| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Koobface + services.exe absturz pp11.exe ld12.exe etcWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
25.08.2009, 17:31
| #1 |
 |  Koobface + services.exe absturz pp11.exe ld12.exe etc Kaspersky Online Scan Logfile: Code:
ATTFilter C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\content-prefs.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\cookies.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\cookies.sqlite-journal Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\downloads.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\formhistory.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\permissions.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\places.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\places.sqlite-journal Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\search.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\signons.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Desktop\97157.zip/97157.exe Infizierte Objekte: Trojan-Spy.Win32.VB.bry übersprungen
C:\Dokumente und Einstellungen\Administrator\Desktop\97157.zip ZIP: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\urlclassifier3.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\etilqs_DYSNgjamYq8pRHbyUY5I Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\478276326d96611696b3f3db4b9a147d_8e23dfb3-0f22-430f-8b83-b49cc977b953 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\88a74bee54e210cdb56f8063e61f0f34_8e23dfb3-0f22-430f-8b83-b49cc977b953 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\965f782d1d2fec962d698a1fb637dffe_8e23dfb3-0f22-430f-8b83-b49cc977b953 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\b8c70f57e5ce4f6fc4fb99fc17082d3e_8e23dfb3-0f22-430f-8b83-b49cc977b953 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Anwendungsdaten\Microsoft\CardSpace\CardSpace.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Anwendungsdaten\Microsoft\CardSpace\CardSpace.db.shadow Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1396.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1544.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1636.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1776.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1780.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1784.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1788.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1796.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1800.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1804.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1808.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1816.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1836.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1840.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1844.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1848.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1852.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1868.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1904.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1936.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1944.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1960.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1992.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-2000.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-2300.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-2476.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-2880.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-3236.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-324.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-3708.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-3728.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-3744.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-3940.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-3988.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-4008.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-432.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-440.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-452.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-464.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-520.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-5684.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-796.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\~TM118.tmp Infizierte Objekte: Backdoor.Win32.Bredolab.ho übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085158.exe Infizierte Objekte: Trojan-Downloader.Win32.Mutant.egl übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085168.sys Infizierte Objekte: Virus.Win32.Protector.c übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085169.sys Infizierte Objekte: Virus.Win32.Protector.c übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085170.exe Infizierte Objekte: Trojan-Downloader.Win32.Mutant.egl übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085171.exe Infizierte Objekte: Trojan-Downloader.Win32.Mutant.egl übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085255.exe Infizierte Objekte: Backdoor.Win32.Poison.pg übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085770.exe Infizierte Objekte: Virus.Win32.Virut.ce übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085815.exe/stream/data0008/msf32/lib/rex/exploitation/heaplib.js.b64 Infizierte Objekte: Trojan-Downloader.JS.Agent.gj übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085815.exe/stream/data0008/msf32/lib/rex/exploitation/.svn/text-base/heaplib.js.b64.svn-base Infizierte Objekte: Trojan-Downloader.JS.Agent.gj übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085815.exe/stream/data0008 Infizierte Objekte: Trojan-Downloader.JS.Agent.gj übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085815.exe/stream