 imports )
> ntoskrnl.exe: ZwCreateFile, ZwQuerySystemInformation, IoCreateDevice, ObfDereferenceObject, KeSetEvent, IofCompleteRequest, IoCreateSymbolicLink, IoDeleteDevice, IoDeleteSymbolicLink, PsGetCurrentProcessId, KeSetAffinityThread, RtlInitUnicodeString, IoGetDeviceObjectPointer, IoFreeIrp, IoGetAttachedDevice, RtlFreeUnicodeString, KeInitializeEvent, IoBuildSynchronousFsdRequest, KeWaitForSingleObject, ExAllocatePool, IoAllocateIrp, IofCallDriver, MmUnlockPages, IoFreeMdl, ExFreePool, RtlAnsiStringToUnicodeString, RtlInitString, KeNumberProcessors, memmove, ExReleaseResourceLite, IoDetachDevice, ExAcquireResourceExclusiveLite, KdDebuggerEnabled, toupper, strrchr, ExAllocatePoolWithTag, _except_handler3, KeGetCurrentThread, ExDeleteResourceLite, IoAttachDeviceByPointer, IoGetRelatedDeviceObject, ZwClose, ObReferenceObjectByHandle, tolower, ExInitializeResourceLite

( 0 exports )

packers (Kaspersky): PKLite32
packers (F-Prot): PKLite32



--------------------------------------------------------------------------


Datei iun503.exe empfangen 2009.02.19 08:17:03 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/39 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 49 und 70 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.93 2009.02.19 -
AhnLab-V3 2009.2.19.0 2009.02.18 -
AntiVir 7.9.0.83 2009.02.18 -
Authentium 5.1.0.4 2009.02.18 -
Avast 4.8.1335.0 2009.02.18 -
AVG 8.0.0.237 2009.02.19 -
BitDefender 7.2 2009.02.19 -
CAT-QuickHeal 10.00 2009.02.19 -
ClamAV 0.94.1 2009.02.18 -
Comodo 983 2009.02.18 -
DrWeb 4.44.0.09170 2009.02.19 -
eSafe 7.0.17.0 2009.02.18 -
eTrust-Vet 31.6.6365 2009.02.19 -
F-Prot 4.4.4.56 2009.02.18 -
F-Secure 8.0.14470.0 2009.02.19 -
Fortinet 3.117.0.0 2009.02.18 -
GData 19 2009.02.19 -
Ikarus T3.1.1.45.0 2009.02.19 -
K7AntiVirus 7.10.630 2009.02.18 -
Kaspersky 7.0.0.125 2009.02.19 -
McAfee 5529 2009.02.17 -
McAfee+Artemis 5529 2009.02.17 -
Microsoft 1.4306 2009.02.19 -
NOD32 3866 2009.02.18 -
Norman 6.00.06 2009.02.18 -
nProtect 2009.1.8.0 2009.02.19 -
Panda 10.0.0.10 2009.02.18 -
PCTools 4.4.2.0 2009.02.18 -
Prevx1 V2 2009.02.19 -
Rising 21.17.30.00 2009.02.19 -
SecureWeb-Gateway 6.7.6 2009.02.18 -
Sophos 4.38.0 2009.02.19 -
Sunbelt 3.2.1855.2 2009.02.17 -
Symantec 10 2009.02.19 -
TheHacker 6.3.2.2.259 2009.02.18 -
TrendMicro 8.700.0.1004 2009.02.19 -
VBA32 3.12.10.0 2009.02.18 -
ViRobot 2009.2.19.1614 2009.02.19 -
VirusBuster 4.5.11.0 2009.02.18 -
weitere Informationen
File size: 286720 bytes
MD5...: 1c3085e7234a336214a2497525be2eb5
SHA1..: 23c38f6642dad0d624f324aa29528e35defa6970
SHA256: f8d10a34f678cd485037586254613000dda65c4428f2ffb795d9153e3b43e259
SHA512: bec537488a06ba7dede1b07c53d88e8f00f46366122a1bdad861eec1a332cf9a
1e14ff0a98ec9c655e2baaa32a43a20e2bcf0bb8133b18e004acbb9f833ee11d
ssdeep: 6144:9UlrdigFpuIRuPFD9gE7NM0EX+X/tqDQoFg:ulsRquN+E7q0ECFRo

