|
Plagegeister aller Art und deren Bekämpfung: WORM/rjump.CWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
02.08.2009, 19:13 | #1 |
| WORM/rjump.C Hallo allerseits! Ich habe gerade über den Rechner meiner Freundin Antivir laufen lassen und das hat folgenden Fund gemeldet: WORM/rjump.C Was ist das für ein Plagegeist, wie bekomm ich ihn los und was bewirkt der? Ich weiß zwar nicht, wie lange ich heute noch an diesem Rechner hier sitze (meine Freundin kann sowas nämlich nicht), aber ich melde mich bei Antworten auf jeden Fall, sobald ich wieder hier bin. Hier noch ein HiJack Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:09:45, on 02.08.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\windows\System32\smss.exe C:\windows\system32\winlogon.exe C:\windows\system32\services.exe C:\windows\system32\lsass.exe C:\windows\system32\svchost.exe C:\windows\System32\svchost.exe C:\windows\system32\spoolsv.exe C:\windows\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\System32\hkcmd.exe C:\windows\SOUNDMAN.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Linksys\Linksys Updater\bin\LinksysUpdater.exe C:\windows\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Pure Networks Shared\Platform\nmsrvc.exe C:\windows\system32\java.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\Programme\trillian\trillian.exe C:\Programme\TClock.exe C:\windows\System32\svchost.exe C:\Programme\Avira\AntiVir Desktop\avscan.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: T-online.lnk = ? O4 - Startup: Trillian.lnk = C:\Programme\trillian\trillian.exe O4 - Startup: Verknüpfung mit firefox.lnk = C:\Programme\Mozilla Firefox\firefox.exe O4 - Startup: Verknüpfung mit TClock.lnk = C:\Programme\TClock.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{1307E52B-868E-4978-AEB6-95C8AC2169AF}: NameServer = 217.0.43.1 217.0.43.193 O17 - HKLM\System\CS1\Services\Tcpip\..\{1307E52B-868E-4978-AEB6-95C8AC2169AF}: NameServer = 217.0.43.1 217.0.43.193 O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: Linksys Updater (LinksysUpdater) - Unknown owner - C:\Programme\Linksys\Linksys Updater\bin\LinksysUpdater.exe O23 - Service: Pure Networks Platform Service (nmservice) - Pure Networks, Inc. - C:\Programme\Gemeinsame Dateien\Pure Networks Shared\Platform\nmsrvc.exe -- End of file - 4185 bytes Gruß Minksi |
02.08.2009, 19:28 | #2 | |||
| WORM/rjump.C Hallo und
__________________Zitat:
Zitat:
Nach Neustart kann sie wieder aktiviert werden. Zitat:
ThreatExpert Report: Worm.RJump!sd5, Worm.Win32.RJump.c, W32.Rajump, W32/RJump.worm, WORM_RJUMP.A Klicke auf "Für alle Neuen" in meiner Signatur und arbeite die komplette Liste unter Punkt 2 ab. ciao, andreas
__________________ |
02.08.2009, 21:07 | #3 |
| WORM/rjump.C Okay - danke für Deine Antwort.