Infizierte Objekte: Trojan-Downloader.JS.Agent.gj übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085815.exe NSIS: infiziert - 4 übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085934.exe Infizierte Objekte: Backdoor.Win32.Poison.pg übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086120.exe Infizierte Objekte: Trojan.Win32.TDSS.alry übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086321.exe Infizierte Objekte: Virus.Win32.Virut.ce übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086322.exe Infizierte Objekte: Virus.Win32.Virut.ce übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086592.exe Infizierte Objekte: Virus.Win32.Virut.ce übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086652.exe/data0002 Infizierte Objekte: Constructor.Win32.Binder.az übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086652.exe/data0003 Infizierte Objekte: Trojan-Spy.Win32.Agent.bff übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086652.exe NSIS: infiziert - 2 übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086682.exe Infizierte Objekte: Virus.Win32.Virut.ce übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086756.exe Infizierte Objekte: Net-Worm.Win32.Mytob.re übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086760.exe Infizierte Objekte: Virus.Win32.Virut.ce übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086802.exe Infizierte Objekte: Packed.Win32.CPEX-based.ge übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087039.exe Infizierte Objekte: Virus.Win32.Virut.ce übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087067.exe Infizierte Objekte: Trojan.Win32.FraudPack.mol übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087068.exe Infizierte Objekte: Virus.Win32.Virut.ce übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087079.exe Infizierte Objekte: Virus.Win32.Virut.ce übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087090.exe Infizierte Objekte: Trojan.Win32.FraudPack.mnw übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087099.exe Infizierte Objekte: Trojan.Win32.FraudPack.mmy übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087137.exe Infizierte Objekte: Trojan.Win32.FraudPack.mmy übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087147.exe Infizierte Objekte: Trojan.Win32.FraudPack.mja übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087150.exe Infizierte Objekte: Trojan.Win32.FraudPack.mja übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087163.exe Infizierte Objekte: Trojan.Win32.FraudPack.miq übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087193.exe Infizierte Objekte: Trojan.Win32.FraudPack.mif übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087196.exe Infizierte Objekte: Trojan.Win32.FraudPack.mgz übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087210.exe Infizierte Objekte: Trojan-Downloader.Win32.PepperPaper.fo übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087222.exe Infizierte Objekte: Trojan.Win32.FraudPack.meb übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087245.exe Infizierte Objekte: Trojan.Win32.FraudPack.mdp übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087248.exe Infizierte Objekte: Trojan.Win32.FraudPack.lyi übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087279.exe Infizierte Objekte: Trojan.Win32.FraudPack.lwp übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087344.exe Infizierte Objekte: Trojan.Win32.FraudPack.ltv übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087349.exe Infizierte Objekte: Trojan-Downloader.Win32.Agent.bxoj übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087357.exe Infizierte Objekte: Virus.Win32.Virut.ce übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087381.exe Infizierte Objekte: Trojan.Win32.FraudPack.lsx übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087434.exe Infizierte Objekte: Packed.Win32.Tdss.f übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087459.exe Infizierte Objekte: Packed.Win32.Tdss.f übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087471.exe Infizierte Objekte: Trojan.Win32.Qhost.llo übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087634.exe Infizierte Objekte: Trojan.Win32.TDSS.zng übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087682.exe Infizierte Objekte: Virus.Win32.Virut.ce übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087791.exe Infizierte Objekte: Trojan-Downloader.Win32.Mutant.egl übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0089020.exe Infizierte Objekte: Backdoor.Win32.Poison.pg übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP82\A0089212.sys Infizierte Objekte: Virus.Win32.Protector.c übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP82\A0089213.sys Infizierte Objekte: Virus.Win32.Protector.c übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP83\A0089335.sys Infizierte Objekte: Virus.Win32.Protector.c übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP83\A0089336.sys Infizierte Objekte: Virus.Win32.Protector.c übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP83\A0090342.sys Infizierte Objekte: Virus.Win32.Protector.c übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP83\A0090343.sys Infizierte Objekte: Virus.Win32.Protector.c übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP83\A0090360.exe Infizierte Objekte: Trojan-Spy.Win32.VB.bry übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP83\A0090765.sys Infizierte Objekte: Virus.Win32.Protector.c übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP83\A0090766.sys Infizierte Objekte: Virus.Win32.Protector.c übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP83\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\CSC\00000001 Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\dllcache\ntfs.sys Infizierte Objekte: Virus.Win32.Protector.c übersprungen
C:\WINDOWS\system32\drivers\ntfs.sys Infizierte Objekte: Virus.Win32.Protector.c übersprungen
