| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
06.09.2009, 19:33
| #31 |
 |  RSIT-log Nr. 3 Und hier noch der RSIT-log: Code:
ATTFilter Logfile of random's system information tool 1.06 (written by random/random) Run by *** at 2009-09-07 01:16:15 Microsoft Windows XP Professional Service Pack 2 System drive C: has 3 GB (29%) free of 10 GB Total RAM: 511 MB (54% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 1:16:22, on 07.09.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir Desktop\sched.exe C:\Program Files\Avira\AntiVir Desktop\avguard.exe C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Creative\Shared Files\CTDevSrv.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe C:\Program Files\Creative\Software Update 3\SoftAuto.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\Лиза\Рабочий стол\RSIT.exe C:\Program Files\HiJack This\***.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - HKCU\..\Run: [SoftAuto.exe] "C:\Program Files\Creative\Software Update 3\SoftAuto.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://vkontakte.ru/uploader/ImageUploader4.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTDevSrv.exe O23 - Service: Creative Centrale Media Server (CTUPnPSv) - Creative Technology Ltd - C:\Program Files\Creative\Creative Centrale\CTUPnPSv.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: Сервис iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe -- End of file - 6048 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\AppleSoftwareUpdate.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22BF413B-C6D2-4d91-82A9-A0F997BA588C}] Skype add-on (mastermind) - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2008-11-18 1082880] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2006-07-12 7626752] "QuickTime Task"=C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe [2007-06-29 286720] "avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "PcSync"=C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe [2005-11-30 1306624] "SoftAuto.exe"=C:\Program Files\Creative\Software Update 3\SoftAuto.exe [2008-05-28 401408] "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2004-08-18 15360] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE [2004-08-18 15360] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTHelper] C:\WINDOWS\CTHELPER.EXE [2006-08-11 17920] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTxfiHlp] C:\WINDOWS\system32\CTXFIHLP.EXE [2006-08-11 18944] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] D:\itunes\iTunesHelper.exe [2007-09-26 267064] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] C:\WINDOWS\system32\NvCpl.dll [2006-07-12 7626752] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] C:\WINDOWS\system32\NvMcTray.dll [2006-07-12 86016] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] nwiz.exe /install [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE [2005-12-13 217088] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] C:\Program Files\K-Lite Codec Pack\QuickTime\QTTask.exe [2007-06-29 286720] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] C:\Program Files\Winamp\winampa.exe [2005-10-27 33792] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Microsoft Office.lnk] C:\PROGRA~1\MICROS~2\Office\OSA9.EXE [2005-03-03 65588] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Ускоренный запуск Adobe Reader.lnk] C:\PROGRA~1\Adobe\ACROBA~1.0\Reader\READER~1.EXE [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon] C:\Program Files\SUPERAntiSpyware\SASWINLO.dll [2008-12-22 356352] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 77824] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=323 "NoDriveAutoRun"=67108863 "NoDrives"=0 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveAutoRun"= "NoDriveTypeAutoRun"= "NoDrives"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "D:\StrongDC\StrongDC.exe"="D:\StrongDC\StrongDC.exe:*:Enabled:StrongDC++" "D:\itunes\iTunes.exe"="D:\itunes\iTunes.exe:*:Enabled:iTunes" "C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" ======List of files/folders created in the last 1 months====== 2009-09-06 23:49:53 ----SHD---- C:\RECYCLER 2009-09-06 