PEiD..: Armadillo v1.71
TrID..: File type identification
Win64 Executable Generic (54.6%)
Win32 Executable MS Visual C++ (generic) (24.0%)
Windows Screen Saver (8.3%)
Win32 Executable Generic (5.4%)
Win32 Dynamic Link Library (generic) (4.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40fec3
timedatestamp.....: 0x382888eb (Tue Nov 09 20:49:47 1999)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2a3b3 0x2b000 6.51 d62a14a7eed399c0ed9d7695e9cb17a8
.rdata 0x2c000 0x9ab8 0xa000 4.40 5019d11e12b2739c4b3f8a8705f546c3
.data 0x36000 0x7068 0x3000 4.57 7b5b6d2050fe7d056bfc277b8515b756
.rsrc 0x3e000 0xc718 0xd000 6.20 aa7f23e6b523f35212f751833f3249e9

( 9 imports )
> KERNEL32.dll: HeapFree, GetTimeZoneInformation, GetACP, TerminateProcess, HeapAlloc, RaiseException, LCMapStringA, LCMapStringW, GetCommandLineA, ExitProcess, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, HeapSize, HeapReAlloc, HeapDestroy, FreeEnvironmentStringsA, VirtualFree, VirtualAlloc, IsBadWritePtr, SetUnhandledExceptionFilter, GetStringTypeA, GetStringTypeW, SizeofResource, GetStartupInfoA, UnhandledExceptionFilter, GetStdHandle, SetStdHandle, CompareStringA, CompareStringW, SetEnvironmentVariableA, GetFileType, RtlUnwind, GetCurrentDirectoryA, SetCurrentDirectoryA, FindFirstFileA, FindNextFileA, FindClose, GetVersionExA, SetFileAttributesA, DeleteFileA, CopyFileA, GetLastError, FormatMessageA, LocalFree, CreateDirectoryA, lstrcmpA, lstrcpyA, lstrlenA, GlobalAlloc, GlobalLock, GlobalHandle, GlobalUnlock, GetProcessVersion, GetOEMCP, GetCPInfo, TlsGetValue, GlobalFlags, SetErrorMode, GlobalReAlloc, LocalReAlloc, TlsSetValue, LocalAlloc, TlsFree, TlsAlloc, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, GetCurrentThread, InitializeCriticalSection, MulDiv, GetFileAttributesA, GetFileTime, GetFileSize, FileTimeToLocalFileTime, FileTimeToSystemTime, LoadResource, FindResourceA, lstrcatA, LockResource, GetVersion, GlobalAddAtomA, GetCurrentThreadId, GlobalGetAtomNameA, GetModuleHandleA, GlobalFindAtomA, GlobalDeleteAtom, IsBadReadPtr, lstrcmpiA, SetLastError, GlobalFree, GetFullPathNameA, lstrcpynA, GetVolumeInformationA, LockFile, SetEndOfFile, UnlockFile, SetFilePointer, CloseHandle, FlushFileBuffers, CreateFileA, WriteFile, ReadFile, WideCharToMultiByte, GetCurrentProcess, DuplicateHandle, CreateProcessA, InterlockedDecrement, InterlockedIncrement, LoadLibraryA, WaitForSingleObject, MultiByteToWideChar, GetPrivateProfileStringA, GetProcAddress, FreeLibrary, GetTempPathA, GetPrivateProfileIntA, Sleep, MoveFileExA, GetModuleFileNameA, WritePrivateProfileStringA, IsBadCodePtr, RemoveDirectoryA, HeapCreate, GetProfileStringA
> USER32.dll: IsDialogMessageA, SetWindowTextA, ShowWindow, LoadStringA, GetClassNameA, PtInRect, LoadCursorA, GetSysColorBrush, DestroyMenu, InflateRect, GetWindowDC, ClientToScreen, SetCursor, PostQuitMessage, EndDialog, CreateDialogIndirectParamA, GetMenuCheckMarkDimensions, LoadBitmapA, GetMenuState, ModifyMenuA, SetMenuItemBitmaps, CheckMenuItem, EnableMenuItem, GetNextDlgTabItem, GetMessageA, GetActiveWindow, ValidateRect, GetCursorPos, UpdateWindow, SendDlgItemMessageA, MapWindowPoints, GetSysColor, GetFocus, SetActiveWindow, IsWindow, SetFocus, AdjustWindowRectEx, ScreenToClient, SetDlgItemTextA, CopyRect, IsWindowVisible, BeginPaint, GetTopWindow, GetCapture, WinHelpA, GetClassInfoA, RegisterClassA, GetSubMenu, GetMenuItemID, GetDlgItem, GetWindowTextLengthA, GetWindowTextA, GetDlgCtrlID, GetKeyState, DefWindowProcA, DestroyWindow, CreateWindowExA, SetWindowsHookExA, CallNextHookEx, GetClassLongA, SetPropA, UnhookWindowsHookEx, GetPropA, CallWindowProcA, RemovePropA, GetMessageTime, GetMessagePos, GetForegroundWindow, GetWindow, SetWindowLongA, SetWindowPos, OffsetRect, IntersectRect, SystemParametersInfoA, GetWindowPlacement, GetWindowRect, GetParent, GetLastActivePopup, IsWindowEnabled, GetWindowLongA, CharUpperA, RegisterWindowMessageA, EnableWindow, PeekMessageA, TranslateMessage, DispatchMessageA, SetForegroundWindow, IsIconic, GetSystemMetrics, GetClientRect, GrayStringA, DrawTextA, TabbedTextOutA, EndPaint, DrawIcon, GetDC, ReleaseDC, LoadImageA, SendMessageA, InvalidateRect, PostMessageA, DestroyIcon, LoadIconA, MessageBoxA, wsprintfA, GetMenuItemCount, GetMenu, UnregisterClassA, IsWindowUnicode, CharNextA, DefDlgProcA, DrawFocusRect, ExcludeUpdateRgn, ShowCaret, HideCaret
> GDI32.dll: CreatePalette, RealizePalette, GetDeviceCaps, SetTextColor, SetBkColor, GetClipBox, CreateBitmap, DeleteDC, GetObjectA, SaveDC, RestoreDC, SelectPalette, SetBkMode, SelectObject, SetStretchBltMode, SetViewportOrgEx, OffsetViewportOrgEx, SetMapMode, ScaleViewportExtEx, SetViewportExtEx, SetWindowExtEx, ScaleWindowExtEx, IntersectClipRect, GetDIBits, DeleteObject, CreateSolidBrush, RectVisible, TextOutA, PtVisible, Escape, PatBlt, ExtTextOutA, BitBlt, GetTextExtentPointA, CreateDIBitmap, GetStretchBltMode, CreateCompatibleDC, CreateHalftonePalette, StretchDIBits, GetStockObject
> comdlg32.dll: GetFileTitleA
> WINSPOOL.DRV: ClosePrinter, DocumentPropertiesA, OpenPrinterA
> ADVAPI32.dll: RegCloseKey, RegSetValueExA, RegCreateKeyExA, RegDeleteKeyA, RegEnumKeyExA, RegOpenKeyExA, RegDeleteValueA, RegQueryValueExA
> SHELL32.dll: ShellExecuteA, SHChangeNotify
> COMCTL32.dll: -
> ole32.dll: CoUninitialize, CoInitialize, CoCreateInstance