__________________Systemwiederherstellung ist deaktiviert. CCleaner durchgeführt. Malwarebytes: Code:
ATTFilter Malwarebytes' Anti-Malware 1.39 Datenbank Version: 2547 Windows 5.1.2600 Service Pack 2 02.08.2009 22:02:31 mbam-log-2009-08-02 (22-02-31).txt Scan-Methode: Vollständiger Scan (C:\|F:\|) Durchsuchte Objekte: 118426 Laufzeit: 52 minute(s), 18 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Gruß Minksi |
02.08.2009, 21:10 | #4 |
| WORM/rjump.C Rsit info.txt Code:
ATTFilter info.txt logfile of random's system information tool 1.06 2009-08-02 22:07:50 ======Uninstall list====== -->C:\WINDOWS\IsUn0407.exe -fC:\WINDOWS\orun32.isu -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Ad-Aware-->"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{7972B2E5-3E09-4E5E-81B7-FE5819D6772F}\Ad-AwareAE.exe" REMOVE=TRUE MODIFY=FALSE Ad-Aware-->C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{7972B2E5-3E09-4E5E-81B7-FE5819D6772F}\Ad-AwareAE.exe Adobe Flash Player 10 ActiveX-->C:\windows\system32\Macromed\Flash\uninstall_activeX.exe Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe Adobe Reader 8.1.1-->MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A81100000003} Adobe® Photoshop® Album Starter Edition 3.2-->MsiExec.exe /I{A654A805-41D9-40C7-AA46-4AF04F044D61} Apple Mobile Device Support-->MsiExec.exe /I{8355F970-601D-442D-A79B-1D7DB4F24CAD} Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033} ArcSoft Panorama Maker 4-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D45E8C45-B601-4A80-AFD8-E16338744DE1}\Setup.exe" -l0x7 Avance AC'97 Audio-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" REMOVE Avanquest update-->"C:\Programme\InstallShield Installation Information\{76E41F43-59D2-4F30-BA42-9A762EE1E8DE}\Setup.exe" -runfromtemp -l0x0007 -removeonly Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE bhv Grundschule total 2009-->C:\Programme\bhv\Grundschule total 2009 Starter\uninst.exe Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B} BurnAware Free 2.3.6-->"C:\Programme\BurnAware Free\unins000.exe" CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe" CDex extraction audio-->"C:\Programme\CDex_170b2\uninstall.exe" Epson Easy Photo Print 2-->C:\Programme\InstallShield Installation Information\{DEDB47A3-C988-4A43-A645-E2CEA571E680}\SETUP.exe -runfromtemp -l0x0007 UNINST -removeonly EPSON Scan-->C:\Programme\epson\escndv\setup\setup.exe /r EPSON SX100 Series Printer Uninstall-->C:\windows\System32\spool\DRIVERS\W32X86\3\E_FINSEDE.EXE /R /APD /P:"EPSON SX100 Series" File Uploader-->MsiExec.exe /X{237CD223-1B9D-47E8-A76C-E478B83CCEA2} HijackThis 2.0.2-->"C:\Programme\HiJackThis\HijackThis.exe" /uninstall Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe" Hotfix for Windows XP (KB926239)-->"C:\WINDOWS\$NtUninstallKB926239$\spuninst\spuninst.exe" Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe" HP USB Disk Storage Format Tool-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0E0DF90C-D0BA-4C89-9262-AD78D1A3DE51}\Setup.exe" -l0x9 anything Intel Application Accelerator-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9984DF60-1C5B-11D3-ACA1-908A4FC10801}\Setup.exe" -INTELUNINST Intel(R) Extreme Graphics Driver Software-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{8A708DD8-A5E6-11D4-A706-000629E95E20}\SETUP.EXE" -inteluninstall Intel(R) PRO Ethernet Adapter and Software-->Prounstl.exe IsoBuster 2.5-->"C:\Programme\Smart Projects\IsoBuster\Uninst\unins000.exe" iTunes-->MsiExec.exe /I{5D601655-6D54-4384-B52C-17EC5385FBBD} Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216013FF} Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030} Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050} Linksys EasyLink Advisor-->"C:\Programme\InstallShield Installation Information\{7FE3214C-283E-40C6-A8D5-CB773110090C}\setup.exe" -runfromtemp -l0x0407 -removeonly Linksys EasyLink Advisor-->MsiExec.exe /I{7FE3214C-283E-40C6-A8D5-CB773110090C} Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe" Microsoft .NET Framework 2.0 Language Pack - DEU-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0 Language Pack - DEU\install.exe Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe Microsoft .NET Framework 