|
Log-Analyse und Auswertung: Trojaner? Brauche Hilfe (XP)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
05.07.2009, 21:17 | #1 |
| Trojaner? Brauche Hilfe (XP) Hallo, folgendes Problem. Mein Compuer hat seit einigen tagen eine sehr hohe CPU-AUslastung, und wird fürchterlich laut, nicht nur beim starten, sondern durchgehend. Die Prozesse haben sehr viel K, selbst wenn ich nicht darin arbeite, icvh starte beispeilsweise Firefox (derzeit deinstalliert) mit Google, und erreiche 106000k auslastung. Ich weis im Moment nicht, was ich tun soll, es passiert ab und zu, dass sich der komplette Computer aufhaengt und nichtmehr tut, bis zum manuellen neustart. Auch, wenn ich den Computer in den StandBy Modus versetzen will, funktioniert das nicht, er bleibt stundenlang haengen bei "Standby wird vorbereitet". Brauche wirklich hilfe, weis nicht, was ich tun sollte. Mfg Philipp |
06.07.2009, 08:46 | #3 |
| Trojaner? Brauche Hilfe (XP) So habe alles in Punkt 2 durcharbeitet.
__________________Hier die "Auswertung": Maleware: Malwarebytes' Anti-Malware 1.38 Datenbank Version: 2378 Windows 5.1.2600 Service Pack 3 06.07.2009 09:27:38 mbam-log-2009-07-06 (09-27-38).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 177053 Laufzeit: 37 minute(s), 53 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 13 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 1 Infizierte Dateien: 25 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{733e9132-53ca-4c97-9ac9-145c4502fa20} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4b18dd50-c996-44fc-ac52-0fecff82ed58} (Spyware.Hotbar) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{09f1adac-76d8-4d0f-99a5-5c907dadb988} (Rogue.Multiple) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{100eb1fd-d03e-47fd-81f3-ee91287f9465} (Adware.Shopping.Report) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.Shopping.Report) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.Shopping.Report) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntiVirus) -> Quarantined and deleted successfully. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ProcObsrv (Rogue.NetCom3) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\seneka (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\seneka (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\seneka (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{733e9132-53ca-4c97-9ac9-145c4502fa20} (Trojan.Vundo) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\WINDOWS\system32\twain32 (Backdoor.Bot) -> Quarantined and deleted successfully. Infizierte Dateien: c:\pps.exe (Backdoor.Bot) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\all users\rtrr.dll (Trojan.Agent) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\ko. songoku 33\anwendungsdaten\tuneup software\tuneup utilities\startup manager\disabled objects\legupd32.exe (Trojan.Agent) -> Quarantined and deleted successfully. c:\system volume information\_restore{2ea1948d-47e4-4128-83f7-3b90672a8f9b}\rp2\A0001374.exe (Backdoor.Bot) -> Quarantined and deleted successfully. c:\system volume information\_restore{2ea1948d-47e4-4128-83f7-3b90672a8f9b}\RP2\A0001375.dll (Trojan.Agent) -> Quarantined and deleted successfully. c:\WINDOWS\fxstaller.exe.mwt (Backdoor.Bot) -> Quarantined and deleted successfully. c:\WINDOWS\amomaqawepewapa.dll.mwt (Trojan.Agent) -> Quarantined and deleted successfully. c:\WINDOWS\uzayaxubexu.dll.mwt (Trojan.Agent) -> Quarantined and deleted successfully. c:\WINDOWS\system32\wbem\proquota.exe (Trojan.Backdoor) -> Quarantined and deleted successfully. c:\WINDOWS\system32\twain32\local.ds (Backdoor.Bot) -> Quarantined and deleted successfully. c:\WINDOWS\system32\twain32\user.ds (Backdoor.Bot) -> Quarantined and deleted successfully. c:\WINDOWS\system32\twain32\user.ds.lll (Backdoor.Bot) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\ko. songoku 33\anwendungsdaten\macromedia\Common\e0de003a1.dll (Hijack.Sound) -> Quarantined and deleted successfully. C:\Programme\a.zip (Malware.Trace) -> Quarantined and deleted successfully. C:\Programme\A.ico (Malware.Trace) -> Quarantined and deleted successfully. C:\Programme\b.zip (Malware.Trace) -> Quarantined and deleted successfully. C:\Programme\B.ico (Malware.Trace) -> Quarantined and deleted successfully. C:\Programme\c.zip (Malware.Trace) -> Quarantined and deleted successfully. c:\WINDOWS\system32\drivers\senekaqgmnswqj.sys (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\warning.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully. c:\WINDOWS\Fonts\fontinst.exe (Worm.Archive) -> Quarantined and deleted successfully. C:\WINDOWS\system32\win32hlp.cnf (Trojan.Agent) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\ko. Songoku 33\Anwendungsdaten\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully. c:\WINDOWS\system32\senekamkhxvnkt.dat (Trojan.Agent) -> Quarantined and deleted successfully. c:\WINDOWS\system32\senekawxnsbpaf.dat (Trojan.Agent) -> Quarantined and deleted successfully. |
06.07.2009, 08:48 | #4 |
| Trojaner? Brauche Hilfe (XP) Weiter gehts mit HiJackThis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:40:08, on 06.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\eScan\TRAYICOS.EXE C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\eScan\MAILDISP.EXE c:\progra~1\escan\EconSer.exe C:\DOKUME~1\ALLUSE~1\ANWEND~1\MICROW~1\eScanBD\avpmapp.exe c:\progra~1\escan\eConceal.exe C:\PROGRA~1\eScan\TRAYSSER.EXE C:\WINDOWS\system32\lxctcoms.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE C:\PROGRA~1\ESCAN\SPOOLER.EXE C:\PROGRA~1\eScan\consctl.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\TUProgSt.exe C:\PROGRA~1\eScan\Vista\eScanMon.exe C:\Programme\Opera\opera.exe C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe O4 - HKLM\..\Run: [lxctmon.exe] "C:\Programme\Lexmark 5400 Series\lxctmon.exe" O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\PROGRA~1\eScan\LAUNCH.EXE" /startup O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-20\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [WAB] C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\e0de003a19.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'Default user') O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [u**rl]h**p://fpdownload2.**macromedia.**com/get/shockwave/cabs/flash/swflash.cab[/url] O20 - Winlogon Notify: eSLogOn - C:\WINDOWS\SYSTEM32\eSLogOn.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: eConServ (EconService) - MicroWorld Technologies Inc. - c:\progra~1\escan\EconSer.exe O23 - Service: eScan Monitor Service - MicroWorld Technologies Inc. - C:\DOKUME~1\ALLUSE~1\ANWEND~1\MICROW~1\eScanBD\avpmapp.exe O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: lxct_device - - C:\WINDOWS\system32\lxctcoms.exe O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe -- End of file - 4406 bytes |
06.07.2009, 08:50 | #5 |