( 0 exports )

--------------------------------------------------------------------------



"Silent Runners.vbs", revision 59, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"swg" = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."]
"DAEMON Tools Lite" = ""C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun" ["DT Soft Ltd"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"HPDJ Taskbar Utility" = "C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe" ["HP"]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre6\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"BluetoothAuthenticationAgent" = "rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" [MS]
"SSBkgdUpdate" = ""C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot" ["Scansoft, Inc."]
"PaperPort PTD" = "C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" ["ScanSoft, Inc."]
"IndexSearch" = "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" ["ScanSoft, Inc."]
"SetDefPrt" = "C:\Programme\Brother\Brmfl04g\BrStDvPt.exe" ["Brother Industories, Ltd."]
"ControlCenter2.0" = "C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun" ["Brother Industries, Ltd."]
"WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
__________________
Alt 19.02.2009, 08:57   #4
Chris4You
 
TR/Rootkit.Gen bekomme ich nicht weg - Standard

TR/Rootkit.Gen bekomme ich nicht weg


Hi,

das Silentrunner-Log ist nicht vollständig.
Hast Du die Dateien in der angegebenen Reihenfolge untersuchen lassen (ab der zweiten fehlen die Filenamen)? Antivir erkennt den angemoserten Treiber nicht mehr... -> File zur Untersuchung an Antivir schicken!

Bitte noch das Treiberlog schicken...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 19.02.2009, 09:31   #5
fatiho
 
TR/Rootkit.Gen bekomme ich nicht weg - Standard

TR/Rootkit.Gen bekomme ich nicht weg


Nachdem ich jetzt wieder mal mit Anivir ne untesuchung durchgefürt habe, findet der nichts mehr.
Hmmm
und wenn ich die datei öffne was vorher die virus meldung bracht läuft jetzt auch ohne probleme

wie kann das sein ?