23:39:44 ----D---- C:\Avenger 2009-09-06 23:39:44 ----A---- C:\avenger.txt 2009-09-05 00:37:31 ----D---- C:\Documents and Settings\***\Application Data\vlc 2009-09-05 00:37:31 ----D---- C:\Documents and Settings\***\Application Data\dvdcss 2009-09-04 14:07:51 ----D---- C:\WINDOWS\temp 2009-09-04 14:07:49 ----A---- C:\ComboFix.txt 2009-09-04 13:58:15 ----A---- C:\WINDOWS\zip.exe 2009-09-04 13:58:15 ----A---- C:\WINDOWS\SWXCACLS.exe 2009-09-04 13:58:15 ----A---- C:\WINDOWS\SWSC.exe 2009-09-04 13:58:15 ----A---- C:\WINDOWS\SWREG.exe 2009-09-04 13:58:15 ----A---- C:\WINDOWS\sed.exe 2009-09-04 13:58:15 ----A---- C:\WINDOWS\PEV.exe 2009-09-04 13:58:15 ----A---- C:\WINDOWS\NIRCMD.exe 2009-09-04 13:58:15 ----A---- C:\WINDOWS\grep.exe 2009-09-04 13:58:11 ----D---- C:\WINDOWS\ERDNT 2009-09-04 13:58:07 ----D---- C:\Qoobox 2009-09-03 12:04:05 ----D---- C:\Program Files\VideoLAN 2009-09-02 11:01:44 ----D---- C:\Documents and Settings\***\Application Data\Foxit 2009-09-02 11:01:11 ----D---- C:\Program Files\Foxit Software 2009-09-02 10:44:29 ----D---- C:\WINDOWS\system32\appmgmt 2009-09-02 10:41:55 ----SHD---- C:\Config.Msi 2009-09-02 07:47:01 ----D---- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com 2009-09-02 07:46:50 ----D---- C:\Program Files\SUPERAntiSpyware 2009-09-02 07:46:50 ----D---- C:\Documents and Settings\***\Application Data\SUPERAntiSpyware.com 2009-09-02 07:45:55 ----D---- C:\Program Files\Common Files\Wise Installation Wizard 2009-09-01 15:14:21 ----D---- C:\rsit 2009-09-01 15:07:38 ----D---- C:\Program Files\CCleaner 2009-09-01 14:37:40 ----D---- C:\Program Files\HiJack This 2009-08-24 09:58:52 ----D---- C:\Documents and Settings\Лиза\Application Data\Mozilla 2009-08-24 09:37:03 ----D---- C:\Program Files\Avira 2009-08-24 09:37:03 ----D---- C:\Documents and Settings\All Users\Application Data\Avira 2009-08-23 22:21:57 ----D---- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2009-08-23 22:20:57 ----D---- C:\Documents and Settings\***\Application Data\Malwarebytes 2009-08-23 22:20:51 ----D---- C:\Program Files\Malwarebytes' Anti-Malware 2009-08-23 22:20:51 ----D---- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2009-08-23 22:19:47 ----D---- C:\Program Files\Mozilla Firefox ======List of files/folders modified in the last 1 months====== 2009-09-07 01:15:31 ----D---- C:\WINDOWS\system32\CatRoot2 2009-09-07 01:14:35 ----A---- C:\WINDOWS\SchedLgU.Txt 2009-09-07 00:41:04 ----D---- C:\WINDOWS\Prefetch 2009-09-06 23:39:44 ----D---- C:\WINDOWS\system32\drivers 2009-09-06 23:39:44 ----D---- C:\WINDOWS 2009-09-04 16:52:59 ----D---- C:\Documents and Settings\***\Application Data\skypePM 2009-09-04 16:52:54 ----D---- C:\Documents and Settings\***\Application Data\Skype 2009-09-04 14:07:52 ----D---- C:\WINDOWS\system32 2009-09-04 14:06:56 ----RSHDC---- C:\WINDOWS\system32\dllcache 2009-09-04 14:05:02 ----A---- C:\WINDOWS\system.ini 2009-09-04 14:03:29 ----D---- C:\WINDOWS\system32\config 2009-09-04 14:02:06 ----D---- C:\WINDOWS\AppPatch 2009-09-04 14:02:03 ----D---- C:\Program Files\Common Files 2009-09-04 13:58:15 ----SHD---- C:\System Volume Information 2009-09-04 13:58:15 ----D---- C:\WINDOWS\system32\Restore 2009-09-04 13:14:01 ----D---- C:\WINDOWS\Minidump 2009-09-03 15:23:18 ----RD---- C:\Program Files 2009-09-02 10:44:50 ----D---- C:\Program Files\Google 2009-09-02 10:44:50 ----D---- C:\Documents and Settings\All Users\Application Data\Google 2009-09-02 10:44:49 ----SHD---- C:\WINDOWS\Installer 2009-09-01 15:08:54 ----D---- C:\WINDOWS\Debug 2009-08-25 11:30:54 ----SH---- C:\boot.ini 2009-08-25 11:30:54 ----A---- C:\WINDOWS\win.ini 2009-08-24 09:37:15 ----HD---- C:\WINDOWS\inf 2009-08-24 09:35:49 ----D---- C:\WINDOWS\WinSxS 2009-08-16 15:06:03 ----D---- C:\Program Files\Winamp 2009-08-14 23:34:25 ----SD---- C:\WINDOWS\Downloaded Program Files ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104] R1 intelppm;Драйвер Intel процессора; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-18 40448] R1 SASDIFSV;SASDIFSV; \??