C:\WINDOWS\system32\msgrssvnt32.exe Infizierte Objekte: Trojan.Win32.VB.jkl übersprungen
C:\WINDOWS\system32\msvdx86.aqmgu Infizierte Objekte: Rootkit.Win32.Agent.pky übersprungen
C:\WINDOWS\system32\sdhjch Infizierte Objekte: Trojan.Win32.Monderb.eog übersprungen
C:\WINDOWS\system32\system3280988.rar/awtqoPhH.dll Infizierte Objekte: Trojan.Win32.Monderb.eog übersprungen
C:\WINDOWS\system32\system3280988.rar/pmnnLDTM.dll Infizierte Objekte: Trojan.Win32.Monderb.eog übersprungen
C:\WINDOWS\system32\system3280988.rar RAR: infiziert - 2 übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
Geändert von nerd_90 (25.08.2009 um 18:22 Uhr) |
|
25.08.2009, 18:18
| #2 |
| | Koobface + services.exe absturz pp11.exe ld12.exe etc Kaspersky Online Scan Logfile:
__________________Code:
ATTFilter C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\content-prefs.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\cookies.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\cookies.sqlite-journal Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\downloads.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\formhistory.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\permissions.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\places.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\places.sqlite-journal Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\search.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\signons.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Desktop\97157.zip/97157.exe Infizierte Objekte: Trojan-Spy.Win32.VB.bry übersprungen
C:\Dokumente und Einstellungen\Administrator\Desktop\97157.zip ZIP: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\odx4bjso.default\urlclassifier3.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\etilqs_DYSNgjamYq8pRHbyUY5I Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\478276326d96611696b3f3db4b9a147d_8e23dfb3-0f22-430f-8b83-b49cc977b953 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\88a74bee54e210cdb56f8063e61f0f34_8e23dfb3-0f22-430f-8b83-b49cc977b953 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\965f782d1d2fec962d698a1fb637dffe_8e23dfb3-0f22-430f-8b83-b49cc977b953 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\b8c70f57e5ce4f6fc4fb99fc17082d3e_8e23dfb3-0f22-430f-8b83-b49cc977b953 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Anwendungsdaten\Microsoft\CardSpace\CardSpace.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Anwendungsdaten\Microsoft\CardSpace\CardSpace.db.shadow Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1396.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1544.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1636.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1776.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1780.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1784.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1788.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1796.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1800.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1804.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1808.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1816.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1836.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1840.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1844.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1848.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1852.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1868.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1904.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1936.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1944.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1960.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-1992.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-2000.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-2300.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-2476.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-2880.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-3236.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-324.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-3708.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-3744.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-3940.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-3988.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-4008.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-432.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-440.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-452.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-464.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-520.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-5684.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\vmware-Lux\vmware-vix-Lux-796.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lux\Lokale Einstellungen\Temp\~TM118.tmp Infizierte Objekte: Backdoor.Win32.Bredolab.ho übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085158.exe Infizierte Objekte: Trojan-Downloader.Win32.Mutant.egl übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085168.sys Infizierte Objekte: Virus.Win32.Protector.c übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085169.sys Infizierte Objekte: Virus.Win32.Protector.c übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085170.exe Infizierte Objekte: Trojan-Downloader.Win32.Mutant.egl übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085171.exe Infizierte Objekte: Trojan-Downloader.Win32.Mutant.egl übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085255.exe Infizierte Objekte: Backdoor.Win32.Poison.pg übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085770.exe Infizierte Objekte: Virus.Win32.Virut.ce übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085815.exe/stream/data0008/msf32/lib/rex/exploitation/heaplib.js.b64 Infizierte Objekte: Trojan-Downloader.JS.Agent.gj übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085815.exe/stream/data0008/msf32/lib/rex/exploitation/.svn/text-base/heaplib.js.b64.svn-base Infizierte Objekte: Trojan-Downloader.JS.Agent.gj übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085815.exe/stream/data0008 Infizierte Objekte: Trojan-Downloader.JS.Agent.gj übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085815.exe/stream Infizierte Objekte: Trojan-Downloader.JS.Agent.gj übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085815.exe NSIS: infiziert - 4 übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085934.exe Infizierte Objekte: Backdoor.Win32.Poison.pg übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086120.exe Infizierte Objekte: Trojan.Win32.TDSS.alry übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086321.exe Infizierte Objekte: Virus.Win32.Virut.ce übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086322.exe Infizierte Objekte: Virus.Win32.Virut.ce übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086592.exe Infizierte Objekte: Virus.Win32.Virut.ce übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086652.exe/data0002 Infizierte Objekte: Constructor.Win32.Binder.az übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086652.exe/data0003 Infizierte Objekte: Trojan-Spy.Win32.Agent.bff übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086652.exe NSIS: infiziert - 2 übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086682.exe Infizierte Objekte: Virus.Win32.Virut.ce übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086756.exe Infizierte Objekte: Net-Worm.Win32.Mytob.re übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086760.exe Infizierte Objekte: Virus.Win32.Virut.ce übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086802.exe Infizierte Objekte: Packed.Win32.CPEX-based.ge übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087039.exe Infizierte Objekte: Virus.Win32.Virut.ce übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087067.exe Infizierte Objekte: Trojan.Win32.FraudPack.mol übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087068.exe Infizierte Objekte: Virus.Win32.Virut.ce übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087079.exe Infizierte Objekte: Virus.Win32.Virut.ce übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087090.exe Infizierte Objekte: Trojan.Win32.FraudPack.mnw übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087099.exe Infizierte Objekte: Trojan.Win32.FraudPack.mmy übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087137.exe Infizierte Objekte: Trojan.Win32.FraudPack.mmy übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087147.exe Infizierte Objekte: Trojan.Win32.FraudPack.mja übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087150.exe Infizierte Objekte: Trojan.Win32.FraudPack.mja übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087163.exe Infizierte Objekte: Trojan.Win32.FraudPack.miq übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087193.exe Infizierte Objekte: Trojan.Win32.FraudPack.mif übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087196.exe Infizierte Objekte: Trojan.Win32.FraudPack.mgz übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087210.exe Infizierte Objekte: Trojan-Downloader.Win32.PepperPaper.fo übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087222.exe Infizierte Objekte: Trojan.Win32.FraudPack.meb übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087245.exe Infizierte Objekte: Trojan.Win32.FraudPack.mdp übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087248.exe Infizierte Objekte: Trojan.Win32.FraudPack.lyi übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087279.exe Infizierte Objekte: Trojan.Win32.FraudPack.lwp übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087344.exe Infizierte Objekte: Trojan.Win32.FraudPack.ltv übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087349.exe Infizierte Objekte: Trojan-Downloader.Win32.Agent.bxoj übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087357.exe Infizierte Objekte: Virus.Win32.Virut.ce übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087381.exe Infizierte Objekte: Trojan.Win32.FraudPack.lsx übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087434.exe Infizierte Objekte: Packed.Win32.Tdss.f übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087459.exe Infizierte Objekte: Packed.Win32.Tdss.f übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087471.exe Infizierte Objekte: Trojan.Win32.Qhost.llo übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087634.exe Infizierte Objekte: Trojan.Win32.TDSS.zng übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087682.exe Infizierte Objekte: Virus.Win32.Virut.ce übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087791.exe Infizierte Objekte: Trojan-Downloader.Win32.Mutant.egl übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0089020.exe Infizierte Objekte: Backdoor.Win32.Poison.pg übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP82\A0089212.sys Infizierte Objekte: Virus.Win32.Protector.c übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP82\A0089213.sys Infizierte Objekte: Virus.Win32.Protector.c übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP83\A0089335.sys Infizierte Objekte: Virus.Win32.Protector.c übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP83\A0089336.sys Infizierte Objekte: Virus.Win32.Protector.c übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP83\A0090342.sys Infizierte Objekte: Virus.Win32.Protector.c übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP83\A0090343.sys Infizierte Objekte: Virus.Win32.Protector.c übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP83\A0090360.exe Infizierte Objekte: Trojan-Spy.Win32.VB.bry übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP83\A0090765.sys Infizierte Objekte: Virus.Win32.Protector.c übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP83\A0090766.sys Infizierte Objekte: Virus.Win32.Protector.c übersprungen
