TR/Drop.Mudrop.CY, TR/Agent2.DI.12

octi · 02.05.2009, 12:41

Hallo Experten,
bei einem AntiVir Suchlauf wurden bei mir gleich mehrere Trojaner/Viren entdeckt:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 1. Mai 2009 17:34

Es wird nach 1373000 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: THOMAS

Versionsinformationen:
BUILD.DAT : 8.2.0.347 16934 Bytes 16.03.2009 14:45:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 26.11.2008 07:39:25
AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 13:50:13
LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 13:50:14
LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 13:50:14
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 20:12:10
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 07:22:02
ANTIVIR2.VDF : 7.1.3.137 1810944 Bytes 30.04.2009 12:30:36
ANTIVIR3.VDF : 7.1.3.139 8704 Bytes 30.04.2009 12:30:36
Engineversion : 8.2.0.160
AEVDF.DLL : 8.1.1.1 106868 Bytes 01.05.2009 12:30:38
AESCRIPT.DLL : 8.1.1.79 385403 Bytes 01.05.2009 12:30:37
AESCN.DLL : 8.1.1.10 127348 Bytes 07.04.2009 06:56:28
AERDL.DLL : 8.1.1.3 438645 Bytes 06.11.2008 07:59:35
AEPACK.DLL : 8.1.3.14 397685 Bytes 18.04.2009 11:33:27
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 02.03.2009 05:44:04
AEHEUR.DLL : 8.1.0.122 1737080 Bytes 27.04.2009 13:33:15
AEHELP.DLL : 8.1.2.2 119158 Bytes 02.03.2009 05:43:53
AEGEN.DLL : 8.1.1.39 348532 Bytes 23.04.2009 19:18:03
AEEMU.DLL : 8.1.0.9 393588 Bytes 16.10.2008 06:51:50
AECORE.DLL : 8.1.6.9 176500 Bytes 14.04.2009 17:48:50
AEBB.DLL : 8.1.0.3 53618 Bytes 16.10.2008 06:51:48
AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 13:50:13
AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 13:50:13
AVREP.DLL : 8.0.0.3 155688 Bytes 21.04.2009 07:11:10
AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 13:50:13
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 13:50:13
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 13:50:14
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 13:50:10
RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 13:50:10

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: h:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: D:, E:, F:, H:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Freitag, 1. Mai 2009 17:34