| Trojaner? Brauche Hilfe (XP) Und zum Schluss nochmal HiJackThis, die Uninstakll_list: Adobe Flash Player 10 Plugin Adobe Flash Player ActiveX Adobe Reader 7.0 ATI Display Driver CCleaner (remove only) Choice Guard comsummer-1024x768 Counter-Strike(TM) Die Schlacht um Mittelerde(tm) eScan Anti-Virus (AV) OEM Edition für Windows High Definition Audio Driver Package - KB888111 HijackThis 2.0.2 Hotfix for Windows Media Format 11 SDK (KB929399) Hotfix für Windows Internet Explorer 7 (KB947864) Hotfix für Windows Media Player 11 (KB939683) Hotfix für Windows XP (KB952287) ICQ6.5 Jing Lexmark 5400 Series Malwarebytes' Anti-Malware Messenger Plus! Live Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 German Language Pack Microsoft .NET Framework 1.1 Hotfix (KB928366) Microsoft .NET Framework 2.0 Language Pack - DEU Microsoft .NET Framework 2.0 Service Pack 1 Microsoft .NET Framework 3.0 Microsoft .NET Framework 3.0 German Language Pack Microsoft .NET Framework 3.0 German Language Pack Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Internationalized Domain Names Mitigation APIs Microsoft Kernel-Mode Driver Framework Feature Pack 1.5 Microsoft National Language Support Downlevel APIs Microsoft Office Word Viewer 2003 Microsoft User-Mode Driver Framework Feature Pack 1.0 Microsoft Visual C++ 2005 Redistributable Microsoft Visual J# .NET Redistributable Package 1.1 Microsoft Works MSVCRT MSXML 4.0 SP2 (KB927978) MSXML 4.0 SP2 (KB936181) MSXML 4.0 SP2 (KB954430) neroxml NTI Backup NOW! 4 NTI CD & DVD-Maker NTI HomeVideo-Maker OCA Client history tool install Opera 9.51 Philips SPC530NC Webcam Philips VLounge Realtek High Definition Audio Driver SAMSUNG Mobile Modem Driver Set Samsung Mobile phone USB driver Software SAMSUNG Mobile USB Modem 1.0 Software SAMSUNG Mobile USB Modem Software Samsung PC Studio 3 Samsung PC Studio 3 USB Driver Installer Samsung Samples Installer Security Task Manager 1.7h Segoe UI Sicherheitsupdate für Step by Step Interactive Training (KB898458) Sicherheitsupdate für Windows Internet Explorer 7 (KB938127) Sicherheitsupdate für Windows Internet Explorer 7 (KB939653) Sicherheitsupdate für Windows Internet Explorer 7 (KB942615) Sicherheitsupdate für Windows Internet Explorer 7 (KB944533) Sicherheitsupdate für Windows Internet Explorer 7 (KB950759) Sicherheitsupdate für Windows Internet Explorer 7 (KB953838) Sicherheitsupdate für Windows Internet Explorer 7 (KB956390) Sicherheitsupdate für Windows Internet Explorer 7 (KB958215) Sicherheitsupdate für Windows Internet Explorer 7 (KB960714) Sicherheitsupdate für Windows Internet Explorer 7 (KB961260) Sicherheitsupdate für Windows Media Player (KB952069) Sicherheitsupdate für Windows Media Player 10 (KB917734) Sicherheitsupdate für Windows Media Player 10 (KB936782) Sicherheitsupdate für Windows Media Player 11 (KB936782) Sicherheitsupdate für Windows Media Player 11 (KB954154) Sicherheitsupdate für Windows Media Player 9 (KB917734) Sicherheitsupdate für Windows XP (KB913433) Sicherheitsupdate für Windows XP (KB923561) Sicherheitsupdate für Windows XP (KB938464) Sicherheitsupdate für Windows XP (KB941569) Sicherheitsupdate für Windows XP (KB946648) Sicherheitsupdate für Windows XP (KB950760) Sicherheitsupdate für Windows XP (KB950762) Sicherheitsupdate für Windows XP (KB950974) Sicherheitsupdate für Windows XP (KB951066) Sicherheitsupdate für Windows XP (KB951376) Sicherheitsupdate für Windows XP (KB951376-v2) Sicherheitsupdate für Windows XP (KB951698) Sicherheitsupdate für Windows XP (KB951748) Sicherheitsupdate für Windows XP (KB952004) Sicherheitsupdate für Windows XP (KB952954) Sicherheitsupdate für Windows XP (KB953839) Sicherheitsupdate für Windows XP (KB954211) Sicherheitsupdate für Windows XP (KB954459) Sicherheitsupdate für Windows XP (KB954600) Sicherheitsupdate für Windows XP (KB955069) Sicherheitsupdate für Windows XP (KB956391) Sicherheitsupdate für Windows XP (KB956572) Sicherheitsupdate für Windows XP (KB956802) Sicherheitsupdate für Windows XP (KB956803) Sicherheitsupdate für Windows XP (KB956841) Sicherheitsupdate für Windows XP (KB957095) Sicherheitsupdate für Windows XP (KB957097) Sicherheitsupdate für Windows XP (KB958644) Sicherheitsupdate für Windows XP (KB958687) Sicherheitsupdate für Windows XP (KB958690) Sicherheitsupdate für Windows XP (KB959426) Sicherheitsupdate für Windows XP (KB960225) Sicherheitsupdate für Windows XP (KB960715) Sicherheitsupdate für Windows XP (KB960803) Sicherheitsupdate für Windows XP (KB961373) Sicherheitsupdate für Windows XP (KB961501) Sicherheitsupdate für Windows XP (KB968537) Sicherheitsupdate für Windows XP (KB969898) Sicherheitsupdate für Windows XP (KB970238) T-Online 6.0 TuneUp Utilities 2008 Update für Windows XP (KB951072-v2) Update für Windows XP (KB951978) Update für Windows XP (KB955839) Update für Windows XP (KB961503) Update für Windows XP (KB967715) VeohTV BETA Visual C++ 2008 x86 Runtime - (v9.0.30729) Visual C++ 2008 x86 Runtime - v9.0.30729.01 Wichtiges Update für Windows Media Player 11 (KB959772) Winamp Windows Communication Foundation Windows Imaging Component Windows Live Call Windows Live Communications Platform Windows Live Essentials Windows Live Essentials Windows Live Messenger Windows Presentation Foundation Windows Presentation Foundation Language Pack (DEU) Windows Workflow Foundation Windows Workflow Foundation DE Language Pack Windows XP Service Pack 3 Windows-Treiberpaket - Philips (SPC530) Image (05/21/2008 1.01.3.6650) Windows-Treiberpaket - Philips CL (phaudlwr) MEDIA (05/07/2008 1.0.5.12) Windows-Treiberpaket - Philips USB (05/21/2008 1.01.3.6650) XML Paper Specification Shared Components Language Pack 1.0 |
06.07.2009, 09:52 | #6 |
/// Malwareteam | Trojaner? Brauche Hilfe (XP) Aufgrund der starken Verseuchung durch Backdoors wäre hier ein Neuaufsetzen das sinnvollste. Vorallem wenn Du Ebanking machst oder heikle Daten auf dem System liegen. Oder willst Du lieber reinigen? Gruss Swiss |
06.07.2009, 12:01 | #7 |
| Trojaner? Brauche Hilfe (XP) Würde gerne reinigen, habe keine Banking Daten ect. drauf, aber keine lust alles neu auf zu spielen. Was soll ich weiter machen? -> HiJackThis alles raus, neues Virenprog. oder wie? ^^ |
06.07.2009, 12:18 | #8 |
/// Malwareteam | Trojaner? Brauche Hilfe (XP) 1. Fixen mit Hijackthis: Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind) Code:
ATTFilter R3 - URLSearchHook: (no name) - - (no file) O4 - HKUS\S-1-5-18\..\Run: [WAB] C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\e0de003a19.exe (User 'SYSTEM') Starte den Rechner neu. 2. Combofix Wende Combofix an und poste das Log 3. F-Secure Black Light fsbl.exe Blacklight – Rootkit Erkennungs-und-Elimination Program - Lade F-Secure Blacklight auf das Desktop - Starte in diesem Ordner fsbl.exe und schließe alle anderen Programme. - Klicke "I accept the agreement", "Next", "Scan". - wenn der Scan zu Ende ist, wähle "Close". - Der Bericht ist fsbl-XXX.log im Blacklight Verzeichnis (oder auf dem Desktop) , anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten poste das Log in deinen Beitrag im Forum 4. GMER Rootkitscan Wende GMER an und poste das Log. 5. Virenschutz: Du nutzt ESCAN als Vollversion? Alternativ würde Ich Dir Avira9 empfehlen. Gruss swiss |
07.07.2009, 08:39 | #9 |