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP83\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\CSC\00000001 Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\dllcache\ntfs.sys Infizierte Objekte: Virus.Win32.Protector.c übersprungen
C:\WINDOWS\system32\drivers\ntfs.sys Infizierte Objekte: Virus.Win32.Protector.c übersprungen
C:\WINDOWS\system32\msgrssvnt32.exe Infizierte Objekte: Trojan.Win32.VB.jkl übersprungen
C:\WINDOWS\system32\msvdx86.aqmgu Infizierte Objekte: Rootkit.Win32.Agent.pky übersprungen
C:\WINDOWS\system32\sdhjch Infizierte Objekte: Trojan.Win32.Monderb.eog übersprungen
C:\WINDOWS\system32\system3280988.rar/awtqoPhH.dll Infizierte Objekte: Trojan.Win32.Monderb.eog übersprungen
C:\WINDOWS\system32\system3280988.rar/pmnnLDTM.dll Infizierte Objekte: Trojan.Win32.Monderb.eog übersprungen
C:\WINDOWS\system32\system3280988.rar RAR: infiziert - 2 übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
|
|
25.08.2009, 18:43
| #3 |
| | Koobface + services.exe absturz pp11.exe ld12.exe etc spybot search & destroy hat nix mehr gefunden.
__________________naja danke schonmal //seltsam posts falsch? So nunmal zu meinem Problem. Gestern bemerkte ich das Koobface (ld12.exe) sich seltsamerweise auf meinem System befindet.Beim ersten Booten des systems habe ich bemerkt,das die firefox.exe nicht mehr vorhanden war,hab dann in den taskmgr geschaut und bemerkt das ld12.exe aktiv ist. hab dann ld12.exe im abgesicherten modus entfernt. und Malwarebytes drüberlaufen lassen. alles in quaratäne geschoben+deleted. so nun hab ich versucht im normalen modus zu starten und dann bin ich nicht weiter gekommen als services.exe musste beendet werden blabla.gefolgt von einem zwangsreboot.nunja jetzt hab ich mir über abgesicherten modus mit netzwerkunterstützung firefox draufgeschmissen,und suche hier nach hilfe. (möglisch ohne neuaufsetzung des systems). Used winversion. XP prof sp2 hab schon oft mit malware kämpfen müssen,aber habs bisher alles ohne hilfe geschafft. naja hoffe hier finden sich helfer,die dafür bereit sind. HJT Log: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:44:28, on 25.8.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Safe mode with network support Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\regedit.exe E:\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O1 - Hosts: 89.149.209.11 3xlcash.tut O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [vmware-tray] E:\Programme\VMware\VMware Workstation\vmware-tray.exe O4 - HKLM\..\Run: [VMware hqtray] "E:\Programme\VMware\VMware Workstation\hqtray.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [wmagent.exe] "C:\Programme\WebMoney Agent\wmagent.exe" O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "E:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe O4 - HKLM\..\RunOnce: [ Malwarebytes Anti-Malware (reboot)] "E:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.wmtransfer.com/WMAcceptor.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1200789413515 O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O20 - Winlogon Notify: awtqoPhH - C:\WINDOWS\ O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Acunetix WVS Scheduler (AcuWVSScheduler) - Acunetix Ltd. - C:\Programme\Acunetix\Web Vulnerability Scanner 4\WVSScheduler.exe O23 - Service: Acunetix WVS Scheduler v5 (AcuWVSSchedulerv5) - Acunetix Ltd. - C:\Programme\Acunetix\Web Vulnerability Scanner 5\WVSScheduler.exe O23 - Service: Apache2.2 - Apache Software Foundation - E:\xampp\apache\bin\apache.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: MBAMService - Malwarebytes Corporation - E:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe O23 - Service: PMBot 2 (pmbot2) - The PHP Group - E:\xampp\php\php.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - E:\Programme\VMware\VMware Workstation\vmware-ufad.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - E:\Programme\VMware\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe O23 - Service: XAMPP Service (XAMPP) - Unknown owner - e:\xampp\service.exe -- End of file - 7831 bytes Code:
ATTFilter Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2690
Windows 5.1.2600 Service Pack 2 (Safe Mode)
24.8.2009 23:07:07
mbam-log-2009-08-24 (23-07-07).txt
Scan-Methode: Vollständiger Scan (C:\|E:\|H:\|)
Durchsuchte Objekte: 158176
Laufzeit: 30 minute(s), 44 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 70
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Dokumente und Einstellungen\Lux\Desktop\BITS Downloader\found\ld12.exfe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085210.dll (Malware.Packer.Morphine) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085253.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085254.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085358.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085360.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085376.exe (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085377.exe (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085634.exe (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085648.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085649.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085664.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085677.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085680.exe (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085771.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085787.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085801.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085802.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085803.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085804.