3.0-->C:\windows\Microsoft.NET\Framework\v3.0\Microsoft .NET Framework 3.0\setup.exe Microsoft .NET Framework 3.0-->MsiExec.exe /X{15095BF3-A3D7-4DDF-B193-3A496881E003} Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe" Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475} Mozilla Firefox (3.0.11)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe Mozilla Thunderbird (2.0.0.22)-->C:\Programme\Mozilla Thunderbird\uninstall\helper.exe MSXML 6 Service Pack 2 (KB954459)-->MsiExec.exe /I{1A528690-6A2D-4BC5-B143-8C4AE8D19D96} neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B} Nikon Message Center-->MsiExec.exe /X{D2FCC1AE-6311-47C5-8130-C6C66D77DD71} Nikon Transfer-->MsiExec.exe /X{E9757890-7EC5-46C8-99AB-B00F07B6525C} OpenOffice.org 3.1-->MsiExec.exe /I{D765F1CE-5AE5-4C47-B134-AE58AC474740} Picture Control Utility-->MsiExec.exe /X{87441A59-5E64-4096-A170-14EFE67200C3} QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68} Sicherheitsupdate für Step by Step Interactive Training (KB898458)-->"C:\WINDOWS\$NtUninstallKB898458$\spuninst\spuninst.exe" Sicherheitsupdate für Step by Step Interactive Training (KB923723)-->"C:\WINDOWS\$NtUninstallKB923723$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB911564)-->"C:\WINDOWS\$NtUninstallKB911564$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 9 (KB911565)-->"C:\WINDOWS\$NtUninstallKB911565$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB890046)-->"C:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB893756)-->"C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB896358)-->"C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB896423)-->"C:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB896424)-->"C:\WINDOWS\$NtUninstallKB896424$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB896428)-->"C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB899587)-->"C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB899591)-->"C:\WINDOWS\$NtUninstallKB899591$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB900725)-->"C:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB901017)-->"C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB901214)-->"C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB904706)-->"C:\WINDOWS\$NtUninstallKB904706$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB905414)-->"C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB905749)-->"C:\WINDOWS\$NtUninstallKB905749$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB908519)-->"C:\WINDOWS\$NtUninstallKB908519$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB911562)-->"C:\WINDOWS\$NtUninstallKB911562$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB911927)-->"C:\WINDOWS\$NtUninstallKB911927$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB912919)-->"C:\WINDOWS\$NtUninstallKB912919$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB913580)-->"C:\WINDOWS\$NtUninstallKB913580$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB914388)-->"C:\WINDOWS\$NtUninstallKB914388$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB914389)-->"C:\WINDOWS\$NtUninstallKB914389$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB917344)-->"C:\WINDOWS\$NtUninstallKB917344$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB917422)-->"C:\WINDOWS\$NtUninstallKB917422$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB917953)-->"C:\WINDOWS\$NtUninstallKB917953$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB919007)-->"C:\WINDOWS\$NtUninstallKB919007$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB920670)-->"C:\WINDOWS\$NtUninstallKB920670$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB920683)-->"C:\WINDOWS\$NtUninstallKB920683$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB920685)-->"C:\WINDOWS\$NtUninstallKB920685$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB921398)-->"C:\WINDOWS\$NtUninstallKB921398$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB921883)-->"C:\WINDOWS\$NtUninstallKB921883$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB922616)-->"C:\WINDOWS\$NtUninstallKB922616$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB922819)-->"C:\WINDOWS\$NtUninstallKB922819$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923191)-->"C:\WINDOWS\$NtUninstallKB923191$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923414)-->"C:\WINDOWS\$NtUninstallKB923414$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf Sicherheitsupdate für Windows XP (KB924191)-->"C:\WINDOWS\$NtUninstallKB924191$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB924496)-->"C:\WINDOWS\$NtUninstallKB924496$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB944338-v2)-->"C:\WINDOWS\$NtUninstallKB944338-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969897)-->"C:\WINDOWS\$NtUninstallKB969897$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe" Sony Ericsson PC Suite 4.010.00-->C:\Programme\InstallShield Installation Information\{2FFE93F0-BB72-4E52-8761-354D1AAA9387}\Setup.exe -runfromtemp -l0x0007 -removeonly Spybot - Search & Destroy-->"C:\Programme\Spybot - Search & Destroy\unins000.exe" Trillian-->C:\Programme\Trillian\trillian.exe /uninstall Update für Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe" Update für Windows XP (KB908531)-->"C:\WINDOWS\$NtUninstallKB908531$\spuninst\spuninst.exe" Update für Windows XP (KB910437)-->"C:\WINDOWS\$NtUninstallKB910437$\spuninst\spuninst.exe" Update für Windows XP (KB911280)-->"C:\WINDOWS\$NtUninstallKB911280$\spuninst\spuninst.exe" Update für Windows XP (KB925720)-->"C:\WINDOWS\$NtUninstallKB925720$\spuninst\spuninst.exe" Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe" Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe" ViewNX-->MsiExec.exe /X{F007CBCE-D714-4C0B-8CE9-9B0D78116468} VLC media player 0.9.9-->C:\Programme\VideoLAN\VLC\uninstall.exe Windows Communication Foundation-->MsiExec.exe /X{491DD792-AD81-429C-9EB4-86DD3D22E333} Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe" Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe" Windows Presentation Foundation-->MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840} Windows Workflow Foundation-->MsiExec.exe /I{7D1B85BD-AA07-48B8-808D-67A4067FC6BD} Windows XP Service Pack 2-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe Windows XP-Hotfix - KB873333-->C:\WINDOWS\$NtUninstallKB873333$\spuninst\spuninst.exe Windows XP-Hotfix - KB873339-->C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe Windows XP-Hotfix - KB885835-->C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe Windows XP-Hotfix - KB885836-->C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe Windows XP-Hotfix - KB888302-->C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe Windows XP-Hotfix - KB890859-->"C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe" Windows XP-Hotfix - KB891781-->C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe WinRAR Archivierer-->C:\Programme\WinRAR\uninstall.exe xp-AntiSpy 3.97-3-->C:\Programme\xp-AntiSpy\Uninstall.exe =====HijackThis Backups===== O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll [2009-07-01] O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (file missing) [2009-07-01] O23 - Service: ASKUpgrade - Unknown owner - C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe [2009-07-01] O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 [2009-07-01] O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll [2009-07-01] O4 - HKLM\..\Run: [BVRPLiveUpdate] C:\Programme\Avanquest update\Engine\Setup.exe -s /PATCH,/SRCUPDATEC:\DOKUME~1\ALLUSE~1\ANWEND~1\SONYER~1\SONYER~1\LIVEUP~1\LISTOF~1.DAT [2009-07-01] O23 - Service: ASKService - Unknown owner - C:\Programme\AskBarDis\bar\bin\AskService.exe [2009-07-01] O23 - Service: ASKUpgrade - Unknown owner - C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe [2009-07-11] O23 - Service: ASKService - Unknown owner - C:\Programme\AskBarDis\bar\bin\AskService.exe [2009-07-11] R3 - URLSearchHook: (no name) - - (no file) [2009-08-02] ======Hosts File====== 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com ======Security center information====== AV: AntiVir Desktop (disabled) (outdated) ======System event log====== Computer Name: IHREFIRM-EEFXJ0 Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Gatewaydienst auf Anwendungsebene" gesendet. Record Number: 2776 Source Name: Service Control Manager Time Written: 20090629185219.000000+120 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: IHREFIRM-EEFXJ0 Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "RAS-Verbindungsverwaltung" gesendet. Record Number: 2775 Source Name: Service Control Manager Time Written: 20090629185218.000000+120 Event Type: Informationen User: IHREFIRM-EEFXJ0\Administrator Computer Name: IHREFIRM-EEFXJ0 Event Code: 7036 Message: Dienst "Telefonie" befindet sich jetzt im Status "Ausgeführt". Record Number: 2774 Source Name: Service Control Manager Time Written: 20090629185218.000000+120 Event Type: Informationen User: Computer Name: IHREFIRM-EEFXJ0 Event Code: 7036 Message: Dienst "SSDP-Suchdienst" befindet sich jetzt im Status "Ausgeführt". Record Number: 2773 Source Name: Service Control Manager Time Written: 20090629185218.000000+120 Event Type: Informationen User: Computer Name: IHREFIRM-EEFXJ0 Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "SSDP-Suchdienst" gesendet. Record Number: 2772 Source Name: Service Control Manager Time Written: 20090629185217.000000+120 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM =====Application event log===== Computer Name: IHREFIRM-EEFXJ0 Event Code: 2003 Message: EAPOL-Dienst wird ausgeführt Record Number: 1212 Source Name: EAPOL Time Written: 20090712102825.000000+120 Event Type: Informationen User: Computer Name: IHREFIRM-EEFXJ0 Event Code: 1 Message: Service successfully started. Record Number: 1211 Source Name: Pure Networks Platform Service Time Written: 20090712102824.000000+120 Event Type: Informationen User: Computer Name: IHREFIRM-EEFXJ0 Event Code: 1 Message: Record Number: 1210 Source Name: Bonjour Service Time Written: 20090712102750.000000+120 Event Type: Informationen User: Computer Name: IHREFIRM-EEFXJ0 Event Code: 302 Message: msnmsgr (200) \\.\C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\nicolet.71@hotmail.de\SharingMetadata\Working\database_FC7C_36AC_7C36_6196\dfsr.db: Das Datenbankmodul hat erfolgreich die Schritte zur Wiederherstellung abgeschlossen. Record Number: 1209 Source Name: ESENT Time Written: 20090712004802.000000+120 Event Type: Informationen User: Computer Name: IHREFIRM-EEFXJ0 Event Code: 301 Message: msnmsgr (200) \\.\C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\nicolet.71@hotmail.de\SharingMetadata\Working\database_FC7C_36AC_7C36_6196\dfsr.db: Das Datenbankmodul gibt die Protokolldatei \\.\C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\nicolet.71@hotmail.de\SharingMetadata\Working\database_FC7C_36AC_7C36_6196\fsr.log wieder. Record Number: 1208 Source Name: ESENT Time Written: 20090712004801.000000+120 Event Type: Informationen User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\QuickTime\QTSystem\;C:\Programme\Smart Projects\IsoBuster "windir"=%SystemRoot% "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=15 "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 7, GenuineIntel "PROCESSOR_REVISION"=0207 "NUMBER_OF_PROCESSORS"=1 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "FP_NO_HOST_CHECK"=NO "CLASSPATH"=.;C:\Programme\Java\jre6\lib\ext\QTJava.zip "QTJAVA"=C:\Programme\Java\jre6\lib\ext\QTJava.zip -----------------EOF----------------- |
02.08.2009, 21:12 | #5 |
| WORM/rjump.C log.txt Code:
ATTFilter Logfile of random's system information tool 1.06 (written by random/random) Run by Administrator at 2009-08-02 22:07:27 Microsoft Windows XP Professional Service Pack 2 System drive C: has 32 GB (56%) free of 57 GB Total RAM: 504 MB (53% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:07:45, on 02.08.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\windows\System32\smss.exe C:\windows\system32\winlogon.exe C:\windows\system32\services.exe C:\windows\system32\lsass.exe C:\windows\system32\svchost.exe C:\windows\System32\svchost.exe C:\windows\system32\spoolsv.exe C:\windows\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\System32\hkcmd.exe C:\windows\SOUNDMAN.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Linksys\Linksys Updater\bin\LinksysUpdater.exe C:\windows\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Pure Networks Shared\Platform\nmsrvc.exe C:\windows\system32\java.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\Programme\trillian\trillian.exe C:\Programme\TClock.exe C:\windows\System32\svchost.exe C:\Dokumente und Einstellungen\Administrator\Desktop\RSIT.exe C:\Programme\HiJackThis\Administrator.