| Trojaner? Brauche Hilfe (XP) ComboFix 09-07-06.02 - ko. Songoku 33 07.07.2009 9:29.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.550 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\ko. Songoku 33\Desktop\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\ko. Songoku 33\Lokale Einstellungen\Anwendungsdaten\mqygcsy_navtmp.dat c:\programme\Mozilla Firefox\extensions\{40C17E45-C3B0-4F7A-872C-6721030D8DF0} c:\programme\Mozilla Firefox\extensions\{40C17E45-C3B0-4F7A-872C-6721030D8DF0}\chrome.manifest c:\programme\Mozilla Firefox\extensions\{40C17E45-C3B0-4F7A-872C-6721030D8DF0}\chrome\content\overlay.xul c:\programme\Mozilla Firefox\extensions\{40C17E45-C3B0-4F7A-872C-6721030D8DF0}\install.rdf c:\recycler\S-1-5-21-1454471165-1390067357-1801674531-1004 c:\windows\Installer\13c636c.msp c:\windows\Installer\8ae2fb.msp c:\windows\pppatc~1 c:\windows\rasqervy.dll c:\windows\regedit.com c:\windows\sdfinacs.dll c:\windows\sdfixwcs.dll c:\windows\sembly~1 c:\windows\system32\acyrghic.ini c:\windows\system32\aicvcyko.ini c:\windows\system32\ajkhecjg.ini c:\windows\system32\aqeokvsl.ini c:\windows\system32\bdbotrtf.ini c:\windows\system32\bgtkffsv.ini c:\windows\system32\bnncggey.ini c:\windows\system32\bqtegevc.ini c:\windows\system32\btyioybx.ini c:\windows\system32\bvkmhgeu.ini c:\windows\system32\bwokyian.ini c:\windows\system32\cblhekri.ini c:\windows\system32\cbmvehur.ini c:\windows\system32\cbxtuunn.ini c:\windows\system32\cmdmgbay.ini c:\windows\system32\cnfkpvji.ini c:\windows\system32\cpqcugkp.ini c:\windows\system32\cqvyruel.ini c:\windows\system32\crbaissw.ini c:\windows\system32\ctfimpfr.ini c:\windows\system32\cwkvwxen.ini c:\windows\system32\cxholjdt.ini c:\windows\system32\ddfqnags.ini c:\windows\system32\ddovpscw.ini c:\windows\system32\delteeml.ini c:\windows\system32\dfbjbnad.ini c:\windows\system32\dluyhkej.ini c:\windows\system32\dwhjvxjl.ini c:\windows\system32\elisqoep.ini c:\windows\system32\enqyeyvy.ini c:\windows\system32\ephiniks.ini c:\windows\system32\eqiispqn.ini c:\windows\system32\esrrklkj.ini c:\windows\system32\eusuyvel.ini c:\windows\system32\exmvxpvp.ini c:\windows\system32\fckkecmk.ini c:\windows\system32\febotkuc.ini c:\windows\system32\fgraokdo.ini c:\windows\system32\fhieubyo.ini c:\windows\system32\fkkfbesb.ini c:\windows\system32\fpxwbxwh.ini c:\windows\system32\fqkuolqu.ini c:\windows\system32\fvkgrejq.ini c:\windows\system32\fwkojeeq.ini c:\windows\system32\gaygkfkk.ini c:\windows\system32\gcfpukdq.ini c:\windows\system32\gdnwqlst.ini c:\windows\system32\gfyqgwjv.ini c:\windows\system32\giyeehgg.ini c:\windows\system32\gkjwbndd.ini c:\windows\system32\gofgiavj.ini c:\windows\system32\goujipjd.ini c:\windows\system32\gpmuslji.ini c:\windows\system32\gqvcukmn.ini c:\windows\system32\gvjoxxgq.ini c:\windows\system32\hadjsnqw.ini c:\windows\system32\hdbedetr.ini c:\windows\system32\hdplblya.ini c:\windows\system32\hgvjeeln.ini c:\windows\system32\hhvesqfe.ini c:\windows\system32\hjxmhodu.ini c:\windows\system32\hphjauuw.ini c:\windows\system32\hrsledjt.ini c:\windows\system32\ikcjefsh.ini c:\windows\system32\impprqkx.ini c:\windows\system32\ipgtkkbt.ini c:\windows\system32\iquetyms.ini c:\windows\system32\jbevdqjg.ini c:\windows\system32\jcwagvek.ini c:\windows\system32\jglhndix.ini c:\windows\system32\jikcxuwy.ini c:\windows\system32\jjwvrhki.ini c:\windows\system32\jliiicxl.ini c:\windows\system32\jmnwvksl.ini c:\windows\system32\jmxudsum.ini c:\windows\system32\jqjaskdf.ini c:\windows\system32\jrwdqknc.ini c:\windows\system32\kffnmmae.ini c:\windows\system32\kiljrepn.ini c:\windows\system32\knohwbea.ini c:\windows\system32\kpcvevpl.ini c:\windows\system32\kutyppvl.ini c:\windows\system32\kuyohece.ini c:\windows\system32\kwcflqpc.ini c:\windows\system32\ligpstpw.ini c:\windows\system32\lkncnfkk.ini c:\windows\system32\lmcjxhqs.ini c:\windows\system32\lmwnxolx.ini c:\windows\system32\luswbtio.ini c:\windows\system32\mcmggtun.ini c:\windows\system32\mimpnbfc.ini c:\windows\system32\mkonwqrp.ini c:\windows\system32\mpqnismk.ini c:\windows\system32\mrdpxjjb.ini c:\windows\system32\mrumeurj.ini c:\windows\system32\mtnwugyh.ini c:\windows\system32\mwnaxorc.ini c:\windows\system32\nalgqbcv.ini c:\windows\system32\nbknnljm.ini c:\windows\system32\noflqwyh.ini c:\windows\system32\nuiywoyf.ini c:\windows\system32\nvsjagii.ini c:\windows\system32\nyxgxhhg.ini c:\windows\system32\ojbdpngl.ini c:\windows\system32\okyuyomd.ini c:\windows\system32\omqlckds.ini c:\windows\system32\opwxgxel.ini c:\windows\system32\otmrfgsa.ini c:\windows\system32\otsehywi.ini c:\windows\system32\oumihjkf.ini c:\windows\system32\ovodkgjc.ini c:\windows\system32\phwyjroi.ini c:\windows\system32\plexsgiu.ini c:\windows\system32\plnhrgom.ini c:\windows\system32\pnmrulld.ini c:\windows\system32\pqgfidru.ini c:\windows\system32\pvdwfbng.ini c:\windows\system32\pwvovrjp.ini c:\windows\system32\pxgxhjho.ini c:\windows\system32\qagndqrd.ini c:\windows\system32\qepaisjm.ini c:\windows\system32\qhdyadkw.ini c:\windows\system32\qodibipw.ini c:\windows\system32\quhgvnuu.ini c:\windows\system32\qxcxfdim.ini c:\windows\system32\rbsqxxde.ini c:\windows\system32\rgmpkdch.ini c:\windows\system32\rhibdjoj.ini c:\windows\system32\rivussae.ini c:\windows\system32\rkngaycn.ini c:\windows\system32\rokmcxyn.ini c:\windows\system32\rrbkvffo.ini c:\windows\system32\rrildneq.ini c:\windows\system32\rtbrftia.ini c:\windows\system32\rxqncmti.ini c:\windows\system32\sbuehbma.ini c:\windows\system32\sfpeublv.ini c:\windows\system32\skjonwsv.ini c:\windows\system32\skwtkvbe.ini c:\windows\system32\slduehpk.ini c:\windows\system32\snxekghr.ini c:\windows\system32\sqxpjrxv.ini c:\windows\system32\taskmgr.com c:\windows\system32\tcmonqif.ini c:\windows\system32\tdluxnxb.ini c:\windows\system32\tdtbbnen.ini c:\windows\system32\tektfbsy.ini c:\windows\system32\teruvxts.ini c:\windows\system32\test.ttt c:\windows\system32\tgufxqbx.ini c:\windows\system32\tijpreny.ini c:\windows\system32\tspuyycs.ini c:\windows\system32\ttutv.bak1 c:\windows\system32\ttutv.bak2 c:\windows\system32\ttutv.ini c:\windows\system32\ttutv.ini2 c:\windows\system32\ttutv.tmp c:\windows\system32\tveduoas.ini c:\windows\system32\tvewqkxu.ini c:\windows\system32\tvhtualn.ini c:\windows\system32\ubrtftyv.ini c:\windows\system32\ucajtwqj.ini c:\windows\system32\uckweeys.ini c:\windows\system32\uffjwqfd.ini c:\windows\system32\ukolkpei.ini c:\windows\system32\uniq.tll c:\windows\system32\uolheufs.ini c:\windows\system32\upjngwfo.ini c:\windows\system32\uxvkkqjh.ini c:\windows\system32\uyjhpphv.ini c:\windows\system32\vcewcplb.ini c:\windows\system32\vesduits.ini c:\windows\system32\vfqwiwsx.ini c:\windows\system32\vkexyhlk.ini c:\windows\system32\vmmmhfmy.ini c:\windows\system32\vphhdswf.ini c:\windows\system32\vutrljgq.ini c:\windows\system32\vuuivsgc.ini c:\windows\system32\vyeohuht.ini c:\windows\system32\wbdaadgf.ini c:\windows\system32\wckycxsn.ini c:\windows\system32\whwaluaq.ini c:\windows\system32\wisafdng.ini c:\windows\system32\wkytktgi.ini c:\windows\system32\wlntrtdt.ini c:\windows\system32\wpogpuku.ini c:\windows\system32\wqnbcppv.ini c:\windows\system32\wsomqhmm.ini c:\windows\system32\wvbswcuv.ini c:\windows\system32\wxyvwjnv.ini c:\windows\system32\xbhonvls.ini c:\windows\system32\xvaoyntm.ini c:\windows\system32\xwulsvxr.ini c:\windows\system32\xxpmhxdu.ini c:\windows\system32\yamrwovs.ini c:\windows\system32\yanjvkjo.ini c:\windows\system32\ydyoamsu.ini c:\windows\system32\yeokoymo.ini c:\windows\system32\yeqpwjij.ini c:\windows\system32\yggxgolo.ini c:\windows\system32\yhrdvnla.ini c:\windows\system32\yioajisw.ini c:\windows\system32\yjabtlos.ini c:\windows\system32\yqprwocq.ini c:\windows\system32\yxjxkvqn.ini c:\windows\system32\proquota.exe fehlte Kopie von - c:\windows\ServicePackFiles\i386\proquota.exe wurde wiederhergestellt . ((((((((((((((((((((((( Dateien erstellt von 2009-06-07 bis 2009-07-07 )))))))))))))))))))))))))))))) . 