dropper.gen trojaner gefunden und nicht zu löschen,etc.

LukasGiesen · 20.04.2009, 13:41

Hallo,

ich habe gestern auf meinem Pc einen Virenfund von Antivir gemeldet bekommen.
Als erstes hab ich natürlich auf löschen gedrückt, doch die Virenmeldung kam immer wieder.
Dann habe ich Pc neu gestartet und die Fehlermeldung kommt nur einmal am Anfang.
Antivir sagt, dass die Vire 'TR/Dropper.Gen' [trojan] heißt und syuqeaw.exe sein soll, die ich aber nicht finde.

Jetzt wollte ich euch fragen wie ich diesen Virus loswerde ohne Windows komplett neu zu installieren oder zu formatieren.

Mfg
Lukas

PS: Hijacktthis Log ist hier

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:24:34, on 20.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Hama\Common\RaUI.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Giesen !\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.yodl.de/?&affid=1&uid=5358571E-9D70-492B-BBC2-12638D366899
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner v2.22\RivaTuner.exe" /S
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKCU\..\Run: [syuqeaw] "c:\dokumente und einstellungen\giesen !\lokale einstellungen\anwendungsdaten\syuqeaw.exe" syuqeaw
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Hama Wireless LAN Utility.lnk = C:\Programme\Hama\Common\RaUI.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 6840 bytes

4RobSen8 · 20.04.2009, 13:46

Hallo... und

Pass auf und führe das hier durch:
Navilog

Starte navilog1.exe und installiere die Anwendung, eventuelle Fehlermeldungen Deines
Virescanners sind zu ignorieren (Anwendung erlauben!)
Alle anderen Anwendungen bitte beenden!
Danach sollte navilog automatisch starten, sonst per Doppelklick dem Desktop starten.
Im Sprachmenü bitte Englisch auswählen.
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Während der Suche nichts am Rechner machen, nur auf Programmaufforderung!
Nach dem Durchlauf sollte sich der Editor mit dem Log (fixnavi.txt) öffnen,
Inhalt kopieren und in Thread einfügen.
Das Log findest Du auch im Hauptverzeichnis (z.B.: "C:\").
http://pagesperso-orange.fr/il.mafio...x/Navilog1.exe

LukasGiesen · 20.04.2009, 13:55

Das ist dabei rausgekommen.
Viel Glück

Search Navipromo version 3.7.6 began on 20.04.2009 at 14:50:27,25

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 4400+ )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Giesen ! ( Administrator )
BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated)

C:\ (Local Disk) - NTFS - Total:58 Go (Free:24 Go)
D:\ (Local Disk) - NTFS - Total:174 Go (Free:42 Go)
E:\ (Local Disk) - NTFS - Total:74 Go (Free:6 Go)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (CD or DVD)
J:\ (CD or DVD)
K:\ (CD or DVD)
L:\ (USB)

Search done in normal mode

Angel21 · 20.04.2009, 13:58

Das war nicht das ganze Log, nach Search Done in Normal mod müssten noch andere Dinge kommen, bitte das komplette Logfile posten.

4RobSen8 · 20.04.2009, 14:00

Da fehlt ein Teil vom Log.
Bitte den komplette Log einfügen

Das sollte z.B.so weiter gehen...

Code:

ATTFilter

*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***

usw...

LukasGiesen · 20.04.2009, 14:02

Entschuldigung, nciht drauf geachtet !
Hier das ganze

Search Navipromo version 3.7.6 began on 20.04.2009 at 14:50:27,25

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 4400+ )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Giesen ! ( Administrator )
BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated)

C:\ (Local Disk) - NTFS - Total:58 Go (Free:24 Go)
D:\ (Local Disk) - NTFS - Total:174 Go (Free:42 Go)
E:\ (Local Disk) - NTFS - Total:74 Go (Free:6 Go)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (CD or DVD)
J:\ (CD or DVD)
K:\ (CD or DVD)
L:\ (USB)

Search done in normal mode

*** Search folders in "C:\WINDOWS" ***

*** Search folders in "C:\Programme" ***

*** Search folders in "C:\Dokumente und Einstellungen\All Users.WINDOWS\startm~1\progra~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\All Users.WINDOWS\startm~1" ***