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: T-online.lnk = ? O4 - Startup: Trillian.lnk = C:\Programme\trillian\trillian.exe O4 - Startup: Verknüpfung mit firefox.lnk = C:\Programme\Mozilla Firefox\firefox.exe O4 - Startup: Verknüpfung mit TClock.lnk = C:\Programme\TClock.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{1307E52B-868E-4978-AEB6-95C8AC2169AF}: NameServer = 217.0.43.1 217.0.43.193 O17 - HKLM\System\CS1\Services\Tcpip\..\{1307E52B-868E-4978-AEB6-95C8AC2169AF}: NameServer = 217.0.43.1 217.0.43.193 O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: Linksys Updater (LinksysUpdater) - Unknown owner - C:\Programme\Linksys\Linksys Updater\bin\LinksysUpdater.exe O23 - Service: Pure Networks Platform Service (nmservice) - Pure Networks, Inc. - C:\Programme\Gemeinsame Dateien\Pure Networks Shared\Platform\nmsrvc.exe -- End of file - 4283 bytes ======Scheduled tasks folder====== C:\windows\tasks\Ad-Aware Update (Weekly).job C:\windows\tasks\WGASetup.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] Adobe PDF Reader Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-06-06 35840] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-06-06 73728] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"=C:\WINDOWS\System32\igfxtray.exe [2002-03-26 155648] "HotKeysCmds"=C:\WINDOWS\System32\hkcmd.exe [2002-03-26 106496] "SoundMan"=C:\windows\SOUNDMAN.EXE [2002-03-21 46592] "avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] "Malwarebytes' Anti-Malware"=C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe [2009-07-13 414992] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nmctxth] C:\Programme\Gemeinsame Dateien\Pure Networks Shared\Platform\nmctxth.exe [2008-04-09 648504] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] C:\Programme\Java\jre6\bin\jusched.exe [2009-06-06 148888] C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart T-online.lnk - Trillian.lnk - C:\Programme\trillian\trillian.exe Verknüpfung mit firefox.lnk - C:\Programme\Mozilla Firefox\firefox.exe Verknüpfung mit TClock.lnk - C:\Programme\TClock.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui] C:\windows\system32\igfxsrvc.dll [2002-03-26 294912] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Lavasoft Ad-Aware Service] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=1 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 "NoRecentDocsNetHood"=1 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" "C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour" "C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" ======List of files/folders created in the last 1 months====== 2009-08-02 22:07:27 ----DC---- C:\rsit 2009-08-02 20:52:14 ----DC---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2009-08-02 20:52:05 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2009-08-02 20:52:05 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-08-02 20:50:48 ----D---- C:\Programme\Malwarebytes 2009-08-02 18:32:24 ----D---- C:\Programme\Avira 2009-08-02 18:32:24 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2009-08-02 18:29:16 ----SHDC---- C:\Config.Msi 2009-07-21 21:46:48 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\WinRAR 2009-07-20 19:43:31 ----D---- C:\Programme\Ccleaner 2009-07-20 18:47:57 ----D---- C:\Programme\The Weather Channel FW 2009-07-20 17:57:45 ----D---- C:\Programme\iso buster 2009-07-20 16:03:39 ----D---- C:\Programme\bhv 2009-07-18 22:47:26 ----D---- C:\Programme\trillian 2009-07-18 20:15:41 ----D---- C:\Programme\ICQ6Toolbar 2009-07-18 20:15:27 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ 2009-07-18 20:13:41 ----DC---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ 2009-07-18 20:12:09 ----D---- C:\Programme\ICQ6.5 2009-07-13 21:12:59 ----A---- C:\windows\ViewNX.INI 2009-07-13 15:39:44 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Nikon 2009-07-13 15:39:19 ----A---- C:\windows\system32\ptpusb.dll 2009-07-13 15:39:18 ----A---- C:\windows\system32\ptpusd.dll 2009-07-13 15:34:16 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\laserjet 2009-07-13 15:28:53 ----D---- C:\Programme\Gemeinsame Dateien\muvee Technologies 2009-07-13 15:28:48 ----D---- C:\Programme\Gemeinsame Dateien\Nikon 