2009-07-07 07:19 . 2009-07-05 19:58 626688 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\AVCBack\msvcr80.dll 2009-07-07 07:19 . 2009-07-05 19:58 548864 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\AVCBack\msvcp80.dll 2009-07-07 07:19 . 2009-07-05 19:58 28672 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\AVCBack\eEmpty.exe 2009-07-07 07:19 . 2009-04-15 17:50 598016 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\AVCBack\avpmapp.exe 2009-07-07 07:19 . 2009-04-14 01:11 323584 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\AVCBack\scan.dll 2009-07-07 07:19 . 2009-03-16 17:28 221184 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\AVCBack\bdfltlib.dll 2009-07-07 07:19 . 2009-01-18 17:57 53248 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\AVCBack\avxdisk.dll 2009-07-07 07:19 . 2009-01-18 17:57 102400 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\AVCBack\bdcore.dll 2009-07-07 07:19 . 2009-01-16 01:54 86528 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\AVCBack\bdc.exe 2009-07-07 07:19 . 2009-01-15 23:51 847872 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\AVCBack\bdupdateservice.dll 2009-07-07 07:19 . 2008-06-30 14:29 106496 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\AVCBack\bdfltlib2k.dll 2009-07-07 07:19 . 2005-10-11 22:00 77824 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\AVCBack\bdupd.dll 2009-07-06 08:19 . 2009-07-06 08:18 410984 ----a-w- c:\windows\system32\deploytk.dll 2009-07-06 08:18 . 2009-07-06 08:18 -------- d-----w- c:\programme\Java 2009-07-06 06:48 . 2009-07-06 06:48 -------- d-----w- c:\dokumente und einstellungen\ko. Songoku 33\Anwendungsdaten\Malwarebytes 2009-07-06 06:48 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-07-06 06:48 . 2009-07-06 06:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-07-06 06:48 . 2009-07-06 06:48 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-07-06 06:48 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-07-06 06:42 . 2009-07-06 06:42 -------- d---a-w- c:\windows\system32\runouce.exe 2009-07-05 20:36 . 2009-07-05 20:36 -------- d-----w- c:\programme\CCleaner 2009-07-05 20:10 . 2009-07-05 20:38 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft 2009-07-05 20:08 . 2008-09-29 10:35 26632 ----a-w- c:\windows\system32\drivers\econceal.sys 2009-07-05 19:58 . 2009-07-05 19:59 5391250 ----a-w- c:\windows\REGBK00.ZIP 2009-07-05 19:58 . 2009-07-05 19:58 626688 ----a-w- c:\windows\system32\msvcr80.dll 2009-07-05 19:58 . 2009-07-05 19:58 626688 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\msvcr80.dll 2009-07-05 19:58 . 2009-07-05 19:58 548864 ----a-w- c:\windows\system32\msvcp80.dll 2009-07-05 19:58 . 2009-07-05 19:58 548864 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\msvcp80.dll 2009-07-05 19:58 . 2009-07-05 19:58 28672 ----a-w- c:\windows\system32\eEmpty.exe 2009-07-05 19:58 . 2009-07-05 19:58 28672 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\eEmpty.exe 2009-07-05 19:58 . 2009-02-03 15:14 245896 ----a-w- c:\windows\system32\drivers\bdfsfltr.sys 2009-07-05 19:58 . 2009-07-05 20:18 15072 ----a-w- c:\windows\WSSPORD.DAT 2009-07-05 19:56 . 2005-10-09 16:53 125440 ----a-w- c:\windows\system32\UNZDLL.DLL 2009-07-05 19:56 . 2005-04-03 11:08 8464 ----a-w- c:\windows\system32\sporder.dll 2009-07-05 19:56 . 2005-04-03 11:08 8464 ----a-w- c:\windows\sporder.dll 2009-07-05 19:56 . 2002-12-18 15:58 32768 ----a-w- c:\windows\system32\esmxlog.dll 2009-07-05 19:56 . 2000-04-03 20:00 130560 ----a-w- c:\windows\system32\ZIPDLL.DLL 2009-07-05 19:56 . 1997-09-18 04:12 8192 ----a-w- c:\windows\sporder.exe 2009-07-05 19:56 . 2009-07-05 19:56 -------- d-----w- c:\windows\system32\FLCSS.EXE 2009-07-05 19:56 . 2009-05-18 17:33 227328 ----a-w- c:\windows\inst_tspx.exe 2009-07-05 19:56 . 2009-05-08 16:34 65536 ----a-w- c:\windows\inst_tsp.exe 2009-07-05 19:56 . 2009-05-08 16:34 524288 ----a-w- c:\windows\system32\mwtsp.dll 2009-07-05 19:56 . 2009-04-01 10:29 632320 ----a-w- c:\windows\system32\eslogon.dll 2009-07-05 19:56 . 2009-07-07 07:24 -------- d-----w- c:\programme\eScan 2009-07-05 19:56 . 2009-07-05 19:56 -------- d-----w- c:\windows\system32\ES_SETUP 2009-07-05 19:42 . 2009-07-05 19:42 -------- d-----w- c:\windows\DF5A03CCD5AA43D8B948D9903F2AF94A.TMP 2009-07-05 19:34 . 2009-07-05 19:34 -------- d-----w- c:\windows\7EC96FCD0C1246D3988AFB802F138BEB.TMP 2009-07-04 09:15 . 2009-07-05 18:43 3072 ----a-w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\e0de003a19.exe 2009-07-03 08:04 . 2009-07-05 18:42 3072 ----a-w- c:\dokumente und einstellungen\ko. Songoku 33\Anwendungsdaten\Macromedia\Common\e0de003a19.exe 2009-06-16 14:48 . 2009-06-16 14:48 256 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_7040580900063D11C8EF10054038389C.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-07-06 07:50 . 2006-12-30 10:15 40558 ----a-w- c:\dokumente und einstellungen\ko. Songoku 33\Anwendungsdaten\wklnhst.dat 2009-07-06 06:59 . 2009-05-16 12:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan 2009-07-05 20:12 . 2009-07-05 19:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld 2009-07-05 19:57 . 2009-07-05 19:57 -------- d-----w- c:\programme\Gemeinsame Dateien\MicroWorld 2009-07-05 19:44 . 2006-12-31 12:09 -------- d-----w- c:\programme\Gemeinsame Dateien\Real 2009-07-05 19:43 . 2008-06-24 16:08 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft 2009-07-05 19:33 . 2009-05-17 06:22 -------- d-----w- c:\programme\Free Window Registry Repair 2009-07-05 19:33 . 2007-09-09 15:26 -------- d-----w- c:\programme\DivX 2009-07-05 19:13 . 2006-08-08 22:59 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-06-11 20:00 . 2006-12-30 09:19 -------- d-----w- c:\programme\Microsoft Works 2009-06-09 15:32 . 2006-08-08 22:54 85558 ----a-w- c:\windows\system32\perfc007.dat 2009-06-09 15:32 . 2006-08-08 22:54 460782 ----a-w- c:\windows\system32\perfh007.dat 2009-06-05 11:40 . 2003-03-18 20:14 499712 ----a-w- c:\windows\system32\msvcp71.dll 2009-06-05 11:40 . 2003-02-21 02:42 348160 ----a-w- c:\windows\system32\msvcr71.dll 2009-06-05 11:40 . 2009-06-05 11:40 -------- d-----w- c:\programme\Real 2009-05-21 14:04 . 2009-05-21 14:04 -------- d-----w- c:\dokumente und einstellungen\ko. Songoku 33\Anwendungsdaten\Reallusion 2009-05-21 14:04 . 2009-05-21 14:04 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\InstallShield 2009-05-21 14:04 . 2006-08-08 22:59 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield 2009-05-21 11:53 . 2007-12-29 19:28 -------- d-----w- c:\programme\Messenger Plus! Live 2009-05-18 08:04 . 2009-05-18 08:04 312 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_E8248885C99617E4FB1749EE604B79AD.dll 2009-05-18 08:04 . 2009-05-18 08:04 548 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_4F14A0541154C5D44821B64ADD886FF5.dll 2009-05-17 18:35 . 