\C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS [] R1 SASKUTIL;SASKUTIL; \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.sys [] R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520] R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-07-28 55656] R3 Arp1394;Протокол клиента 1394 ARP; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2004-08-18 60800] R3 ctac32k;Creative AC3 Software Decoder; C:\WINDOWS\system32\drivers\ctac32k.sys [2006-08-11 502272] R3 ctaud2k;Creative Audio Driver (WDM); C:\WINDOWS\system32\drivers\ctaud2k.sys [2006-08-11 499584] R3 ctgame;Game Port; C:\WINDOWS\system32\DRIVERS\ctgame.sys [2002-12-30 12160] R3 ctprxy2k;Creative Proxy Driver; C:\WINDOWS\system32\drivers\ctprxy2k.sys [2006-08-11 7168] R3 ctsfm2k;Creative SoundFont Management Device Driver; C:\WINDOWS\system32\drivers\ctsfm2k.sys [2006-08-11 143872] R3 EL2000;3Com 3C2000x EtherLink XL Adapter; C:\WINDOWS\system32\DRIVERS\EL2K_XP.sys [2008-03-05 147328] R3 emupia;E-mu Plug-in Architecture Driver; C:\WINDOWS\system32\drivers\emupia2k.sys [2006-08-11 78336] R3 GEARAspiWDM;GEARAspiWDM; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2006-09-19 15664] R3 ha10kx2k;Creative Hardware Abstract Layer Driver; C:\WINDOWS\system32\drivers\ha10kx2k.sys [2006-08-11 766976] R3 hap16v2k;Creative P16V HAL Driver; C:\WINDOWS\system32\drivers\hap16v2k.sys [2006-08-11 154112] R3 NIC1394;Сетевой драйвер 1394; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2004-08-18 61824] R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2006-07-12 3934592] R3 ossrv;Creative OS Services Driver; C:\WINDOWS\system32\drivers\ctoss2k.sys [2006-08-11 116224] R3 usbehci;Драйвер минипорта Microsoft USB 2.0 расширенного хост-контроллера; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-18 26624] R3 usbhub;USB2 концентратор; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-18 57600] R3 usbuhci;Драйвер минипорта Microsoft USB универсального хост-контроллера; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-18 20480] S3 catchme;catchme; \??\C:\ComboFix\catchme.sys [] S3 ctdvda2k;Creative DVD-Audio Device Driver; C:\WINDOWS\system32\drivers\ctdvda2k.sys [2005-11-10 340704] S3 hap17v2k;Creative P17V HAL Driver; C:\WINDOWS\system32\drivers\hap17v2k.sys [2006-08-11 180224] S3 Nokia USB Generic;Nokia USB Generic; C:\WINDOWS\system32\drivers\nmwcdc.sys [2005-10-13 8704] S3 Nokia USB Modem;Nokia USB Modem; C:\WINDOWS\system32\drivers\nmwcdcm.sys [2005-10-13 12800] S3 Nokia USB Phone Parent;Nokia USB Phone Parent; C:\WINDOWS\system32\drivers\nmwcd.sys [2005-10-13 124928] S3 Nokia USB Port;Nokia USB Port; C:\WINDOWS\system32\drivers\nmwcdcj.sys [2005-10-13 12800] S3 SASENUM;SASENUM; \??\C:\Program Files\SUPERAntiSpyware\SASENUM.SYS [] S3 USBAAPL;Apple Mobile USB Driver; C:\WINDOWS\System32\Drivers\usbaapl.sys [2007-09-06 30336] S3 USBSTOR;Драйвер запоминающих устройств для USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496] S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944] S4 WS2IFSL;Среда Windows Socket 2.0 поддержки поставщиков не-IFS служб; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2004-08-18 12032] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AntiVirSchedulerService;Avira AntiVir Scheduler; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289] R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089] R2 Apple Mobile Device;Apple Mobile Device; C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2007-09-06 110592] R2 CTDevice_Srv;CT Device Query service; C:\Program Files\Creative\Shared Files\CTDevSrv.exe [2007-04-02 61440] R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2006-07-12 155715] R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2004-08-18 14336] S3 CTUPnPSv;Creative Centrale Media Server; C:\Program Files\Creative\Creative Centrale\CTUPnPSv.exe [2008-05-21 64000] S3 iPod Service;Сервис iPod; C:\Program Files\iPod\bin\iPodService.exe [2007-09-26 503608] S3 WMPNetworkSvc;Служба общих сетевых ресурсов проигрывателя Windows Media; C:\Program Files\Windows Media Player\WMPNetwk.exe [2006-11-02 914944] -----------------EOF-----------------  Morgen werde ich dann das Kaspersky-Ergebnis posten, da es mir fuer heute Nacht doch zu lange wird. Ich bin mal wieder gespannt, was der so alles findet bzw. nicht findet! |
|
07.09.2009, 10:55
| #32 | |