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SiteComUSB.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PGPtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KVM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svsccost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'locator.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svsccost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpzipm12.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aavus.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SaiSmart.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'gest.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '40' Prozesse mit '40' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '65' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'D:\' <Daten>
Beginne mit der Suche in 'E:\' <Programme und Videos>
Beginne mit der Suche in 'F:\' <Reserve>
Beginne mit der Suche in 'H:\' <System>
H:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
H:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\Bild-Maria.jpq.zip
[0] Archivtyp: ZIP
--> Bild-Maria.jpq.com
[FUND] Enthält Erkennungsmuster des Droppers DR/Drop.Mudrop.CY.60
--> Bild-Maria.jpq.com
[1] Archivtyp: ZIP SFX (self extracting)
--> Bild.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Mudrop.CY
--> windows1.bat
[FUND] Enthält Erkennungsmuster des Batch-Virus BAT/KillAV.cnm
--> windows3.bat
[FUND] Enthält Erkennungsmuster des Batch-Virus BAT/KillAV.cnm.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a671bf1.qua' verschoben!
H:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\Foto-Liana-.jgp.zip
[0] Archivtyp: ZIP
--> Foto-Liana-.jgp.com
[FUND] Ist das Trojanische Pferd TR/Drop.Mudrop.CY
--> Foto-Liana-.jgp.com
[1] Archivtyp: ZIP SFX (self extracting)
--> Foto.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Mudrop.CZ
--> windows1.bat
[FUND] Enthält Erkennungsmuster des Batch-Virus BAT/KillAV.MAS
--> windows3.bat
[FUND] Enthält Erkennungsmuster des Batch-Virus BAT/KillAV.CK
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a6f1bfe.qua' verschoben!
H:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\ServerUpdate.exe
[0] Archivtyp: ZIP SFX (self extracting)
--> 10-s.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.aay.14
[FUND] Enthält Erkennungsmuster des Droppers DR/Drop.Agent.ajuj
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a6d1c0e.qua' verschoben!
H:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\svcchost4.exe
[FUND] Ist das Trojanische Pferd TR/Agent.CWS.121
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a5e1c25.qua' verschoben!
H:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\svschsost.exe
[FUND] Ist das Trojanische Pferd TR/Agent.CWS.119
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a6e1c2c.qua' verschoben!
H:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\vgt.exe
[FUND] Enthält Erkennungsmuster eines kostenverursachenden Einwahlprogrammes DIAL/302327 (Dialer)
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a6f1c20.qua' verschoben!
H:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\WinXP_Update_l4.exe
[0] Archivtyp: ZIP SFX (self extracting)
--> win4.exe
[FUND] Ist das Trojanische Pferd TR/Drop.MultiJoiner.AC.2
--> xp.exe
[FUND] Ist das Trojanische Pferd TR/Agent2.DI.12
[FUND] Enthält Erkennungsmuster des Droppers DR/Drop.Agent.Age.43
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a691c26.qua' verschoben!
H:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\plugtmp-41\plugin-banner
[0] Archivtyp: PDF Stream
--> Object
[FUND] Enthält Erkennungsmuster des Exploits EXP/Pidief.YF
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a701c8f.qua' verschoben!
H:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\plugtmp-46\plugin-banner
[0] Archivtyp: PDF Stream
--> Object
[FUND] Enthält Erkennungsmuster des Exploits EXP/Pidief.YF
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a701c93.qua' verschoben!
H:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\Rar$DI00.609\Bild-Maria.jpq.com
[0] Archivtyp: ZIP SFX (self extracting)
--> Bild.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Mudrop.CY
--> windows1.bat
[FUND] Enthält Erkennungsmuster des Batch-Virus BAT/KillAV.cnm
--> windows3.bat
[FUND] Enthält Erkennungsmuster des Batch-Virus BAT/KillAV.cnm.2
[FUND] Enthält Erkennungsmuster des Droppers DR/Drop.Mudrop.CY.60
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a671c94.qua' verschoben!
H:\Programme\Outlook Express\10-s.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.aay.14
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a282e45.qua' verschoben!
H:\System Volume Information\_restore{7613FF6C-911B-4703-A4BC-3B985B44D0EE}\RP229\A0041716.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.aay.14
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a2b2ea5.qua' verschoben!
H:\System Volume Information\_restore{7613FF6C-911B-4703-A4BC-3B985B44D0EE}\RP229\A0041813.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.aay.14
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a2b2ea8.qua' verschoben!
H:\System Volume Information\_restore{7613FF6C-911B-4703-A4BC-3B985B44D0EE}\RP231\A0041956.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.aay.14
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a2b2eaf.qua' verschoben!

Ende des Suchlaufs: Freitag, 1. Mai 2009 19:26
Benötigte Zeit: 1:51:40 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

7879 Verzeichnisse wurden überprüft
336914 Dateien wurden geprüft
26 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
14 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
336887 Dateien ohne Befall
5448 Archive wurden durchsucht
5 Warnungen
14 Hinweise

Anschliessend habe ich noch die Programme "Stinger" (ohne Fund), eScan (ohne Fund) CCleaner (ohne Fund) und Malwarebytes laufen lassen (siehe unten):

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2067
Windows 5.1.2600 Service Pack 3