2009-05-17 18:35 2287616 ----a-w- c:\windows\system32\TUKernel.exe 2009-05-17 09:35 . 2009-05-17 09:08 -------- d-----w- c:\programme\TuneUp Utilities 2008 2009-05-17 09:08 . 2009-05-17 08:59 306432 ----a-w- c:\windows\system32\TuneUpDefragService.exe 2009-05-17 09:07 . 2008-01-02 21:02 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2009-05-17 09:02 . 2009-05-17 09:02 -------- d-----w- c:\dokumente und einstellungen\ko. Songoku 33\Anwendungsdaten\TuneUp Software 2009-05-17 08:59 . 2009-05-17 08:59 604416 ----a-w- c:\windows\system32\TUProgSt.exe 2009-05-17 08:58 . 2009-05-17 08:58 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software 2009-05-17 08:58 . 2009-01-29 08:58 -------- d-sh--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357} 2009-05-17 08:52 . 2007-09-14 13:30 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2009-05-17 06:15 . 2006-08-08 22:58 -------- d-----w- c:\programme\Gemeinsame Dateien\LightScribe 2009-05-17 06:14 . 2009-05-16 12:46 -------- d-----w- c:\programme\Security Task Manager 2009-05-16 08:51 . 2007-11-05 19:16 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype 2009-05-16 08:50 . 2009-04-23 15:38 -------- d-----w- c:\dokumente und einstellungen\ko. Songoku 33\Anwendungsdaten\Sony 2009-05-16 08:46 . 2006-12-31 12:10 -------- d-----w- c:\programme\QuickTime 2009-05-16 08:46 . 2006-08-16 03:45 -------- d-----w- c:\programme\Project64 1.6 2009-05-16 08:45 . 2009-02-08 16:10 -------- d-----w- c:\programme\NCH Software 2009-05-16 08:37 . 2008-04-08 18:06 -------- d-----w- c:\dokumente und einstellungen\ko. Songoku 33\Anwendungsdaten\HLSW 2009-05-08 16:30 . 2009-07-05 19:57 176128 ----a-w- c:\windows\system32\mwnsp.dll 2009-05-08 16:04 . 2009-07-05 19:57 118784 ----a-w- c:\windows\killproc.exe 2009-05-07 15:32 . 2004-08-04 04:00 348160 ----a-w- c:\windows\system32\localspl.dll 2009-05-06 11:16 . 2009-07-05 19:57 1105920 ----a-w- c:\windows\system32\contfilt.dll 2009-04-29 04:42 . 2006-03-04 04:00 827392 ----a-w- c:\windows\system32\wininet.dll 2009-04-29 04:41 . 2009-02-28 17:24 78336 ----a-w- c:\windows\system32\ieencode.dll 2009-04-19 19:46 . 2005-10-06 03:08 1847296 ----a-w- c:\windows\system32\win32k.sys 2009-04-15 17:50 . 2009-07-05 19:57 598016 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\avpmapp.exe 2009-04-15 14:51 . 2004-08-04 04:00 585216 ----a-w- c:\windows\system32\rpcrt4.dll 2009-04-14 01:11 . 2009-07-05 19:57 323584 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld\eScanBD\scan.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "lxctmon.exe"="c:\programme\Lexmark 5400 Series\lxctmon.exe" [2006-11-22 291760] "eScan Updater"="c:\progra~1\eScan\TRAYICOS.EXE" [2009-05-20 2821120] "MailScan Dispatcher"="c:\progra~1\eScan\LAUNCH.EXE" [2009-05-08 770048] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-06 148888] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "InfoCockpit"="c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2007-01-16 176128] [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoSetActiveDesktop"= 1 (0x1) "NoActiveDesktopChanges"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\eSLogOn] 2009-04-01 10:29 632320 ----a-w- c:\windows\system32\eslogon.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ \0 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "InfoCockpit"=c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash "MSMSGS"="c:\programme\Messenger\msmsgs.exe" /background "msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" /background "cagqqgu"="c:\dokumente und einstellungen\ko. songoku 33\lokale einstellungen\anwendungsdaten\cagqqgu.exe" cagqqgu "RegistryMechanic"=c:\programme\Registry Mechanic\RegMech.exe /H "ICQ"="c:\programme\ICQ6.5\ICQ.exe" silent "ctfmon.exe"=c:\windows\system32\ctfmon.exe "WAB"=c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\e0de003a19.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 "MSPY2002"=c:\windows\system32\IME\PINTLGNT\ImScInst.exe /SYNC "ntiMUI"=c:\programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe "eRecoveryService"=c:\acer\Empowering Technology\eRecovery\eRAgent.exe "RTHDCPL"=RTHDCPL.EXE "FolderView"=rundll32.exe "c:\windows\system32\eassuvir.dll",sitypnow "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_03\bin\jusched.exe" "EzPrint"="c:\programme\Lexmark 5400 Series\ezprint.exe" "LXCTCATS"=rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll,_RunDLLEntry@16 "Lexmark 5400 Series Fax Server"="c:\programme\Lexmark 5400 Series\fm3032.exe" /s "SBAMTray"=c:\programme\Sunbelt Software\VIPRE\SBAMTray.exe "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices-] "p2p networking"=p2pnetworking.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\T-Online\\T-Online_Software_6\\Internet-Telefon\\Phone.exe"= "c:\\StubInstaller.exe"= "c:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\patchget.dat"= "c:\\WINDOWS\\system32\\dpnsvr.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\WINDOWS\\system32\\lxctcoms.exe"= "c:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\game.dat"= "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\PROGRA~1\\eScan\\DOWNLOAD.EXE"= "c:\\PROGRA~1\\eScan\\TRAYICOS.EXE"= "c:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"= "c:\\PROGRA~1\\eScan\\LICENSE.EXE"= R2 EconService;eConServ;c:\progra~1\escan\EconSer.exe [05.07.2009 21:57 364032] R2 eScan-trayicos;eScan Server-Updater;c:\progra~1\eScan\TRAYSSER.EXE [05.07.2009 21:57 90112] R2 eScan Monitor Service;eScan Monitor Service;c:\dokume~1\ALLUSE~1\ANWEND~1\MICROW~1\eScanBD\avpmapp.exe [05.07.2009 21:57 598016] R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [17.05.2009 10:59 604416] R3 econceal;MicroWorld Technologies Network Service;c:\windows\system32\drivers\econceal.sys [05.07.2009 22:08 26632] R3 phaudlwr;Philips Audio Filter;c:\windows\system32\drivers\phaudlwr.sys [29.01.2009 15:35 88704] R3 ProcObsrves;ProcObsrves;c:\progra~1\eScan\ProcObsrves.sys [05.07.2009 21:57 11264] R3 SPC530;Philips SPC530NC PC Camera;c:\windows\system32\drivers\SPC530.sys [29.01.2009 15:35 486912] R3 SPC530m;Philips SPC530NC PC Cameram;c:\windows\system32\drivers\SPC530m.sys [29.01.2009 15:35 7680] S3 Ch2kPS2;Cherry PS/2 Tastatur Treiber (CDI);c:\windows\system32\drivers\Ch2kPS2.sys [26.10.2005 14:48 134446] S3 Ch2kUSB;Cherry USB Treiber für CDI;c:\windows\system32\drivers\Ch2kUSB.sys [29.06.2006 18:18 167566] S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [13.07.2007 12:33 264704] S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [28.02.2007 15:27 17152] S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [28.02.2007 15:26 17536] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] tapisrv REG_MULTI_SZ Tapisrv . Inhalt des "geplante Tasks" Ordners . . |
07.07.2009, 08:40 | #10 |