2009-07-13 15:28:48 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nikon 2009-07-13 15:28:43 ----D---- C:\Programme\Nikon 2009-07-13 15:25:22 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Widgets 2009-07-13 15:25:22 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ultima_T15 2009-07-13 15:25:22 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EnterNHelp 2009-07-13 15:23:56 ----D---- C:\Programme\ArcSoft ======List of files/folders modified in the last 1 months====== 2009-08-02 22:07:32 ----D---- C:\Programme\HiJackThis 2009-08-02 22:07:23 ----D---- C:\windows\Temp 2009-08-02 20:52:09 ----D---- C:\windows\system32\drivers 2009-08-02 20:52:05 ----RD---- C:\Programme 2009-08-02 20:49:42 ----D---- C:\Programme\Mozilla Firefox 2009-08-02 20:48:10 ----D---- C:\WINDOWS 2009-08-02 20:40:27 ----SHD---- C:\System Volume Information 2009-08-02 20:40:27 ----D---- C:\windows\system32\Restore 2009-08-02 20:03:21 ----D---- C:\Paint Shop Pro 5 2009-08-02 18:43:26 ----D---- C:\windows\system32\CatRoot2 2009-08-02 18:32:44 ----HD---- C:\windows\inf 2009-08-02 18:29:28 ----SHD---- C:\windows\Installer 2009-08-02 18:29:24 ----D---- C:\windows\WinSxS 2009-08-02 17:30:13 ----DC---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dvdcss 2009-08-02 17:04:56 ----D---- C:\windows\system32 2009-08-01 22:20:48 ----D---- C:\Programme\Mozilla Thunderbird 2009-07-25 01:52:18 ----D---- C:\WinRAR 2009-07-25 01:52:17 ----HD---- C:\windows\$hf_mig$ 2009-07-25 01:52:17 ----D---- C:\Stenkelfeld 2009-07-25 01:52:16 ----D---- C:\Setups 2009-07-25 01:52:16 ----D---- C:\Programme\Adobe 2009-07-25 01:52:16 ----D---- C:\DriveKey 2009-07-25 01:52:15 ----DC---- C:\Dokumente und Einstellungen 2009-07-25 01:52:11 ----SHD---- C:\RECYCLER 2009-07-20 19:44:48 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-07-20 19:44:47 ----D---- C:\windows\Debug 2009-07-20 19:39:27 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft 2009-07-20 19:39:27 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared 2009-07-20 16:23:37 ----AC---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\burnaware.ini 2009-07-18 20:15:48 ----HD---- C:\Programme\InstallShield Installation Information 2009-07-13 15:28:53 ----RD---- C:\Programme\Gemeinsame Dateien 2009-07-13 15:25:14 ----A---- C:\windows\system32\ATL71.DLL 2009-07-13 15:25:05 ----D---- C:\Programme\Gemeinsame Dateien\InstallShield 2009-07-12 01:30:12 ----A---- C:\windows\win.ini 2009-07-12 01:30:12 ----A---- C:\windows\system.ini 2009-07-03 15:53:30 ----DC---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Azureus ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 {6080A529-897E-4629-A488-ABA0C29B635E};Intel(R) Graphics Platform (SoftBIOS) Driver; C:\windows\system32\drivers\ialmsbw.sys [2002-04-05 88320] R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys [] R1 avipbb;avipbb; C:\windows\system32\DRIVERS\avipbb.sys [2009-03-30 96104] R1 intelppm;Intel-Prozessortreiber; C:\windows\System32\DRIVERS\intelppm.sys [2004-08-04 40192] R1 ssmdrv;ssmdrv; C:\windows\system32\DRIVERS\ssmdrv.sys [2009-08-02 28520] R2 avgntflt;avgntflt; C:\windows\system32\DRIVERS\avgntflt.sys [2009-03-24 55640] R2 pnarp;Pure Networks Device Discovery Driver; C:\windows\system32\DRIVERS\pnarp.sys [2008-04-09 23992] R2 purendis;Pure Networks Wireless Driver; C:\windows\system32\DRIVERS\purendis.sys [2008-04-09 25272] R3 {D31A0762-0CEB-444e-ACFF-B049A1F6FE91};Intel(R) Graphics Chipset (KCH) Driver; C:\windows\system32\drivers\ialmkchw.sys [2002-04-05 69472] R3 ALCXWDM;Service for Avance AC97 Audio (WDM); C:\windows\system32\drivers\ALCXWDM.SYS [2002-05-30 654508] R3 E100B;Intel(R) PRO Adapter Driver; C:\windows\System32\DRIVERS\e100b325.sys [2002-02-25 139776] R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\windows\system32\DRIVERS\GEARAspiWDM.sys [2009-03-19 23400] R3 ialm;ialm; C:\windows\System32\DRIVERS\ialmnt5.sys [2002-04-05 77277] R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\windows\System32\DRIVERS\usbccgp.sys [2004-08-03 31616] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\windows\System32\DRIVERS\usbehci.sys [2004-08-03 26624] R3 usbhub;USB2-aktivierter Hub; C:\windows\System32\DRIVERS\usbhub.sys [2004-08-03 57600] R3 usbprint;Microsoft