*** Search folders in "c:\dokume~1\alluse~1.win\anwend~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\Giesen !\anwend~1" ***

*** Search folders in "C:\DOKUME~1\ADMINI~1\anwend~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\Giesen !\lokale~1\anwend~1" ***

*** Search folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\Giesen !\startm~1\progra~1" ***

*** Search folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" ***

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Giesen !\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *

*** Search files ***

*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"syuqeaw"="\"c:\\dokumente und einstellungen\\giesen !\\lokale einstellungen\\anwendungsdaten\\syuqeaw.exe\" syuqeaw"

*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :

2)Heuristic Search :

* In "C:\WINDOWS\system32" :

* In "C:\Dokumente und Einstellungen\Giesen !\lokale~1\anwend~1" :

syuqeaw.dat found !
syuqeaw_nav.dat found !
syuqeaw_navps.dat found !

* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" :

3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :

*** Search completed on 20.04.2009 at 14:54:17,23 ***

4RobSen8 · 20.04.2009, 14:05

Nun bitte mit Option 2 laufen lassen und das log posten.

LukasGiesen · 20.04.2009, 14:15

Navipromo Removal version 3.7.6 started on 20.04.2009 at 15:07:26,56

Fix running from C:\Programme\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 4400+ )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Giesen ! ( Administrator )
BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated)

C:\ (Local Disk) - NTFS - Total:58 Go (Free:24 Go)
D:\ (Local Disk) - NTFS - Total:174 Go (Free:42 Go)
E:\ (Local Disk) - NTFS - Total:74 Go (Free:6 Go)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (CD or DVD)
J:\ (CD or DVD)
K:\ (CD or DVD)
L:\ (USB)

Automatic removal
with Catchme and GNS results

Cleanning stage done on Reboot

*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)

*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\WINDOWS\System32" *

* Deletion in "C:\Dokumente und Einstellungen\Giesen !\lokale~1\anwend~1" *

* Deletion in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *

*** Deleting folders in "C:\WINDOWS" ***

*** Deleting folders in "C:\Programme" ***

*** Deleting folders in "C:\Dokumente und Einstellungen\All Users.WINDOWS\startm~1\progra~1" ***

*** Deleting folders in "C:\Dokumente und Einstellungen\All Users.WINDOWS\startm~1" ***

*** Deleting folders in "c:\dokume~1\alluse~1.win\anwend~1" ***

*** Deleting folders in "C:\Dokumente und Einstellungen\Giesen !\anwend~1" ***

*** Deleting folders in "C:\DOKUME~1\ADMINI~1\anwend~1" ***

*** Deleting folders in "C:\Dokumente und Einstellungen\Giesen !\lokale~1\anwend~1" ***

*** Deleting folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" ***

*** Deleting folders in "C:\Dokumente und Einstellungen\Giesen !\startm~1\progra~1" ***

*** Deleting folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" ***

*** Deleting files ***

*** Deleting temporary files ***

Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\Giesen !\lokale~1\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :

* In "C:\WINDOWS\system32" *

* In "C:\Dokumente und Einstellungen\Giesen !\lokale~1\anwend~1" *

syuqeaw.dat found !
Copy syuqeaw.dat done !
syuqeaw.dat deleted !

syuqeaw_nav.dat found !
Copy syuqeaw_nav.dat done !
syuqeaw_nav.dat deleted !

syuqeaw_navps.dat found !
Copy syuqeaw_navps.dat done !
syuqeaw_navps.dat deleted !

* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *

*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned

*** Certificates ***

Egroup Certificate not found !
Electronic-Group Certificate not found !
Montorgueil Certificate not found !
OOO-Favorit Certificate not found !
Sunny-Day-Design-Ltd Certificate not found !

*** Search others known folders and files ***

*** Cleaning stage complete on 20.04.2009 at 15:13:11,93 ***

LukasGiesen · 20.04.2009, 14:32

Unlösbares Problem ?