| Trojaner? Brauche Hilfe (XP) auch noch von Combifix: ------- Zusätzlicher Suchlauf ------- . uStart Page = uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 mStart Page = LSP: %SystemRoot%\system32\mwtsp.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2009-07-07 09:34 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1456) c:\windows\system32\Ati2evxx.dll c:\windows\system32\eSLogOn.dll . Zeit der Fertigstellung: 2009-07-07 9:36 ComboFix-quarantined-files.txt 2009-07-07 07:36 Vor Suchlauf: 18 Verzeichnis(se), 91.589.943.296 Bytes frei Nach Suchlauf: 18 Verzeichnis(se), 91.466.678.272 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(3)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(3)\WINDOWS="Microsoft Windows XP Home Edition" /Execute /fastdetect multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /Execute /fastdetect /TUTag=TV0L11 /Kernel=TUKernel.exe multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition (TuneUp Backup)" /Execute /fastdetect /TUTag=TV0L11-BAK 457 --- E O F --- 2009-07-07 07:22 |
07.07.2009, 08:54 | #11 |
| Trojaner? Brauche Hilfe (XP) Blacklight sagt, 07/07/09 09:42:49 [Info]: BlackLight Engine 2.2.1092 initialized 07/07/09 09:42:49 [Info]: OS: 5.1 build 2600 (Service Pack 3) 07/07/09 09:42:49 [Note]: 7019 4 07/07/09 09:42:49 [Note]: 7005 0 07/07/09 09:42:51 [Note]: 7006 0 07/07/09 09:42:51 [Note]: 7011 22424 07/07/09 09:42:51 [Note]: 7035 0 07/07/09 09:42:51 [Note]: 7026 0 07/07/09 09:42:51 [Note]: 7026 0 07/07/09 09:42:53 [Note]: FSRAW library version 1.7.1024 07/07/09 09:49:27 [Note]: 2000 1012 07/07/09 09:49:27 [Note]: 2000 1012 07/07/09 09:49:27 [Note]: 2000 1012 07/07/09 09:51:04 [Note]: 7007 0 |
07.07.2009, 12:26 | #12 |
/// Malwareteam | Trojaner? Brauche Hilfe (XP) >> Combofix entfernen: Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" (oder, wenn es nicht funktioniert: C:\QooBox löschen) >> Lass folgende Dateien bei www.virustotal.com/de prüfen: c:\windows\system32\runouce.exe c:\dokumente und einstellungen\ko. Songoku 33\Anwendungsdaten\Macromedia\Common\e0de003a19.exe c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_7040580900063 D11C8EF10054038389C.dll c:\windows\killproc.exe Dann: 1. Scanne mit Superantispyware und poste das Log. 2. Mach einen Onlinescan mit Kaspersky und berichte. 3. Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei Monate 4. Erstelle ein neues HJT Log. 5. Was ist mit dem Antivirenprogi, welches nutz DU? Gruss Swiss Geändert von Swisstreasure (07.07.2009 um 12:45 Uhr) |
07.07.2009, 22:18 | #13 |
| Trojaner? Brauche Hilfe (XP) GMER 1.0.15.14972 - http://www.gmer.net Rootkit scan 2009-07-07 23:17:24 Windows 5.1.2600 Service Pack 3 ---- User code sections - GMER 1.0.15 ---- .text c:\progra~1\escan\eConceal.exe[240] advapi32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 01B32B80 .text c:\progra~1\escan\eConceal.exe[240] advapi32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 01B32B3D .text c:\progra~1\escan\eConceal.exe[240] advapi32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 01B32B01 .text c:\progra~1\escan\eConceal.exe[240] ws2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01B32AE6 .text c:\progra~1\escan\eConceal.exe[240] ws2_32.dll!send 71A14C27 5 Bytes JMP 01B32972 .text c:\progra~1\escan\eConceal.exe[240] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01B32A64 .text c:\progra~1\escan\eConceal.exe[240] ws2_32.dll!recv 71A1676F 5 Bytes JMP 01B329AA .text c:\progra~1\escan\eConceal.exe[240] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 01B329E2 .text C:\Programme\Java\jre6\bin\jqs.exe[268] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 020F2AE6 .text C:\Programme\Java\jre6\bin\jqs.exe[268] WS2_32.dll!send 71A14C27 5 Bytes JMP 020F2972 .text C:\Programme\Java\jre6\bin\jqs.exe[268] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 020F2A64 .text C:\Programme\Java\jre6\bin\jqs.exe[268] WS2_32.dll!recv 71A1676F 5 Bytes JMP 020F29AA .text C:\Programme\Java\jre6\bin\jqs.exe[268] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 020F29E2 .text C:\Programme\Java\jre6\bin\jqs.exe[268] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 020F2B80 .text C:\Programme\Java\jre6\bin\jqs.exe[268] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 020F2B3D .text C:\Programme\Java\jre6\bin\jqs.exe[268] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 020F2B01 .text C:\PROGRA~1\eScan\TRAYSSER.EXE[296] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 00F52B80 .text C:\PROGRA~1\eScan\TRAYSSER.EXE[296] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 00F52B3D .text C:\PROGRA~1\eScan\TRAYSSER.EXE[296] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 00F52B01 .text C:\PROGRA~1\eScan\TRAYSSER.EXE[296] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00F52AE6 .text C:\PROGRA~1\eScan\TRAYSSER.EXE[296] WS2_32.dll!send 71A14C27 5 Bytes JMP 00F52972 .text C:\PROGRA~1\eScan\TRAYSSER.EXE[296] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 00F52A64 .text C:\PROGRA~1\eScan\TRAYSSER.EXE[296] WS2_32.dll!recv 71A1676F 5 Bytes JMP 00F529AA .text C:\PROGRA~1\eScan\TRAYSSER.EXE[296] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 00F529E2 .text C:\WINDOWS\system32\Ati2evxx.exe[476] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 01492B80 .text C:\WINDOWS\system32\Ati2evxx.exe[476] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 01492B3D .text C:\WINDOWS\system32\Ati2evxx.exe[476] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 01492B01 .text C:\WINDOWS\system32\Ati2evxx.exe[476] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01492AE6 .text C:\WINDOWS\system32\Ati2evxx.exe[476] WS2_32.dll!send 71A14C27 5 Bytes JMP 01492972 .text C:\WINDOWS\system32\Ati2evxx.exe[476] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01492A64 .text C:\WINDOWS\system32\Ati2evxx.exe[476] WS2_32.dll!recv 71A1676F 5 Bytes JMP 014929AA .text C:\WINDOWS\system32\Ati2evxx.exe[476] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 014929E2 .text C:\WINDOWS\system32\lxctcoms.exe[680] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 012F2B80 .text C:\WINDOWS\system32\lxctcoms.exe[680] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 012F2B3D .text C:\WINDOWS\system32\lxctcoms.exe[680] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 012F2B01 .text C:\WINDOWS\system32\lxctcoms.exe[680] ws2_32.dll!closesocket 71A13E2B 5 Bytes JMP 012F2AE6 .text C:\WINDOWS\system32\lxctcoms.exe[680] ws2_32.dll!send 71A14C27 5 Bytes JMP 012F2972 .text C:\WINDOWS\system32\lxctcoms.exe[680] ws2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 012F2A64 .text C:\WINDOWS\system32\lxctcoms.exe[680] ws2_32.dll!recv 71A1676F 5 Bytes JMP 012F29AA .text C:\WINDOWS\system32\lxctcoms.exe[680] ws2_32.dll!WSASend 71A168FA 5 Bytes JMP 012F29E2 .text C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe[956] advapi32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 02412B80 .text C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe[956] advapi32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 02412B3D .text C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe[956] advapi32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 02412B01 .text C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe[956] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 02412AE6 .text C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe[956] WS2_32.dll!send 71A14C27 5 Bytes JMP 02412972 .text C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe[956] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 02412A64 .text