USB-Druckerklasse; C:\windows\system32\DRIVERS\usbprint.sys [2004-08-03 25856] R3 usbscan;USB-Scannertreiber; C:\windows\system32\DRIVERS\usbscan.sys [2004-08-03 15104] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\windows\System32\DRIVERS\usbuhci.sys [2004-08-03 20480] R4 sr;Filtertreiber für Systemwiederherstellung; C:\windows\System32\DRIVERS\sr.sys [2004-08-04 73472] S1 kbdhid;Tastatur-HID-Treiber; C:\windows\System32\DRIVERS\kbdhid.sys [2004-08-04 14848] S3 hidusb;Microsoft HID Class-Treiber; C:\windows\System32\DRIVERS\hidusb.sys [2002-08-29 9600] S3 mouhid;Maus-HID-Treiber; C:\windows\System32\DRIVERS\mouhid.sys [2002-08-29 12288] S3 s3017bus;Sony Ericsson Device 3017 driver (WDM); C:\windows\system32\DRIVERS\s3017bus.sys [2007-12-10 83880] S3 s3017mdfl;Sony Ericsson Device 3017 USB WMC Modem Filter; C:\windows\system32\DRIVERS\s3017mdfl.sys [2007-12-10 15016] S3 s3017mdm;Sony Ericsson Device 3017 USB WMC Modem Driver; C:\windows\system32\DRIVERS\s3017mdm.sys [2007-12-10 110632] S3 s3017mgmt;Sony Ericsson Device 3017 USB WMC Device Management Drivers (WDM); C:\windows\system32\DRIVERS\s3017mgmt.sys [2007-12-10 104616] S3 s3017nd5;Sony Ericsson Device 3017 USB Ethernet Emulation SEMC3017 (NDIS); C:\windows\system32\DRIVERS\s3017nd5.sys [2007-12-10 25512] S3 s3017obex;Sony Ericsson Device 3017 USB WMC OBEX Interface; C:\windows\system32\DRIVERS\s3017obex.sys [2007-12-10 100648] S3 s3017unic;Sony Ericsson Device 3017 USB Ethernet Emulation SEMC3017 (WDM); C:\windows\system32\DRIVERS\s3017unic.sys [2007-12-10 110120] S3 USBSTOR;USB-Massenspeichertreiber; C:\windows\System32\DRIVERS\USBSTOR.SYS [2004-08-03 26496] S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\windows\system32\DRIVERS\WudfPf.sys [2006-09-28 77568] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\windows\system32\DRIVERS\wudfrd.sys [2006-09-28 82944] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-08-02 108289] R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-08-02 185089] R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2009-06-05 144712] R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2008-12-12 238888] R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-06-06 152984] R2 LinksysUpdater;Linksys Updater; C:\Programme\Linksys\Linksys Updater\bin\LinksysUpdater.exe [2008-04-18 204800] R2 nmservice;Pure Networks Platform Service; C:\Programme\Gemeinsame Dateien\Pure Networks Shared\Platform\nmsrvc.exe [2008-04-09 648504] S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service; C:\Programme\Lavasoft\Ad-Aware\AAWService.exe [2009-06-16 1005904] S3 aspnet_state;ASP.NET-Zustandsdienst; C:\windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240] S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2006-10-20 36864] S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632] S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2006-10-30 741376] S3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2009-06-05 541992] S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\windows\system32\svchost.exe [2004-08-04 14336] S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2006-10-30 122880] -----------------EOF----------------- |
02.08.2009, 21:27 | #6 |
| WORM/rjump.C Anzeichen für Schädlinge sehe ich keine. Einiges an Software ist unnötig, einiges veraltet. Wenn du möchtest, mache ich dir eine Liste. Da gehört unbedingt SP3 und MSIE8 drauf. Starte HJT => Do a system scan only => Markiere: Code:
ATTFilter Alle R0 und O2-Einträge O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe ciao, andreas
__________________ --> WORM/rjump.C |
07.08.2009, 16:37 | #7 |
| WORM/rjump.C Du bist entlassen. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
07.08.2009, 17:30 | #8 |
| WORM/rjump.C Sorry - war noch nicht wieder hin zu meiner Freundin! Konnte es also noch nicht machen. Gruß Minksi |
07.08.2009, 17:48 | #9 |
| WORM/rjump.C Kein Problem, kann warten. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
Themen zu WORM/rjump.C |
ad-aware, adobe, antivir, antivir guard, avg, avira, bho, bonjour, dateien, desktop, explorer, firefox, helper, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, microsoft, mozilla, pdf, plug-in, programme, software, system, windows, windows xp |