Alt 19.02.2009, 10:38   #6
Chris4You
 
TR/Rootkit.Gen bekomme ich nicht weg - Standard

TR/Rootkit.Gen bekomme ich nicht weg


Hi,

dann war es vermutlich ein false/positiv,
passiert in der letzten Zeit häufiger...

Bitte trotzdem noch den Rest vom Silentrunner-Log posten und das Treiberlog nicht vergessen....

chris
__________________
--> TR/Rootkit.Gen bekomme ich nicht weg

Alt 19.02.2009, 11:45   #7
fatiho
 
TR/Rootkit.Gen bekomme ich nicht weg - Standard

TR/Rootkit.Gen bekomme ich nicht weg


Meinst du das??

"Silent Runners.vbs", revision 59, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"swg" = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."]
"DAEMON Tools Lite" = ""C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun" ["DT Soft Ltd"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"HPDJ Taskbar Utility" = "C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe" ["HP"]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre6\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"BluetoothAuthenticationAgent" = "rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" [MS]
"SSBkgdUpdate" = ""C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot" ["Scansoft, Inc."]
"PaperPort PTD" = "C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" ["ScanSoft, Inc."]
"IndexSearch" = "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" ["ScanSoft, Inc."]
"SetDefPrt" = "C:\Programme\Brother\Brmfl04g\BrStDvPt.exe" ["Brother Industories, Ltd."]
"ControlCenter2.0" = "C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun" ["Brother Industries, Ltd."]
"WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Java(tm) Plug-In SSV Helper"
\InProcServer32\(Default) = "C:\Programme\Java\jre6\bin\ssv.dll" ["Sun Microsystems, Inc."]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Sign-in Helper"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "C:\Programme\Google\Google Toolbar\GoogleToolbar.dll" [null data]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Notifier BHO"
\InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll" ["Google Inc."]
{C84D72FE-E17D-4195-BB24-76C02E2E7C4E}\(Default) = "Google Dictionary Compression sdch"
-> {HKLM...CLSID} = "Google Dictionary Compression sdch"
\InProcServer32\(Default) = "C:\Programme\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll" ["Google Inc."]
{DBC80044-A445-435b-BC74-9C25C1C588A9}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Java(tm) Plug-In 2 SSV Helper"
\InProcServer32\(Default) = "C:\Programme\Java\jre6\bin\jp2ssv.dll" ["Sun Microsystems, Inc."]
{E7E6F031-17CE-4C07-BC86-EABFE594F69C}\(Default) = "JQSIEStartDetectorImpl"
-> {HKLM...CLSID} = "JQSIEStartDetectorImpl Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte"
-> {HKLM...CLSID} = "Universelle Plug & Play-Geräte"
\InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
-> {HKLM...CLSID} = "MBAMShlExt Class"
\InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
-> {HKLM...CLSID} = "MBAMShlExt Class"
\InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]


Default executables:
--------------------

<<!>> HKLM\SOFTWARE\Classes\.com\(Default) = "ComFile"


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoDrives" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoDrives" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Devices: Allow undock without having to log on}

"DisableRegistryTools" = (REG_DWORD) dword:0x00000000
{unrecognized setting}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Mehmet\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "Mehmet" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Uninstall HBO BOXING" -> shortcut to: "C:\WINDOWS\iun503.exe C:\Programme\HBO BOXING\irunin.ini" ["Indigo Rose Corporation"]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2004\SystemOptimizer.exe /schedulestart" [file not found]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\system32\wshbth.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 22
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google Toolbar"
\InProcServer32\(Default) = "C:\Programme\Google\Google Toolbar\GoogleToolbar.dll" [null data]
"{F2CF5485-4E02-4F68-819C-B92DE9277049}"
-> {HKLM...CLSID} = "&Links"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ieframe.dll" [MS]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google Toolbar"
\InProcServer32\(Default) = "C:\Programme\Google\Google Toolbar\GoogleToolbar.dll" [null data]

Explorer Bars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\

HKLM\SOFTWARE\Classes\CLSID\{E16DC1FE-7C34-43F2-B754-F3AD12DDF97C}\(Default) = "Google Find Bar"
Implemented Categories\{00021494-0000-0000-C000-000000000046}\ [horizontal bar]
InProcServer32\(Default) = "C:\Programme\Google\Google Toolbar\GoogleToolbar.dll" [null data]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Avira AntiVir Personal - Free Antivirus Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
Avira AntiVir Personal - Free Antivirus Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
Bluetooth Support Service, BthServ, "C:\WINDOWS\system32\svchost.exe -k bthsvcs" {"C:\WINDOWS\System32\bthserv.dll" [MS]}
Einfache TCP/IP-Dienste, SimpTcp, "C:\WINDOWS\System32\tcpsvcs.exe" [MS]
Java Quick Starter, JavaQuickStarterService, ""C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf"" ["Sun Microsystems, Inc."]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
Canon BJ Language Monitor i550\Driver = "CNMLM49.DLL" ["CANON INC."]
hpzlnt07\Driver = "hpzlnt07.dll" ["HP"]
LPR Port\Driver = "lprmon.dll" [MS]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]