C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe[956] WS2_32.dll!recv 71A1676F 5 Bytes JMP 024129AA .text C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe[956] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 024129E2 .text C:\WINDOWS\Explorer.EXE[1092] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 01AC2B80 .text C:\WINDOWS\Explorer.EXE[1092] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 01AC2B3D .text C:\WINDOWS\Explorer.EXE[1092] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 01AC2B01 .text C:\WINDOWS\Explorer.EXE[1092] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01AC2AE6 .text C:\WINDOWS\Explorer.EXE[1092] WS2_32.dll!send 71A14C27 5 Bytes JMP 01AC2972 .text C:\WINDOWS\Explorer.EXE[1092] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01AC2A64 .text C:\WINDOWS\Explorer.EXE[1092] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01AC29AA .text C:\WINDOWS\Explorer.EXE[1092] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01AC29E2 .text C:\PROGRA~1\eScan\consctl.exe[1180] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 01152B80 .text C:\PROGRA~1\eScan\consctl.exe[1180] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 01152B3D .text C:\PROGRA~1\eScan\consctl.exe[1180] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 01152B01 .text C:\PROGRA~1\eScan\consctl.exe[1180] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01152AE6 .text C:\PROGRA~1\eScan\consctl.exe[1180] WS2_32.dll!send 71A14C27 5 Bytes JMP 01152972 .text C:\PROGRA~1\eScan\consctl.exe[1180] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01152A64 .text C:\PROGRA~1\eScan\consctl.exe[1180] WS2_32.dll!recv 71A1676F 5 Bytes JMP 011529AA .text C:\PROGRA~1\eScan\consctl.exe[1180] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 011529E2 .text C:\PROGRA~1\eScan\TRAYICOS.EXE[1956] advapi32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 014D2B80 .text C:\PROGRA~1\eScan\TRAYICOS.EXE[1956] advapi32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 014D2B3D .text C:\PROGRA~1\eScan\TRAYICOS.EXE[1956] advapi32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 014D2B01 .text C:\PROGRA~1\eScan\TRAYICOS.EXE[1956] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 014D2AE6 .text C:\PROGRA~1\eScan\TRAYICOS.EXE[1956] WS2_32.dll!send 71A14C27 5 Bytes JMP 014D2972 .text C:\PROGRA~1\eScan\TRAYICOS.EXE[1956] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 014D2A64 .text C:\PROGRA~1\eScan\TRAYICOS.EXE[1956] WS2_32.dll!recv 71A1676F 5 Bytes JMP 014D29AA .text C:\PROGRA~1\eScan\TRAYICOS.EXE[1956] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 014D29E2 .text C:\Programme\Java\jre6\bin\jusched.exe[1992] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 00C82B80 .text C:\Programme\Java\jre6\bin\jusched.exe[1992] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 00C82B3D .text C:\Programme\Java\jre6\bin\jusched.exe[1992] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 00C82B01 .text C:\Programme\Java\jre6\bin\jusched.exe[1992] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00C82AE6 .text C:\Programme\Java\jre6\bin\jusched.exe[1992] WS2_32.dll!send 71A14C27 5 Bytes JMP 00C82972 .text C:\Programme\Java\jre6\bin\jusched.exe[1992] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 00C82A64 .text C:\Programme\Java\jre6\bin\jusched.exe[1992] WS2_32.dll!recv 71A1676F 5 Bytes JMP 00C829AA .text C:\Programme\Java\jre6\bin\jusched.exe[1992] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 00C829E2 .text C:\Programme\Windows Live\Contacts\wlcomm.exe[2144] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 03222B80 .text C:\Programme\Windows Live\Contacts\wlcomm.exe[2144] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 03222B3D .text C:\Programme\Windows Live\Contacts\wlcomm.exe[2144] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 03222B01 .text C:\Programme\Windows Live\Contacts\wlcomm.exe[2144] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 03222AE6 .text C:\Programme\Windows Live\Contacts\wlcomm.exe[2144] WS2_32.dll!send 71A14C27 5 Bytes JMP 03222972 .text C:\Programme\Windows Live\Contacts\wlcomm.exe[2144] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 03222A64 .text C:\Programme\Windows Live\Contacts\wlcomm.exe[2144] WS2_32.dll!recv 71A1676F 5 Bytes JMP 032229AA .text C:\Programme\Windows Live\Contacts\wlcomm.exe[2144] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 032229E2 .text C:\WINDOWS\System32\TUProgSt.exe[2364] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 00E22B80 .text C:\WINDOWS\System32\TUProgSt.exe[2364] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 00E22B3D .text C:\WINDOWS\System32\TUProgSt.exe[2364] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 00E22B01 .text C:\WINDOWS\System32\TUProgSt.exe[2364] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00E22AE6 .text C:\WINDOWS\System32\TUProgSt.exe[2364] WS2_32.dll!send 71A14C27 5 Bytes JMP 00E22972 .text C:\WINDOWS\System32\TUProgSt.exe[2364] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 00E22A64 .text C:\WINDOWS\System32\TUProgSt.exe[2364] WS2_32.dll!recv 71A1676F 5 Bytes JMP 00E229AA .text C:\WINDOWS\System32\TUProgSt.exe[2364] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 00E229E2 .text C:\WINDOWS\system32\wdfmgr.exe[2416] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 008F2B80 .text C:\WINDOWS\system32\wdfmgr.exe[2416] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 008F2B3D .text C:\WINDOWS\system32\wdfmgr.exe[2416] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 008F2B01 .text C:\WINDOWS\system32\wdfmgr.exe[2416] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 008F2AE6 .text C:\WINDOWS\system32\wdfmgr.exe[2416] WS2_32.dll!send 71A14C27 5 Bytes JMP 008F2972 .text C:\WINDOWS\system32\wdfmgr.exe[2416] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 008F2A64 .text C:\WINDOWS\system32\wdfmgr.exe[2416] WS2_32.dll!recv 71A1676F 5 Bytes JMP 008F29AA .text C:\WINDOWS\system32\wdfmgr.exe[2416] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 008F29E2 .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] kernel32.dll!LoadResource 7C80A055 7 Bytes JMP 28001E20 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] kernel32.dll!FindResourceExW 7C80AD28 7 Bytes JMP 28001C60 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] kernel32.dll!FindResourceW 7C80BC6E 7 Bytes JMP 28001BE0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] kernel32.dll!SizeofResource 7C80BD09 7 Bytes JMP 28001EE0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] kernel32.dll!FindResourceA 7C80BF29 7 Bytes JMP 28001CF0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] kernel32.dll!LockResource 7C80CD37 5 Bytes JMP 28001F50 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] kernel32.dll!CreateEventA 7C8308B5 5 Bytes JMP 28001840 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] kernel32.dll!FindResourceExA 7C835FA8 7 Bytes JMP 28001D80 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 01162B80 .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] ADVAPI32.dll!CryptDeriveKey 77DB9FFD 7 Bytes JMP 28001000 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 01162B3D .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 01162B01 .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] USER32.dll!GetWindowLongW 7E3688A6 7 Bytes JMP 28006A20 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] USER32.dll!PeekMessageW 7E36929B 5 Bytes JMP 280045E0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] USER32.dll!SetWindowPlacement 7E36DE46 5 Bytes JMP 28005DC0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] USER32.dll!CreateDialogParamW 7E36EA3B 5 Bytes JMP 28006040 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] USER32.dll!LoadImageW 7E377B97 5 Bytes JMP 28006690 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] |