4RobSen8 · 20.04.2009, 14:41

Ne, sieht ganz nett aus....
Heisst nicht, dass du fertig bist^^

Führe nun bitte, die unten genannten Programme aus und Log-kennste ja^^.
http://www.trojaner-board.de/51187-a...i-malware.html
http://www.trojaner-board.de/51871-a...tispyware.html

LukasGiesen · 20.04.2009, 18:31

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2014
Windows 5.1.2600 Service Pack 2

20.04.2009 19:30:56
mbam-log-2009-04-20 (19-30-56).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 276846
Laufzeit: 1 hour(s), 25 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9b513f53-2528-e4d5-6a54-ff55e1dbb02c} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\Spiele\Battlefield 2\KeyGen_BF2.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Giesen !\Anwendungsdaten\addon.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully.

4RobSen8 · 20.04.2009, 18:40

Hast du jemals eine Keygenerator benutzt?

Ja, hast du^^

Code:

ATTFilter

D:\Spiele\Battlefield 2\KeyGen_BF2.exe

Und nen Backdoor.bot....

GMER - Rootkit Detection

Lade Tralala von File-Upload.net - Tralala.exe
Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
Doppelklick auf Tralala.exe
Der Reiter Rootkit oben ist schon angewählt
Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner.de hoch und poste den Link.
Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

LukasGiesen · 20.04.2009, 19:55

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 04/20/2009 at 08:53 PM

Application Version : 4.26.1000

Core Rules Database Version : 3853
Trace Rules Database Version: 1805

Scan type : Quick Scan
Total Scan Time : 01:20:04

Memory items scanned : 458
Memory threats detected : 0
Registry items scanned : 362
Registry threats detected : 0
File items scanned : 124559
File threats detected : 60

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@bs.serving-sys[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@fastclick[2].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@zanox-affiliate[2].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@bluestreak[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@zbox.zanox[2].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@eas.apm.emediate[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@ad.ad-srv[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@adopt.euroclick[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@ad.salebroker[2].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@ad.zanox[2].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@2o7[2].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@spylog[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@komtrack[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@statcounter[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@247realmedia[2].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@zanox[2].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@tto2.traffictrack[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@countomat[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@sevenoneintermedia.112.2o7[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@media.adrevolver[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@atwola[2].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@ads.planetactive[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@a3.adserver01[2].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@a6.adserver01[2].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@atdmt[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@at.atwola[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@de2.komtrack[2].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@network.realmedia[2].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@ad.71i[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@ads.heias[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@pcwelt[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@adrevolver[2].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@tracking.quisma[2].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@a7.adserver01[2].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@mediaplex[2].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@hotlog[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@list[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@msnportal.112.2o7[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@www.zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@tradedoubler[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@webmasterplan[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@tribalfusion[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@realmedia[2].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@xiti[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@doubleclick[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@adserver.71i[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@www.etracker[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@statse.webtrendslive[2].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@advertising[2].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@4stats[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@www.netdebit-counter[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@apmebf[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@adtech[2].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@traffictrack[2].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@serving-sys[2].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@media6degrees[2].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@ads.net2day[2].txt
C:\Dokumente und Einstellungen\Giesen !\Cookies\giesen !@indextools[2].txt

LukasGiesen · 20.04.2009, 20:41

Bisschen lang vll aber egal.

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-04-20 21:40:11
Windows 5.1.2600 Service Pack 2

---- System - GMER 1.0.14 ----

SSDT spko.sys ZwCreateKey [0xBA6A80E0]
SSDT BAF2D9D4 ZwCreateThread
SSDT spko.sys ZwEnumerateKey [0xBA6C6CA2]
SSDT spko.sys ZwEnumerateValueKey [0xBA6C7030]
SSDT spko.sys ZwOpenKey [0xBA6A80C0]
SSDT BAF2D9C0 ZwOpenProcess
SSDT BAF2D9C5 ZwOpenThread
SSDT spko.sys ZwQueryKey [0xBA6C7108]
SSDT spko.sys ZwQueryValueKey [0xBA6C6F88]
SSDT spko.sys ZwSetValueKey [0xBA6C719A]
SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xAFC67DF0]
SSDT BAF2D9CA ZwWriteVirtualMemory

