| |
| |||||||
Log-Analyse und Auswertung: Habe eine Malware " TR/Spy.82432.C"Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
06.05.2009, 19:53
| #1 |
| |  Habe eine Malware " TR/Spy.82432.C" Hallo zusammen, dies ist ein Notfall, AntiVir zeigt verschiedene Malware an. Kann mir vielleicht jemand helfen. Vielen Dank im vorraus |
|
06.05.2009, 19:58
| #2 |
  |  Habe eine Malware " TR/Spy.82432.C" Hallo Trixie und
__________________ Lese dir bitte diese Anleitung durch und arbeite Punkt 2 (a,b,c und d) ab. Es wäre zudem noch hilfreich, wenn du den genauen Pfad angeben würdest, wo die Malware gefunden wurde. Vorher wird dir leider niemand helfen können. mfg, Kaos |
|
07.05.2009, 09:10
| #3 |
| | Habe eine Malware " TR/Spy.82432.C" Danke Kaos für die Antwort.
__________________Die Malware hat sich im AntiVir Programm gezeigt. Ich habe CCleaner erledigt. Malwarebytes-Anti-Malware wird jetzt gepostet Malwarebytes' Anti-Malware 1.36 Datenbank Version: 2084 Windows 5.1.2600 Service Pack 3 06.05.2009 20:24:42 mbam-log-2009-05-06 (20-24-42).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 76442 Laufzeit: 5 minute(s), 11 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Und nun HiJacKThis: 3D Live Snooker 7-Zip 4.63 ABC Amber Audio Converter Adobe Acrobat 5.0 Adobe Flash Player 10 Plugin Adobe Photoshop 7.0 Adobe Reader 9.1 - Deutsch Adobe Shockwave Player 11 AOL Deutschland Apple Software Update Ask Toolbar Audiograbber 1.83 SE Avira AntiVir Personal - Free Antivirus Backgammon Canon Camera Window for ZoomBrowser EX Canon CanoScan Toolbox 4.1 Canon Internet Library for ZoomBrowser EX Canon iP3600 series Benutzerregistrierung Canon iP3600 series Printer Driver Canon PhotoRecord Canon Utilities Easy-PhotoPrint EX Canon Utilities File Viewer Utility 1.2 Canon Utilities My Printer Canon Utilities PhotoStitch 3.1 Canon Utilities RemoteCapture 2.7 Canon Utilities Solution Menu Canon Utilities ZoomBrowser EX CCleaner (remove only) CloneCD DVD Suite ElsterFormular 2007/2008 ElsterFormular 2008/2009 FMS Glary Registry Repair 3.0 Google Earth Google Updater HijackThis 2.0.2 Hotfix for Windows Media Format 11 SDK (KB929399) Hotfix für Windows Media Player 11 (KB939683) Hotfix für Windows XP (KB942288-v3) Hotfix für Windows XP (KB952287) IncrediMail Informationen über Ihren PC JkDefragGUI 1.16 LG ODD Auto Firmware Update LiveBilliards Malwarebytes' Anti-Malware Medi@Show Microsoft .NET Framework (German) Microsoft .NET Framework (German) v1.0.3705 Microsoft .NET Framework 1.0 Hotfix (KB928367) Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 German Language Pack Microsoft .NET Framework 1.1 Hotfix (KB928366) Microsoft .NET Framework 2.0 Service Pack 1 Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU Microsoft .NET Framework 3.0 Service Pack 1 Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU Microsoft .NET Framework 3.5 Microsoft .NET Framework 3.5 Microsoft .NET Framework 3.5 Language Pack - deu Microsoft .NET Framework 3.5 Language Pack - DEU Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Internationalized Domain Names Mitigation APIs Microsoft Kernel-Mode Driver Framework Feature Pack 1.7 Microsoft National Language Support Downlevel APIs Microsoft Office XP Professional mit FrontPage Microsoft User-Mode Driver Framework Feature Pack 1.5 Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Mozilla Firefox (3.0.10) Mozilla Thunderbird (2.0.0.21) MP3 Recorder for YouTube MSVC80_x86 MSXML 4.0 SP2 (KB954430) MUSICMATCH Jukebox Nero - Burning Rom Nokia Connectivity Cable Driver Nokia PC Suite Nokia PC Suite OmniPage SE PC Connectivity Solution PDFCreator pdfforge Toolbar v1.0 Picasa 3 Power Cinema PowerDirector Pro PowerDVD PowerProducer QuickTime RealPlayer Realtek AC'97 Audio Sicherheitsupdate für Step by Step Interactive Training (KB898458) Sicherheitsupdate für Step by Step Interactive Training (KB923723) Sicherheitsupdate für Windows Media Player (KB952069) Sicherheitsupdate für Windows Media Player 11 (KB936782) Sicherheitsupdate für Windows Media Player 11 (KB954154) Sicherheitsupdate für Windows Media Player 8 (KB917734) Sicherheitsupdate für Windows Media Player 9 (KB911565) Sicherheitsupdate für Windows XP (KB923561) Sicherheitsupdate für Windows XP (KB923689) Sicherheitsupdate für Windows XP (KB923789) Sicherheitsupdate für Windows XP (KB938464) Sicherheitsupdate für Windows XP (KB941569) Sicherheitsupdate für Windows XP (KB946648) Sicherheitsupdate für Windows XP (KB950762) Sicherheitsupdate für Windows XP (KB950974) Sicherheitsupdate für Windows XP (KB951066) Sicherheitsupdate für Windows XP (KB951376-v2) Sicherheitsupdate für Windows XP (KB951698) Sicherheitsupdate für Windows XP (KB951748) Sicherheitsupdate für Windows XP (KB952004) Sicherheitsupdate für Windows XP (KB952954) Sicherheitsupdate für Windows XP (KB954211) Sicherheitsupdate für Windows XP (KB954459) Sicherheitsupdate für Windows XP (KB954600) Sicherheitsupdate für Windows XP (KB955069) Sicherheitsupdate für Windows