02.05.2009 08:07:33
mbam-log-2009-05-02 (08-07-16).txt

Scan-Methode: Vollständiger Scan (D:\|E:\|F:\|H:\|)
Durchsuchte Objekte: 177356
Laufzeit: 39 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ProcObsrv (Rogue.NetCom3) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Ich bin mir aber nicht sicher, ob wirklich alles beseitigt wurde. Der Rechner zeigt keine Auffälligkeiten, aber das tat er voher auch nicht. Ich würde mich sehr freuen, wenn sich ein Experte mal das hijackthis.log ansehen könnte. Vielen Dank vorab.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:21:38, on 02.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
E:\Programme\Lavasoft\Ad-Aware\aawservice.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
H:\Programme\Gemeinsame Dateien\AAV\aavus.exe
h:\progra~1\escan\EconSer.exe
H:\DOKUME~1\ALLUSE~1\ANWEND~1\MICROW~1\eScanBD\avpmapp.exe
h:\progra~1\escan\eConceal.exe
H:\PROGRA~1\eScan\TRAYSSER.EXE
H:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
H:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
H:\Programme\Google\Update\GoogleUpdate.exe
H:\PROGRA~1\eScan\consctl.exe
H:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
H:\WINDOWS\System32\nvsvc32.exe
H:\WINDOWS\system32\HPZipm12.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\RUNDLL32.EXE
H:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
H:\WINDOWS\RTHDCPL.EXE
H:\Programme\GIGABYTE\GEST\gest.exe
H:\Programme\Saitek\Software\SaiSmart.exe
H:\Programme\FreePDF_XP\fpassist.exe
H:\PROGRA~1\eScan\TRAYICOS.EXE
H:\WINDOWS\system32\ctfmon.exe
H:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\KVM.exe
E:\Program Files\Network Associates\PGP55\PGPtray.exe
H:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
H:\PROGRA~1\eScan\MAILDISP.EXE
H:\PROGRA~1\ESCAN\SPOOLER.EXE
H:\Programme\GIGABYTE\GEST\GSvr.exe
H:\PROGRA~1\eScan\Vista\eScanMon.exe
H:\WINDOWS\System32\svchost.exe
E:\Programme\Mozilla Firefox\firefox.exe
H:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - H:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - H:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] H:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "H:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [GEST] H:\Programme\GIGABYTE\GEST\RUN.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] H:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] H:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [SaiSmart] H:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [FreePDF Assistant] H:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [eScan Updater] H:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [MailScan Dispatcher] "H:\PROGRA~1\eScan\LAUNCH.EXE" /startup
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [OM_Monitor] E:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: KVM.exe
O4 - Global Startup: PGPtray.lnk = E:\Program Files\Network Associates\PGP55\PGPtray.exe
O4 - Global Startup: Sitecom USB Wireless LAN Utility.lnk = H:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://H:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: eSLogOn - H:\WINDOWS\SYSTEM32\eSLogOn.dll
O23 - Service: AAV UpdateService - Unknown owner - H:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - E:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - H:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: eConServ (EconService) - MicroWorld Technologies Inc. - h:\progra~1\escan\EconSer.exe
O23 - Service: eScan Monitor Service - MicroWorld Technologies Inc. - H:\DOKUME~1\ALLUSE~1\ANWEND~1\MICROW~1\eScanBD\avpmapp.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - H:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - H:\Programme\GIGABYTE\GEST\GSvr.exe
O23 - Service: Google Update Service (gupdate1c9c70167a7628c) (gupdate1c9c70167a7628c) - Google Inc. - H:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - H:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - H:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NBService - Nero AG - H:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - H:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - E:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - E:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe

--
End of file - 7594 bytes

TR/Drop.Mudrop.CY, TR/Agent2.DI.12

Log-Analyse und Auswertung: TR/Drop.Mudrop.CY, TR/Agent2.DI.12

TR/Drop.Mudrop.CY, TR/Agent2.DI.12

Ähnliche Themen: TR/Drop.Mudrop.CY, TR/Agent2.DI.12