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085822.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085832.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085856.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085861.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085935.exe (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085936.dll (Malware.Packer.Morphine) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0085939.exe (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086144.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086217.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086247.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086254.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086315.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086327.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086402.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086424.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086446.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086488.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086490.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086491.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086545.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086583.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086605.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086606.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086614.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086625.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086696.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086716.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086757.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086788.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086862.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086865.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086903.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086917.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086942.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0086984.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087013.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087038.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0087058.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0089012.exe (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0089013.exe (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0089019.exe (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0089021.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0089023.dll (Malware.Packer.Morphine) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP82\A0089121.dll (Malware.Packer.Morphine) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP82\A0089223.dll (Malware.Packer.Morphine) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msvtx86.aqmgu (Rootkit.Agent.C) -> Quarantined and deleted successfully.
E:\myterous exe's\ld12.exfe (Worm.Koobface) -> Quarantined and deleted successfully.
E:\myterous exe's\pp11.exfe (Worm.KoobFace) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0089014.exe (Trojan.TDSS) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP81\A0089015.exe (Trojan.TDSS) -> Quarantined and deleted successfully.
Geändert von nerd_90 (25.08.2009 um 18:50 Uhr) |
|
26.08.2009, 18:58
| #4 |
| | Koobface + services.exe absturz pp11.exe ld12.exe etc rootkit hook analyzer: http://hardcorezuelpich.ha.ohost.de/rootkithookanalyzer.txt leider zu groß für hier rootkit anylizer (module): http://hardcorezuelpich.ha.ohost.de/export-module.txt sanitycheck: Code:
ATTFilter --------------------------------------------------------------------------------
Welcome to SanityCheck 1.02
--------------------------------------------------------------------------------
This program does a thorough check on your system to look for irregularities which are typically the work of rootkits, viruses and other malware. This software goes to great lengths to check your system for hidden processes, hidden drivers, hidden threads and detects many different types of hooks, hacks and hijacks.
Note that certain irregularities may be the work of antivirus or another security product that you have installed. This is because security software itself often makes use of the same controversial techniques which are normally associated with malware. This is why it is recommended to first disable all antivirus, antispyware, firewall and other security software which may be running on your system.
In case any irregularities are found the report will attempt to find a responsbile process or module and offer suggestions on how to proceed in the investigation.
Note that although this software creates a comprehensible report it is not intended for absolute novice users who do not have not any type of idea about the software that is installed and running on their systems.
SanityCheck will do great efforts to detect:
Hidden processes
Processes with spoofed names
Processes attempting to appear as standard Windows processes
Processes with obviously deceptive names
Processes without product, company and description information
Valid signatures in processes and kernel modules
Intercepted system services and the modules reponsible
Intercepted kernel routines and the modules reponsible
Intercepted kernel object callout routines and the modules reponsible
Hidden drivers
Drivers with intercepted dispatch entry points
--------------------------------------------------------------------------------
Home Edition notice
--------------------------------------------------------------------------------
This version of SanityCheck is free for use at home only. If you would like to use this software at work or in a commercial environment you should get the professional edition. The professional edition of SanityCheck does a more thorough and detailed analysis than the home edition.