| | Kaspersky-Online-Scan-Log Hier noch der Log von Kaspersky (hat ganze 5 Stunden gedauert!):
__________________Code:
ATTFilter -------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Montag, 7. September 2009 15:51:31
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.2
Letztes Update der Antiviren-Datenbanken: 7/09/2009
Anzahl der Einträge in den Antiviren-Datenbanken: 2755086
-------------------------------------------------------------------------------
Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja
Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\
Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 91812
Viren gefunden: 2
Infizierte Objekte gefunden: 17
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 05:14:57
Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\avguard.tmp Das Objekt ist gesperrt übersprungen
C:\Documents and Settings\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Documents and Settings\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Documents and Settings\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Documents and Settings\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Documents and Settings\***\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Documents and Settings\***\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Documents and Settings\***\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Documents and Settings\***\Local Settings\History\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Documents and Settings\***\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Das Objekt ist gesperrt übersprungen
C:\Documents and Settings\***\Local Settings\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Documents and Settings\***\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Documents and Settings\***\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{604E0E7F-B06F-4102-AEE5-4EE4F8C03AAF}\RP3\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\02.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\Distrib\Secure\Radmin\Radmin20.exe/R_server.exe Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.RAdmin.20 übersprungen
D:\Distrib\Secure\Radmin\Radmin20.exe/raddrv.dll Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.RAdmin.20 übersprungen
D:\Distrib\Secure\Radmin\Radmin20.exe/AdmDll.dll Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.RAdmin.20 übersprungen
D:\Distrib\Secure\Radmin\Radmin20.exe/Radmin.exe Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.RAdmin.20 übersprungen
D:\Distrib\Secure\Radmin\Radmin20.exe Vise: infiziert - 4 übersprungen
D:\Distrib\Secure\Radmin\radmin21.zip/RADMIN21.EXE/AdmDll.dll Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.RAdmin.20 übersprungen
D:\Distrib\Secure\Radmin\radmin21.zip/RADMIN21.EXE/raddrv.dll Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.RAdmin.20 übersprungen
D:\Distrib\Secure\Radmin\radmin21.zip/RADMIN21.EXE/radmin.exe Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.RAdmin.21 übersprungen
D:\Distrib\Secure\Radmin\radmin21.zip/RADMIN21.EXE/r_server.exe Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.RAdmin.21 übersprungen
D:\Distrib\Secure\Radmin\radmin21.zip/RADMIN21.EXE Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.RAdmin.21 übersprungen
D:\Distrib\Secure\Radmin\radmin21.zip ZIP: infiziert - 5 übersprungen
D:\Distrib\Secure\Radmin\radminru.zip/radminru.exe/AdmDll.dll Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.RAdmin.20 übersprungen
D:\Distrib\Secure\Radmin\radminru.zip/radminru.exe/raddrv.dll Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.RAdmin.20 übersprungen
D:\Distrib\Secure\Radmin\radminru.zip/radminru.exe/radmin.exe Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.RAdmin.21 übersprungen
D:\Distrib\Secure\Radmin\radminru.zip/radminru.exe/r_server.exe Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.RAdmin.21 übersprungen
D:\Distrib\Secure\Radmin\radminru.zip/radminru.exe Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.RAdmin.21 übersprungen
D:\Distrib\Secure\Radmin\radminru.zip ZIP: infiziert - 5 übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
Die Untersuchung wurde abgeschlossen.