XP (KB956390) Sicherheitsupdate für Windows XP (KB956391) Sicherheitsupdate für Windows XP (KB956572) Sicherheitsupdate für Windows XP (KB956802) Sicherheitsupdate für Windows XP (KB956803) Sicherheitsupdate für Windows XP (KB956841) Sicherheitsupdate für Windows XP (KB957095) Sicherheitsupdate für Windows XP (KB957097) Sicherheitsupdate für Windows XP (KB958215) Sicherheitsupdate für Windows XP (KB958644) Sicherheitsupdate für Windows XP (KB958687) Sicherheitsupdate für Windows XP (KB958690) Sicherheitsupdate für Windows XP (KB959426) Sicherheitsupdate für Windows XP (KB960225) Sicherheitsupdate für Windows XP (KB960714) Sicherheitsupdate für Windows XP (KB960715) Sicherheitsupdate für Windows XP (KB960803) Sicherheitsupdate für Windows XP (KB961373) Sicherheitsupdate für Windows XP (KB963027) SiS 650_651_M650_740 SiS 900 PCI Fast Ethernet Adapter Driver StarOffice 5.2 Toolbar fuer eBay TraXEx 3.2 Update für Windows XP (KB951072-v2) Update für Windows XP (KB951978) Update für Windows XP (KB955839) Update für Windows XP (KB967715) VideoLive Mail 4.0 Viewpoint Media Player (Remove Only) VLC media player 0.9.8a Wichtiges Update für Windows Media Player 11 (KB959772) Winamp Winamp Toolbar for Firefox Winamp Toolbar for Internet Explorer Windows Media Format 11 runtime Windows Media Format 11 runtime Windows Media Player 11 Windows Media Player 11 Windows XP Service Pack 3 Windows-Sicherungsprogramm Windows-Treiberpaket - Nokia Modem (10/27/2008 3.9) Windows-Treiberpaket - Nokia Modem (10/27/2008 7.01.0.1) Windows-Treiberpaket - Nokia pccsmcfd (08/22/2008 7.0.0.0) XML Paper Specification Shared Components Language Pack 1.0 ZoneAlarm Vielen Dank nochmal "Ich erlaube mir, nicht perfekt sein zu müssen!" |
|
08.05.2009, 19:00
| #4 |
| | Habe eine Malware " TR/Spy.82432.C" Malwarebytes Log hast du gepostet und die Uninstall-Liste. Es fehlt noch die HijackThis Logfile und die Angaben zu den Funden von Avira. Wo hat Avira die Malware gefunden? Pfad und Dateinamen. mfg, Kaos |
|
09.05.2009, 14:47
| #5 |
| | Habe eine Malware " TR/Spy.82432.C" Hallo Kaos, gefunden hat AntiVir die Malwaere in Die Datei 'D:\System Volume Information\_restore{F522D084-5544-4A26-A8C8-8D311D8A46E5}\RP177\A0056372.exe' enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.82432.C' [trojan]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a31c60f.qua' verschoben! HiJack This Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:31:49, on 07.05.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\SOINTGR.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\System32\khooker.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\lg_fwupdate\fwupdate.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Canon\MyPrinter\BJMyPrt.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\TraXEx\TraXEx.exe C:\Programme\IncrediMail\bin\ImApp.exe C:\Programme\PC Connectivity Solution\ServiceLayer.exe C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MyStart by IncrediMail.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = AOL.de | Kostenlose Email, Nachrichten & Wetter, Sport, Shopping und Star-News auf AOL.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll O2 - BHO: TBSB03968 - {AA61DE26-FA67-4575-9033-918671094293} - C:\Dokumente und Einstellungen\Dieter\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\WidgiToolbarIE.dll O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll O3 - Toolbar: Recorder Toolbar - {120A8821-2BEE-4C29-BCDA-62C577781992} - C:\Programme\MedienTeam66\MP3 Recorder for YouTube\IEPlugin.dll O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\WidgiToolbarIE.dll O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll O3 - Toolbar: Toolbar fuer eBay - {000E148C-F7A7-445A-9044-93BF6CE09ECB} - C:\Dokumente und Einstellungen\Dieter\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb11.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe blrun O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SearchSettings] C:\Programme\pdfforge Toolbar\SearchSettings.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray O4 - HKCU\..\Run: [WidgetAlarm] C:\Programme\e-load\Tiefpreisalarm\Tiefpreisalarm.exe O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: TraXEx 3.2.lnk = C:\Programme\TraXEx\TraXEx.exe O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: IE-Spuren löschen - {6C7C0C9A-B51D-4ADB-A74D-C4E33744F866} - C:\Programme\TraXEx\Integration\TraXEx Internet Explorer.lnk O9 - Extra button: Löschautomat - {8DA7743F-9274-4BE8-899E-C0FF6ED61B00} - C:\Programme\TraXEx\Integration\TraXEx Löschautomat.lnk O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: AOL 7.0 - {0BC548A0-CE51-4727-A128-E4D784752BA4} - C:\Programme\AOL 7.0\aol.exe (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe -- End of file - 9154 bytes Vielen Dank nochmal |
|
11.05.2009, 00:17
| #6 |
| | Habe eine Malware " TR/Spy.82432.C" Der von Avira gefundene Schädling war in der Systemwiederherstellung. Löschen der Systemwiederherstellungspunkten:
Um sicher zu gehen, ob da nicht noch mehr ist lassen wir noch etwas scannen. Erstmal mit Gmer. Rootkitsuche mit Gmer:
|
|
11.05.2009, 12:27
| #7 |
| | Habe eine Malware " TR/Spy.82432.C" Hallo Kaos, hier das Gewünschte GMER 1.0.15.14972 - http://www.gmer.net Rootkit scan 2009-05-11 13:23:12 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.15 ---- SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwConnectPort [0xF3A47040] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateFile [0xF3A43930] SSDT F7E19716 ZwCreateKey SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreatePort [0xF3A47510] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcess [0xF3A4D870] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcessEx [0xF3A4DAA0] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateSection [0xF3A50FD0] SSDT F7E1970C ZwCreateThread SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateWaitablePort [0xF3A47600] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteFile [0xF3A43F20] SSDT F7E1971B ZwDeleteKey SSDT F7E19725 ZwDeleteValueKey SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDuplicateObject [0xF3A4D580] SSDT F7E1972A ZwLoadKey SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenFile [0xF3A43D70] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenProcess [0xF3A4D350] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenThread [0xF3A4D150] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRenameKey [0xF3A50250] SSDT F7E19734 ZwReplaceKey SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRequestWaitReplyPort [0xF3A46C00] SSDT F7E1972F ZwRestoreKey SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSecureConnectPort [0xF3A47220] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetInformationFile [0xF3A44120] SSDT F7E19720 ZwSetValueKey SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwTerminateProcess [0xF3A4DCD0] ---- Kernel code sections - GMER 1.0.15 ---- Gruß Trixie |
|
11.05.2009, 12:32
| #8 |
| | Habe eine Malware " TR/Spy.82432.C" Hallo Kaos, das war bestimmt noch nicht alles. Hier nochmal GMER 1.0.15.14972 - http://www.gmer.net Rootkit scan 2009-05-11 13:23:12 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.15 ---- SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwConnectPort [0xF3A47040] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateFile [0xF3A43930] SSDT F7E19716 ZwCreateKey SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreatePort [0xF3A47510] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcess [0xF3A4D870] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcessEx [0xF3A4DAA0] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateSection [0xF3A50FD0] SSDT F7E1970C ZwCreateThread SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateWaitablePort [0xF3A47600] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteFile [0xF3A43F20] SSDT F7E1971B ZwDeleteKey SSDT F7E19725 ZwDeleteValueKey SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDuplicateObject [0xF3A4D580] SSDT F7E1972A ZwLoadKey SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenFile [0xF3A43D70] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenProcess [0xF3A4D350] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenThread [0xF3A4D150] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRenameKey [0xF3A50250] SSDT F7E19734 ZwReplaceKey SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRequestWaitReplyPort [0xF3A46C00] SSDT F7E1972F ZwRestoreKey SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSecureConnectPort [0xF3A47220] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetInformationFile [0xF3A44120] SSDT F7E19720 ZwSetValueKey SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwTerminateProcess [0xF3A4DCD0] ---- Kernel code sections - GMER 1.0.15 ---- .text ntoskrnl.exe!_abnormal_termination + 104 804E2760 1 Byte [10] .text ntoskrnl.exe!_abnormal_termination + 104 804E2760 12 Bytes [10, 75, A4, F3, 70, D8, A4, ...] .text ntoskrnl.exe!_abnormal_termination + 36C 804E29C8 1 Byte [00] ? srescan.sys Das System kann die angegebene Datei nicht finden. ! ---- User code sections - GMER 1.0.15 ---- .text C:\WINDOWS\Explorer.EXE[1348] SHELL32.dll!SHFileOperationW 7E720924 5 Bytes JMP 02621102 C:\Programme\Unlocker\UnlockerHook.dll ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [F3A4BCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [F3A4C1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [F3A4C320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [F3A4BE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [F3A4BE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [F3A4BCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [F3A4C1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [F3A4C320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [F3A4BCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [F3A4BE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [F3A4C320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [F3A4C1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [F3A4C320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [F3A4C1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [F3A4BCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateFile] [F3A59330] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [F3A4BE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [F3A4BCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [F3A4C1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [F3A4C320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter] [F3A4C320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter] [F3A4C1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol] [F3A4BE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol] [F3A4BCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [F3A4BCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [F3A4BE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [F3A4C320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [F3A4C1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtSetInformationFile] [F3A445C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateFile] [F3A44770] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtCreateFile] [F3A442D0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtOpenFile] [F3A44670] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ---- Devices - GMER 1.0.15 ---- Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- EOF - GMER 1.0.15 ---- |
|
12.05.2009, 00:20
| #9 |
| | Habe eine Malware " TR/Spy.82432.C" Okay, Gmerlog ist in Ordnung. Deinstalliere:
Dann lass bitte zum Schluss noch SUPERAntiSpyware und Dr. Web CureIt laufen. Lese dir die Anleitungen gut durch. Bei SUPERAntiSpyware kannst du den Scan im abgesicherten Modus auslassen. Achte darauf, falls etwas gefunden wird, es auch zu entfernen. Wenn die Scans fertig sind, poste bitte zusätzlich ein neues HijackThis Log. mfg, Kaos |
|
12.05.2009, 14:54
| #10 |
| | Habe eine Malware " TR/Spy.82432.C" Hallo Kaos, vielen Dank für die tolle Hilfe. Und hier: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:49:36, on 12.05.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\SOINTGR.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\System32\khooker.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\lg_fwupdate\fwupdate.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Winamp\winampa.exe C:\Programme\Canon\MyPrinter\BJMyPrt.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\Programme\Unlocker\UnlockerAssistant.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\IncrediMail\bin\ImApp.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\System32\MsPMSPSv.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MyStart by IncrediMail.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = AOL.de | Kostenlose Email, Nachrichten & Wetter, Sport, Shopping und Star-News auf AOL.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll (file missing) O2 - BHO: Recorder Toolbar - {120A8821-2BEE-4C29-BCDA-62C577781992} - C:\Programme\MedienTeam66\MP3 Recorder for YouTube\IEPlugin.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll (file missing) O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll (file missing) O3 - Toolbar: Recorder Toolbar - {120A8821-2BEE-4C29-BCDA-62C577781992} - C:\Programme\MedienTeam66\MP3 Recorder for YouTube\IEPlugin.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb11.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe blrun O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: AOL 7.0 - {0BC548A0-CE51-4727-A128-E4D784752BA4} - C:\Programme\AOL 7.0\aol.exe (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe -- End of file - 7383 bytes Gruß Trixie |
|
12.05.2009, 15:16
| #11 |
| | Habe eine Malware " TR/Spy.82432.C" Hast du die andern beiden Programme schon laufen lassen? Haben sie etwas gefunden? mfg, Kaos |
|
13.05.2009, 07:20
| #12 |
| | Habe eine Malware " TR/Spy.82432.C" Ja, es waren 2 Funde, die sind bei SUPERAntiSpyware in Quarantäne: Quarantine-05-12-2009-12:50:53 -Rogue.AntiSpykit-Installer D:\Programme\Programme\Mozilla\Firefox\AskInstall.EXE -Rogue.VirusHeats -D:\Programme\Programme\Virusheat4.3\VirusHeat4.3 EXE -Rogue.VirusHeats D:\System Vomume Informatin_Restore{F522D084-5544-4A26-A8C8-8D311D8A46E5}-\RP5\A0001857.EXE mfg, Trixie |
|
13.05.2009, 17:38
| #13 |
| | Habe eine Malware " TR/Spy.82432.C" 1. Fixen mit HijackThis:
Code:
ATTFilter R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MyStart by IncrediMail.com
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll (file missing)
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll (file missing)
O9 - Extra button: AOL 7.0 - {0BC548A0-CE51-4727-A128-E4D784752BA4} - C:\Programme\AOL 7.0\aol.exe (HKCU)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
2. Löschen der Systemwiederherstellungspunkten:
Danach lass dein System von Antivir scannen und zwar auf aggressiven Einstellungen. Stelle bitte sicher, das du die aktuelle Antivirversion hast (Version 9). Um das zu prüfen, öffne das Avirafenster (doppleklich aufden Schirm). Dort auf Hilfe --> Über Avira Antivir Personal. Dort den Reiter Versionsinformationen. Unter Produktversion sollte zumindest die 9 am Anfangstehen. Falls nicht, lade dir die neue Version herunter. mfg, Kaos |
|
15.05.2009, 10:53
| #14 |
| | Habe eine Malware " TR/Spy.82432.C" Hallo Kaos, hier das Ergebnis von AntiVir Avira AntiVir Personal Erstellungsdatum der Reportdatei: Freitag, 15. Mai 2009 10:51 Es wird nach 1394607 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : "xxx" Computername : COMPUTERNAME Versionsinformationen: BUILD.DAT : 9.0.0.394 17962 Bytes 17.04.2009 11:13:00 AVSCAN.EXE : 9.0.3.5 466689 Bytes 27.04.2009 13:45:34 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 19:33:26 ANTIVIR2.VDF : 7.1.3.185 2010112 Bytes 12.05.2009 09:47:27 ANTIVIR3.VDF : 7.1.3.207 98304 Bytes 14.05.2009 18:23:14 Engineversion : 8.2.0.166 AEVDF.DLL : 8.1.1.1 106868 Bytes 02.05.2009 13:32:02 AESCRIPT.DLL : 8.1.1.81 385401 Bytes 09.05.2009 13:30:19 AESCN.DLL : 8.1.1.10 127348 Bytes 05.04.2009 16:00:13 AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 17:24:41 AEPACK.DLL : 8.1.3.16 397686 Bytes 09.05.2009 13:30:14 AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 19:01:56 AEHEUR.DLL : 8.1.0.128 1757559 Bytes 09.05.2009 13:30:11 AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 19:01:56 AEGEN.DLL : 8.1.1.42 348531 Bytes 09.05.2009 13:30:04 AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40 AECORE.DLL : 8.1.6.9 176500 Bytes 14.04.2009 18:38:00 AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56 AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55 AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 27.04.2009 13:45:34 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21 RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 10:41:16 RCTEXT.DLL : 9.0.37.0 87809 Bytes 27.04.2009 13:45:34 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Lokale Laufwerke Konfigurationsdatei...................: c:\programme\avira\antivir desktop\alldrives.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, E:, A:, F:, G:, H:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: aus Archiv Smart Extensions...............: ein Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Freitag, 15. Mai 2009 10:51 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '45887' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MsPMSPSv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wanmpsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ImApp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SUPERAntiSpyware.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'UnlockerAssistant.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'opware32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BJMYPRT.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'fwupdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'khooker.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sointgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '36' Prozesse mit '36' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'A:\' [INFO] Im Laufwerk 'A:\' ist kein Datenträger eingelegt! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '72' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <BOOT> C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\WINDOWS\$NtUninstallApplication Compatibility Update$\acgenral.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallApplication Compatibility Update$\aclayers.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallApplication Compatibility Update$\aclua.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallApplication Compatibility Update$\acspecfc.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallApplication Compatibility Update$\acverfyr.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallApplication Compatibility Update$\acxtrnal.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallApplication Compatibility Update$\d3d8.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallApplication Compatibility Update$\qdvd.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallApplication Compatibility Update$\udfs.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallApplication Compatibility Update$\vbscript.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallApplication Compatibility Update$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ307274$\shgina.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ307274$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ307869$\guitrn.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ307869$\guitrn_a.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ307869$\migwiz.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ307869$\migwiz_a.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ307869$\script.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ307869$\script_a.