---------- (launch time: 2009-02-19 08:19:42)
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 102 seconds, including 3 seconds for message boxes)

Alt 19.02.2009, 14:40   #8
Chris4You
 
TR/Rootkit.Gen bekomme ich nicht weg - Standard

TR/Rootkit.Gen bekomme ich nicht weg


Hi,

nichts auffälliges zu finden...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Antwort

Themen zu TR/Rootkit.Gen bekomme ich nicht weg
0 bytes, adware.istbar, adware.mywebsearch, antivir, antivirus, askbar, autorun, avgnt, avgnt.exe, avira, canon, combofix, controlcenter, desktop, excel, hijack, hijackthis, hkus\s-1-5-18, home, internet, jusched.exe, laufende prozesse, limewire, nt.exe, object, plug-in, problem, programm, registrierungsschlüssel, rundll, saver, scan, schutz, screensaver, software, suchlauf, system, tojaner, usb, virus, virus meldung, windows, windows xp


« TR/Autoit.EG | Bin ich sie endlich los? »


Ähnliche Themen: TR/Rootkit.Gen bekomme ich nicht weg


  1. Rootkit, Bootkit, Rootkit.win32.tdss.ld4 - ich weiss nicht weiter..
    Log-Analyse und Auswertung - 18.03.2013 (1)
  2. Bekomme das Rootkit.0access nicht mehr weg
    Log-Analyse und Auswertung - 03.08.2012 (2)
  3. Rootkit.0Access bekomme ich nicht weg
    Log-Analyse und Auswertung - 16.07.2012 (9)
  4. Rootkit BOO/TDss.D Bekomme ich nicht mehr weg HELP
    Log-Analyse und Auswertung - 15.09.2011 (37)
  5. Virus: Win32:Rootkit-gen [Rtk] (Engine B) bekomme es nicht weg
    Plagegeister aller Art und deren Bekämpfung - 14.05.2010 (3)
  6. Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht?
    Log-Analyse und Auswertung - 06.03.2010 (41)
  7. trojaner bekomme ihn nicht weg
    Plagegeister aller Art und deren Bekämpfung - 20.01.2009 (1)
  8. Bekomme TR/BHO.Gen nicht weg
    Plagegeister aller Art und deren Bekämpfung - 07.12.2008 (9)
  9. Bekomme TR.VUndo nicht weg - need Help!
    Plagegeister aller Art und deren Bekämpfung - 21.03.2008 (6)
  10. Bekomme Filter nicht weg
    Mülltonne - 22.05.2006 (2)
  11. Bekomme es nicht los
    Plagegeister aller Art und deren Bekämpfung - 05.01.2006 (11)
  12. Bekomme Ton nicht weg
    Antiviren-, Firewall- und andere Schutzprogramme - 11.12.2005 (1)
  13. Bekomme es nicht weg!
    Plagegeister aller Art und deren Bekämpfung - 24.06.2005 (16)
  14. Norton hat Backdoor.Nubu.J gefunden, bekomme den nicht weg+das Fenster geht nicht zu
    Plagegeister aller Art und deren Bekämpfung - 17.06.2005 (2)
  15. Ich bekomme es nicht weg !!!!!!!!!!!!!!!!!!
    Log-Analyse und Auswertung - 09.04.2005 (4)
  16. Bekomme Trojaner nicht weg
    Plagegeister aller Art und deren Bekämpfung - 11.12.2003 (1)
  17. Bekomme das Teil nicht los!!!
    Plagegeister aller Art und deren Bekämpfung - 30.10.2003 (22)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema TR/Rootkit.Gen bekomme ich nicht weg - Hab da ein problem mit diesem TR/Rootkit.Gen trojaner Habe vor 2 tagen gemerkt wenn ich ein programm öffne das dann dieser virus meldung von Antivir kommt. Das Programm was ich - TR/Rootkit.Gen bekomme ich nicht weg...
Archiv
Du betrachtest: TR/Rootkit.Gen bekomme ich nicht weg auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131