Was mich wundert ist hingegen der Eintrag "C:\System Volume Information\_restore{604E0E7F-B06F-4102-AEE5-4EE4F8C03AAF}\RP3\change.log", da ich die Systemwiederherstellung deaktiviert habe und eigentlich nix mehr drin sein sollte. Und dann wieder mal unsere Lieblings-02.tmp-Datei. Was mir noch aufgefallen ist: ich kann die D-Platte nicht mehr normal oeffnen (es kommt immer das "Oeffnen mit..." Fenster mit Programmliste). Dieses Verhalten tritt erst auf, seit ich Avira und Malwarebytes installiert habe und mit der Systemreinigung angefangen habe. Deshalb wuerde die Erklaerung von Chris4You ganz gut passen (aus einem anderen Thema, aber zum gleichen Sachverhalt): Zitat:
Thx! |
|
07.09.2009, 18:00
| #33 |
  | Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? Radmin <<<Fernsteuerungssoftware, frage mal deine Gastfamilie wozu sie diesen benötigten.
__________________Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation
__________________ |
|
08.09.2009, 06:46
| #34 |
| | PandaActiveScan-Log Hier der Panda-Log (ging zum Glueck schneller als Kaspersky): Code:
ATTFilter ;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-09-08 11:34:58
PROTECTIONS: 1
MALWARE: 4
SUSPECTS: 7
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
AntiVir Desktop 9.0.1.32 Yes Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00167642 Cookie/Com.com TrackingCookie No 0 Yes No D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Cookies\администратор@com[1].txt
00590315 Rootkit/Agent.LNB HackTools No 0 Yes No C:\System Volume Information\_restore{604E0E7F-B06F-4102-AEE5-4EE4F8C03AAF}\RP3\A0000136.sys
01675833 Trj/SMSlock.C Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{604E0E7F-B06F-4102-AEE5-4EE4F8C03AAF}\RP3\A0000134.exe
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{604E0E7F-B06F-4102-AEE5-4EE4F8C03AAF}\RP1\A0000026.sys
;===================================================================================================================================================================================
SUSPECTS
Sent Location
;===================================================================================================================================================================================
No D:\Distrib\Antivirus\symantec\Symantec AntiVirus Corporate Edition v9.0\Rollout\AVServer\CLIENTS\WIN32\Data1.cab[vpshell2.dll.ECFEE69D_DA66_4F00_ABE5_54E931059C01]
No D:\Distrib\Antivirus\symantec\Symantec AntiVirus Corporate Edition v9.0\Rollout\AVServer\SERVER\WINNT\Data1.cab[vpshell2.dll.ECFEE69D_DA66_4F00_ABE5_54E931059C01]
No D:\Distrib\Antivirus\symantec\Symantec AntiVirus Corporate Edition v9.0\SAV\Data1.cab[vpshell2.dll.ECFEE69D_DA66_4F00_ABE5_54E931059C01]
No D:\Distrib\Antivirus\symantec\Symantec AntiVirus Corporate Edition v9.0\SAVWin64\Data1.cab[vpshell2.dll.ECFEE69D_DA66_4F00_ABE5_54E931059C01]
No D:\Distrib\Multimedia\CDCopy\Nero\Nero 5.5.9.14\tsrh-nero55914_kg.zip[tsrh-nero55914_kg.exe]
No D:\Distrib\Secure\Radmin\radminru.zip[radminru.exe]
No D:\Distrib\Utils\Disk\Acronis\acronis5.zip[acrkggui.exe]
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================================================
211784 HIGH MS09-032
211781 HIGH MS09-029
210625 HIGH MS09-026
210624 HIGH MS09-025
210621 HIGH MS09-022
210618 HIGH MS09-019
208380 HIGH MS09-015
208379 HIGH MS09-014
208378 HIGH MS09-013
208377 HIGH MS09-012
206981 HIGH MS09-007
206980 HIGH MS09-006
205735 HIGH MS09-002
204670 HIGH MS09-001
203806 HIGH MS08-078
203508 HIGH MS08-073
203505 HIGH MS08-071
202465 HIGH MS08-068
;===================================================================================================================================================================================