INT 0x62 ? 89D74BF8
INT 0x73 ? 89BE6BF8
INT 0x83 ? 89D74BF8
INT 0x83 ? 89D74BF8
INT 0x83 ? 89D74BF8
INT 0xB4 ? 89BE6BF8

---- Kernel code sections - GMER 1.0.14 ----

? spko.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload BA4A862C 5 Bytes JMP 89BE61D8
.text ap8j0o56.SYS B9E07386 35 Bytes [ 00, 00, 00, 00, 00, 00, 20, ... ]
.text ap8j0o56.SYS B9E073AA 24 Bytes [ 00, 00, 00, 00, 00, 00, 00, ... ]
.text ap8j0o56.SYS B9E073C4 3 Bytes [ 00, 50, 02 ]
.text ap8j0o56.SYS B9E073C9 1 Byte [ 26 ]
.text ap8j0o56.SYS B9E073CB 9 Bytes [ 00, 00, 32, 02, 00, 00, 00, ... ]
.text ...

---- User code sections - GMER 1.0.14 ----

.text C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe[460] kernel32.dll!SetUnhandledExceptionFilter 7C8447ED 5 Bytes JMP 0049ECC0 C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
.text C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[504] USER32.dll!GetSysColor 77D18E50 5 Bytes JMP 10047500 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll
.text C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[504] USER32.dll!GetSysColorBrush 77D18E83 5 Bytes JMP 10047540 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll
.text C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[504] USER32.dll!SetScrollInfo 77D1902C 7 Bytes JMP 10052700 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll
.text C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[504] USER32.dll!GetScrollPos 77D1F66F 5 Bytes JMP 10052690 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll
.text C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[504] USER32.dll!SetScrollRange 77D1F6BB 5 Bytes JMP 10052780 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll
.text C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[504] USER32.dll!SetScrollPos 77D1F780 5 Bytes JMP 10052740 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll
.text C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[504] USER32.dll!GetScrollRange 77D1F7B7 5 Bytes JMP 100526C0 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll
.text C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[504] USER32.dll!ShowScrollBar 77D20142 5 Bytes JMP 100527D0 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll
.text C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[504] USER32.dll!GetScrollInfo 77D23A2F 7 Bytes JMP 10052650 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll
.text C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[504] USER32.dll!DrawFrameControl 77D32420 7 Bytes JMP 10046500 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll
.text C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[504] USER32.dll!EnableScrollBar 77D67BAD 7 Bytes JMP 10052610 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [BA6A9040] spko.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [BA6A913C] spko.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [BA6A90BE] spko.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [BA6A97FC] spko.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [BA6A96D2] spko.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [BA6B9048] spko.sys
IAT \SystemRoot\System32\Drivers\ap8j0o56.SYS[HAL.dll!KfAcquireSpinLock] E0835200
IAT \SystemRoot\System32\Drivers\ap8j0o56.SYS[HAL.dll!READ_PORT_UCHAR] E857503F
IAT \SystemRoot\System32\Drivers\ap8j0o56.SYS[HAL.dll!KeGetCurrentIrql] 0000EB44
IAT \SystemRoot\System32\Drivers\ap8j0o56.SYS[HAL.dll!KfRaiseIrql] 026B938D
IAT \SystemRoot\System32\Drivers\ap8j0o56.SYS[HAL.dll!KfLowerIrql] C6830000
IAT \SystemRoot\System32\Drivers\ap8j0o56.SYS[HAL.dll!HalGetInterruptVector] 0008B908
IAT \SystemRoot\System32\Drivers\ap8j0o56.SYS[HAL.dll!HalTranslateBusAddress] FA8B0000
IAT \SystemRoot\System32\Drivers\ap8j0o56.SYS[HAL.dll!KeStallExecutionProcessor] 758BA5F3
IAT \SystemRoot\System32\Drivers\ap8j0o56.SYS[HAL.dll!KfReleaseSpinLock] 064E8A08
IAT \SystemRoot\System32\Drivers\ap8j0o56.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] 883FE180
IAT \SystemRoot\System32\Drivers\ap8j0o56.SYS[HAL.dll!READ_PORT_USHORT] 0002688B
IAT \SystemRoot\System32\Drivers\ap8j0o56.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 06468A00
IAT \SystemRoot\System32\Drivers\ap8j0o56.SYS[HAL.dll!WRITE_PORT_UCHAR] 8306E8C0
IAT \SystemRoot\System32\Drivers\ap8j0o56.SYS[WMILIB.SYS!WmiSystemControl] 02698388
IAT \SystemRoot\System32\Drivers\ap8j0o56.SYS[WMILIB.SYS!WmiCompleteRequest] 19750000