07.07.2009, 22:19 | #14 |
| Trojaner? Brauche Hilfe (XP) USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 28003CA0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] USER32.dll!SetWindowRgn 7E37E528 7 Bytes JMP 28005F00 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] USER32.dll!LoadIconW 7E37E8BC 5 Bytes JMP 28006880 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 28006230 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] USER32.dll!TrackPopupMenuEx 7E3BCF62 5 Bytes JMP 28004EC0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01162AE6 .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] WS2_32.dll!send 71A14C27 5 Bytes JMP 01162972 .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01162A64 .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] WS2_32.dll!recv 71A1676F 5 Bytes JMP 011629AA .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 011629E2 .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] SHELL32.dll!Shell_NotifyIconW 7E6DA5BF 5 Bytes JMP 28003400 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] ole32.dll!CoInitializeEx 774CEF7B 5 Bytes JMP 28002260 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 28002600 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] ole32.dll!CoRegisterClassObject 774E7E90 5 Bytes JMP 28002360 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] WININET.dll!InternetCloseHandle 441EDA71 5 Bytes JMP 2800A600 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] WININET.dll!HttpOpenRequestA 441F4339 5 Bytes JMP 2800A2C0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] WININET.dll!InternetReadFile 441FABCC 5 Bytes JMP 2800A450 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3060] WININET.dll!HttpSendRequestA 441FCD50 5 Bytes JMP 2800A530 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou) .text C:\PROGRA~1\ICQ6.5\ICQ.exe[3068] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 06A72B80 .text C:\PROGRA~1\ICQ6.5\ICQ.exe[3068] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 06A72B3D .text C:\PROGRA~1\ICQ6.5\ICQ.exe[3068] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 06A72B01 .text C:\PROGRA~1\ICQ6.5\ICQ.exe[3068] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 06A72AE6 .text C:\PROGRA~1\ICQ6.5\ICQ.exe[3068] WS2_32.dll!send 71A14C27 5 Bytes JMP 06A72972 .text C:\PROGRA~1\ICQ6.5\ICQ.exe[3068] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 06A72A64 .text C:\PROGRA~1\ICQ6.5\ICQ.exe[3068] WS2_32.dll!recv 71A1676F 5 Bytes JMP 06A729AA .text C:\PROGRA~1\ICQ6.5\ICQ.exe[3068] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 06A729E2 .text C:\PROGRA~1\eScan\Vista\eScanMon.exe[3408] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 012F2B80 .text C:\PROGRA~1\eScan\Vista\eScanMon.exe[3408] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 012F2B3D .text C:\PROGRA~1\eScan\Vista\eScanMon.exe[3408] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 012F2B01 .text C:\PROGRA~1\eScan\Vista\eScanMon.exe[3408] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 012F2AE6 .text C:\PROGRA~1\eScan\Vista\eScanMon.exe[3408] WS2_32.dll!send 71A14C27 5 Bytes JMP 012F2972 .text C:\PROGRA~1\eScan\Vista\eScanMon.exe[3408] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 012F2A64 .text C:\PROGRA~1\eScan\Vista\eScanMon.exe[3408] WS2_32.dll!recv 71A1676F 5 Bytes JMP 012F29AA .text C:\PROGRA~1\eScan\Vista\eScanMon.exe[3408] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 012F29E2 .text C:\WINDOWS\System32\alg.exe[4092] ADVAPI32.dll!CryptDestroyKey 77DB9EBC 7 Bytes JMP 00B92B80 .text C:\WINDOWS\System32\alg.exe[4092] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 00B92B3D .text C:\WINDOWS\System32\alg.exe[4092] ADVAPI32.dll!CryptEncrypt 77DBE360 7 Bytes JMP 00B92B01 .text C:\WINDOWS\System32\alg.exe[4092] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00B92AE6 .text C:\WINDOWS\System32\alg.exe[4092] WS2_32.dll!send 71A14C27 5 Bytes JMP 00B92972 .text C:\WINDOWS\System32\alg.exe[4092] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 00B92A64 .text C:\WINDOWS\System32\alg.exe[4092] WS2_32.dll!recv 71A1676F 5 Bytes JMP 00B929AA .text C:\WINDOWS\System32\alg.exe[4092] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 00B929E2 ---- Devices - GMER 1.0.15 ---- AttachedDevice fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) Device \Driver\ACPI \Device\00000052 863D91C0 Device \Driver\ACPI \Device\00000053 863D91C0 Device \Driver\ACPI \Device\00000046 863D91C0 Device \Driver\ACPI \Device\00000060 863D91C0 Device \Driver\ACPI \Device\00000054 863D91C0 Device \Driver\ACPI \Device\00000047 863D91C0 Device \Driver\ACPI \Device\00000055 863D91C0 Device \Driver\ACPI \Device\00000048 863D91C0 Device \Driver\ACPI \Device\00000062 863D91C0 Device \Driver\ACPI \Device\00000056 863D91C0 Device \Driver\ACPI \Device\00000063 863D91C0 Device \Driver\ACPI \Device\00000057 863D91C0 Device \Driver\ACPI \Device\00000066 863D91C0 Device \Driver\ACPI \Device\00000067 863D91C0 Device \Driver\ACPI \Device\00000069 863D91C0 Device \Driver\ACPI \Device\0000004e 863D91C0 Device \Driver\ACPI \Device\0000005c 863D91C0 Device \Driver\ACPI \Device\0000004f 863D91C0 Device \Driver\ACPI \Device\0000006a 863D91C0 Device \Driver\ACPI \Device\0000006b 863D91C0 Device \Driver\ACPI \Device\0000005f 863D91C0 Device \Driver\ACPI \Device\0000006c 863D91C0 Device \Driver\ACPI \Device\0000006e 863D91C0 Device mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation) Device \Driver\ACPI \Device\0000006f 863D91C0 Device ECAC9D20 ---- System - GMER 1.0.15 ---- SSDT \??\C:\PROGRA~1\eScan\ProcObsrves.sys (ProcObsrves/MicroWorld Technologies Inc.) ZwCreateSection [0xED3AAE50] SSDT \??\C:\PROGRA~1\eScan\ProcObsrves.sys (ProcObsrves/MicroWorld Technologies Inc.) ZwTerminateProcess [0xED3AB120] ---- Threads - GMER 1.0.15 ---- Thread System [4:2336] 8640F1A0 Thread System [4:1892] 863F9F9F Thread System [4:2680] 8642D517 Thread System [4:3308] 863FCC11 ---- EOF - GMER 1.0.15 ---- GMER |
07.07.2009, 22:21 | #15 |
| Trojaner? Brauche Hilfe (XP) Hatte Vipre Vollversiuon drauf, jetzt eScan voillversion, morgen furhe gleich das was du geschreiben hast dazu, als alternativ. Kann aber auch beide wieder löschen, wenn du mir eins sagstm, welches wohl besser ist, .. Danke fuer deine Hilfe, Phil. |
Themen zu Trojaner? Brauche Hilfe (XP) |
beim starten, brauche, brauche hilfe, compuer, computer, cpu-auslastung, deinstalliert, erreiche, firefox, folge, folgendes, funktioniert, google, hohe, komplette, modus, prozesse, starte, starten, stunde, tagen, troja, trojaner, trojaner?, wirklich |