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ307869$\sysmod.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ307869$\sysmod_a.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ307869$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ308210$\rdchost.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ308210$\sessmgr.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ308210$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ308276$\smlogsvc.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ308276$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ308677$\userenv.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ308677$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ309376$\rdbss.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ309376$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ309495$\msi.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ309495$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ309521$\dxmasf.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ309521$\lsasrv.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ309521$\sfcfiles.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ309521$\ssdpapi.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ309521$\ssdpsrv.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ309521$\url.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ309521$\wininet.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ309521$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ310437$\ups.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ310437$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ310507$\aec.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ310507$\dxmrtp.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ310507$\splitter.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ310507$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ311889$\termsrv.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ311889$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ312368$\syssetup.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ312368$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ314862$\qmgr.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ314862$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ315000$\netsetup.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ315000$\ssdpapi.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ315000$\ssdpsrv.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ315000$\upnp.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ315000$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' <BACKUP> D:\Programme\Programme\Mozilla Firefox\SmitfraudFix\restart.exe [FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes Beginne mit der Suche in 'E:\' <RECOVER> Beginne mit der Suche in 'A:\' Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Beginne mit der Suche in 'F:\' Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Beginne mit der Suche in 'G:\' Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Beginne mit der Suche in 'H:\' Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Beginne mit der Desinfektion: D:\Programme\Programme\Mozilla Firefox\SmitfraudFix\restart.exe [FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a803a36.qua' verschoben! Ende des Suchlaufs: Freitag, 15. Mai 2009 11:45 Benötigte Zeit: 50:25 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 7126 Verzeichnisse wurden überprüft 254409 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 60 Dateien konnten nicht durchsucht werden 254348 Dateien ohne Befall 7202 Archive wurden durchsucht 60 Warnungen 3 Hinweise 45887 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden mfg,Trixie |
|
15.05.2009, 19:12
| #15 |
| | Habe eine Malware " TR/Spy.82432.C" Dass sieht schon mal gut aus, die gefundene Datei (D:\Programme\Programme\Mozilla Firefox\SmitfraudFix\restart.exe) ist ja von dem Bereinigungstool Smitfraudfix. Die Dateien, die nicht geöffnet werden konnten, sind Backupdateien vom Windows-Update. Könnte mehrere Gründe haben, warum diese sich nicht öffnen lassen. Wenn auch Dr. Web CureIt nichts weiter gefunden hat, bist du entlassen. Du hast noch immer den alten Internetexplorer 6, auch wenn du ihn nicht benutzen solltest, sollte er immer aktualisiert werden. Halte immer deine Sofware aktuell, vorallem Windows. Lass unbedingt die Windowseigene Firewall aktiviert, falls du keinen Router benutzt. Secunia PSI kann dir dabei helfen, deine Software aktuell zu halten. Es sollten auch nur Programme automatisch mit Windows gestartet werden, die unbedingt gebraucht werden. Du könntest bei der Gelegenheit auch deinen Rechner ein wenig aufräumen http://www.trojaner-board.de/71631-pc-wird-immer-langsamer-tun.html Deinstalliere auch alle Programme, die du nicht mehr benötigst. mfg, Kaos |
|
| Themen zu Habe eine Malware " TR/Spy.82432.C" |
| antivir, hallo zusammen, malware, notfall, tr/spy., verschiedene, zusammen |
Linear-Darstellung