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 89D731F8
Device \Driver\usbohci \Device\USBPDO-0 89CBB1F8
Device \Driver\usbehci \Device\USBPDO-1 89CBA1F8
Device \Driver\usbohci \Device\USBPDO-2 89CBB1F8
Device \Driver\usbehci \Device\USBPDO-3 89CBA1F8
Device \Driver\PCI_PNP7180 \Device\00000049 spko.sys
Device \Driver\Ftdisk \Device\HarddiskVolume1 89DE51F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 89DE51F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{3E5B4175-AEB0-4C96-842C-C42AEC26636F} 894361F8
Device \Driver\Cdrom \Device\CdRom0 89C811F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 89DE51F8
Device \Driver\Cdrom \Device\CdRom1 89C811F8
Device \Driver\sptd \Device\1924182180 spko.sys
Device \Driver\atapi \Device\Ide\IdePort0 89D741F8
Device \Driver\atapi \Device\Ide\IdePort1 89D741F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 89D741F8
Device \Driver\atapi \Device\Ide\IdePort2 89D741F8
Device \Driver\atapi \Device\Ide\IdePort3 89D741F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c 89D741F8
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-17 89D741F8
Device \Driver\Cdrom \Device\CdRom2 89C811F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{6CCB0B37-5809-4575-920A-33503563B942} 894361F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 894361F8
Device \Driver\usbstor \Device\00000079 893FF500
Device \Driver\NetBT \Device\NetbiosSmb 894361F8
Device \Driver\usbohci \Device\USBFDO-0 89CBB1F8
Device \Driver\usbehci \Device\USBFDO-1 89CBA1F8
Device \Driver\usbstor \Device\0000007a 893FF500
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89429500
Device \Driver\usbohci \Device\USBFDO-2 89CBB1F8
Device \Driver\usbstor \Device\0000007b 893FF500
Device \Driver\usbehci \Device\USBFDO-3 89CBA1F8
Device \Driver\usbstor \Device\0000007c 893FF500
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89429500
Device \Driver\NetBT \Device\NetBT_Tcpip_{0825A453-1531-4F9B-A6D9-209424A1FE7D} 894361F8
Device \Driver\Ftdisk \Device\FtControl 89DE51F8
Device \Driver\usbstor \Device\0000007d 893FF500
Device \Driver\ap8j0o56 \Device\Scsi\ap8j0o561Port4Path0Target0Lun0 89BC4500
Device \Driver\ap8j0o56 \Device\Scsi\ap8j0o561 89BC4500
Device \Driver\ap8j0o56 \Device\Scsi\ap8j0o561Port4Path0Target1Lun0 89BC4500
Device \FileSystem\Cdfs \Cdfs 8920E1F8

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xDF 0xBE 0xBB 0x4F ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x3B 0xEE 0xF9 0xDC ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x95 0x4F 0xC0 0xDB ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x33 0xDB 0x15 0x26 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xDF 0xBE 0xBB 0x4F ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x3B 0xEE 0xF9 0xDC ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x95 0x4F 0xC0 0xDB ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x33 0xDB 0x15 0x26 ...

---- EOF - GMER 1.0.14 ----

LukasGiesen · 21.04.2009, 20:05

Ähm, antwort vll ?

dropper.gen trojaner gefunden und nicht zu löschen,etc.

Log-Analyse und Auswertung: dropper.gen trojaner gefunden und nicht zu löschen,etc.