To find out more information about the operations of SanityCheck, visit www.resplendence.com/sanity
To obtain technical support visit www.resplendence.com/support
To check if a newer version of SanityCheck is available, click here.
Click the Analyze button to start analyzing your system...
--------------------------------------------------------------------------------
Analysis
--------------------------------------------------------------------------------
Analyzing your system ...
Processes are running without company, product and description information
One or more processes have been detected which have not registered any company, product and description information. This is not necessarily the work of a virus or malware but does raise a flag of suspicion. It is suggested you find out what this process belongs to and why it is running on your system.
The process wmagent.exe does not have any product, company or description information.
Information about the responsible process wmagent.exe:
file path: C:\programme\webmoney agent\wmagent.exe
Click here to do a Google search on wmagent.exe
--------------------------------------------------------------------------------
System routines are being intercepted
One or more system services are being intercepted on your system. This could be initiated by a rootkit or malware but there is also the possibility a security product is responsible for this. With the indications given you should find out if this is the work of a product that you have installed deliberately or not. Note that these SSDT hooks are very notorious because they rely on undocumented techniques and are incredibly difficult to implement right for a programmer. Even if they are installed by a legitimate product, these hooks very often are the cause of sudden unexpected reboots, blue screens, hangups and other misery. If you have more than one product installed which makes use of these techniques then your system is almost sure to be messed up.
The module 48826291.sys is hooking the kernel to intercept base system services.
Information about the responsible module 48826291.sys:
file path: C:\WINDOWS\system32\drivers\48826291.sys
Click here to do a Google search on 48826291.sys
--------------------------------------------------------------------------------
Some driver entry points are being hijacked by other modules
Module 48826291.sys is overwriting one or more dispatch entry points of other drivers running in the system. This controversial technique could be the work of malware running in the system but it could also be the work of legitimate software.
Information about the responsible module 48826291.sys:
file path: C:\WINDOWS\system32\drivers\48826291.sys
Click here to do a Google search on 48826291.sys
--------------------------------------------------------------------------------
Object type callout routines are hijacked
Hijacking object type callouts is a very controversial technique which is typically the work of a rootkit or other malware. There is no reason for normal software to make use of this technique. It can give the reponsbile module complete control over any type of kernel object which include files, registry keys, processes and threads.
Object type callouts have been hijacked for the following objects: Key.
Information about the responsible module 48826291.sys:
file path: C:\WINDOWS\system32\drivers\48826291.sys
Click here to do a Google search on 48826291.sys
--------------------------------------------------------------------------------
Conclusion
--------------------------------------------------------------------------------
Irregularites have been detected which are typically the work of malware. We suggest that you locate the above mentioned files and do a search on them with Google for finding solutions to the detected problems. Possibly a virus scanner may be able to remove these problems but you can be only completely sure about a clean system if you format your harddrive and reinstall Windows from the original CD.
As always, we suggest you use a good antivirus scanner which does not make use of any controversial techniques and always practice caution when downloading files and opening email attachments.
Note that is is not always possible to make a clear distinction between malware and legitimate products. This is because certain legitimate products resort to agressive controversial techniques as an anti-piracy measure, to avoid debugging or for anti-competetive purposes. Antivirus or other security software may be making use of rootkit-like techniques in an attempt to hide itself from malware. Worse, such products may be involved in a controversial race along the lines of "defeat evil with its own weapons".
About your system:
Windows version: Windows XP Service Pack 2, 5.1, build: 2600
Windows dir: C:\WINDOWS
CPU: AuthenticAMD AMD Athlon(tm) 64 X2 Dual Core Processor 4600+ AMD586, level: 15
2 logical processors, active mask: 3
RAM: 2011607040 total
Report generated on 26.08.2009 17:44:34
|
|
27.08.2009, 15:39
| #5 |
| | Koobface + services.exe absturz pp11.exe ld12.exe etc keiner da der hilfe geben kann? |
|
28.08.2009, 15:52
| #6 |
| | Koobface + services.exe absturz pp11.exe ld12.exe etc RSIT Logs: http://hardcorezuelpich.ha.ohost.de/rsit/ |
|
28.08.2009, 18:24
| #7 |
| | Koobface + services.exe absturz pp11.exe ld12.exe etc hier noch der GMER log: http://hardcorezuelpich.ha.ohost.de/gmer.log nach jedem reboot und anschließendem scan mit mbam folgende plagegeister: Code:
ATTFilter Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Regedit32 (Trojan.Agent) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Dokumente und Einstellungen\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> Quarantined and deleted successfully.
|
|
02.09.2009, 12:56
| #8 |
| | Koobface + services.exe absturz pp11.exe ld12.exe etc Problem mit services.exe besteht weiterhin. Beim normalen Windows Start Keiner da der mir iwie helfen kann? Kommt immer diese Meldung beim Normal start: Fehlgeschlagene Anwendung services.exe, Version 5.1.2600.2180, fehlgeschlagenes Modul services.exe, Version 5.1.2600.2180, Fehleradresse 0x00008e40. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Geändert von nerd_90 (02.09.2009 um 13:18 Uhr) |
|
18.09.2009, 17:09
| #9 |
| | Koobface + services.exe absturz pp11.exe ld12.exe etc hier mal ein aktueller GMER scan: stand anfang nur ntfs.sys irgendwas^^ und ein aktueller Malwarebytes scan: Malwarebytes' Anti-Malware 1.41 Datenbank Version: 2819 Windows 5.1.2600 Service Pack 2 (Safe Mode) 18.9.2009 15:47:20 mbam-log-2009-09-18 (15-47-20).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 188230 Laufzeit: 24 minute(s), 54 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 5 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Regedit32 (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP94\A0094698.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP94\A0094699.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP94\A0094700.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{7644A9BB-9F9E-4D95-A061-6AF3174EB10C}\RP94\A0094703.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully. |
|
20.09.2009, 18:47
| #10 |
| | Koobface + services.exe absturz pp11.exe ld12.exe etc ich brauch hilfe.kann hier keiner helfen,hab grad mit root repeal gescannt und der sagt irgendwas mit svchost sogar unter abgesicherter modus ROOTREPEAL (c) AD, 2007-2009 ================================================== Scan Start Time: 2009/09/20 19:42 Program Version: Version 1.3.5.0 Windows Version: Windows XP SP2 ================================================== Drivers ------------------- Name: dump_atapi.sys Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys Address: 0xBA26B000 Size: 98304 File Visible: No Signed: - Status: - Name: dump_WMILIB.SYS Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS Address: 0xF79AB000 Size: 8192 File Visible: No Signed: - Status: - Name: rootrepeal.sys Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys Address: 0xB9C51000 Size: 49152 File Visible: No Signed: - Status: - Stealth Objects ------------------- Object: Hidden Module [Name: svchost.exe] Process: svchost.exe (PID: 1284) Address: 0x01000000 Size: 20480 ==EOF== hab dann mal tcpview angemacht,und sehe einigen ausgehenden traffic von diesem process,ihn zu beenden war aber leider nicht möglisch hat sich direkt neugeöffnet brauche dringend hilfe |
|
| Themen zu Koobface + services.exe absturz pp11.exe ld12.exe etc |
| 1.exe, 8.tmp, absturz, administrator, code, content.ie5, crypto, desktop, dllcache, einstellungen, firefox, gen, gesperrt, internet, kaspersky, logfile, microsoft, mozilla, ntfs.sys, online, scan, security, services.exe, software, spybot, system, system volume information, system32, temp, virus.win32.virut.ce, windows |
Linear-Darstellung