 Schon wieder sind die Schaedlinge in der "System Volume Information" aufgetaucht, obwohl ich diese ausgeschaltet habe. Nachdem ich jetzt aber mal in der Systemsteuerung nachgeschaut habe, sehe ich, dass sie wieder an ist! Da dies nicht manuell ausgehfuehrt wurde, muss irgendeine Software (entweder die ganzen Rettungsprogramme oder die Schadprogramme) die Systemwiederherstellung wieder eingeschaltet haben. Ich werde jetzt mal die Systemwiederherstellung ausschalten und neustarten, dann lasse ich mal noch Mbam im QuickScan drueberlaufen. Ach ja, ich liebe Computer.... |
|
08.09.2009, 09:38
| #35 |
| | weiteres Mbam-Log Hi! So, die Systemwiederherstellung ist jetzt fuer's erste mal wieder lahmgelegt. Der QuickScan mit Mbam hat aber wieder etwas anderes gefunden: Code:
ATTFilter Malwarebytes' Anti-Malware 1.40
Database version: 2756
Windows 5.1.2600 Service Pack 2
08.09.2009 11:58:21
mbam-log-2009-09-08 (11-58-16).txt
Scan type: Quick Scan
Objects scanned: 91287
Time elapsed: 3 minute(s), 58 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 1
Folders Infected: 0
Files Infected: 0
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
(No malicious items detected)
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
HKEY_CLASSES_ROOT\Drive\shell\(default) (Hijack.Drives) -> Bad: (open) Good: (none) -> No action taken.
Folders Infected:
(No malicious items detected)
Files Infected:
(No malicious items detected)
Was mich noch interessieren wuerde: war dieser "svchost.exe", den GMER beim ersten Mal gefunden hat, wirklich ein Rootkit oder eher ein Fehlalarm? Und noch zu deiner Frage: meine Gastfamilie hier hat noch nie etwas von RAdmin gehoert, geschweige denn diese Programm installiert. Der PC wurde ihnen immer von Bekannten aufgesetzt, die sich mit Computern auskennen, und ich nehme an, dass jemand von denen dieses Programm damals installiert hat. Kann ich eigentlich die nicht mehr notwendigen und nicht erwuenschten Sachen (wie z.B. dieser RAdmin und Dateien der ehemaligen Win2000-Partition) einfach vom Laufwerk D loeschen? Mir ist sowieso nicht ganz klar, weshalb man seine alte Partition konserviert, anstatt nur die gesicherten Mediadateien zu behalten, denn man braucht sie ja definitiv nicht mehr. OK, das war's soweit mal wieder von mir. Sonja |
|
08.09.2009, 13:44
| #36 | |
| | Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)?Zitat:
 Entferne alles von Panda gefundene. 1. Rootkitsuche mit SysProt
2. Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte. 3. Neues Avira - Log in diesen Agressiven Einstellungen! 4. Erneute RSIT 5. Wie geht es dem Rechner nun? Auffälligkeiten?
__________________ --> Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? |
|
08.09.2009, 15:25
| #37 |
| | Sysprot und Prevx Hallo, hier wieder mal ein paar Logs (die Schaedlinge in der Systeme Volume Control wurden durch Deaktivierung der Systemwiederherstellung entfernt, zudem habe ich einige Sachen wie z.B. RAdmin von Volume D runtergeschmissen): 1) Sysprot: Code:
ATTFilter SysProt AntiRootkit v1.0.1.0
by swatkat
******************************************************************************************
******************************************************************************************
******************************************************************************************
******************************************************************************************
Kernel Modules:
Module Name: \SystemRoot\System32\Drivers\dump_atapi.sys
Service Name: ---
Module Base: F65E6000
Module End: F65FE000
Hidden: Yes
Module Name: \SystemRoot\System32\Drivers\dump_WMILIB.SYS
Service Name: ---
Module Base: F8A7F000
Module End: F8A81000
Hidden: Yes
******************************************************************************************
******************************************************************************************
No Kernel Hooks found
******************************************************************************************
******************************************************************************************
Hidden files/folders:
Object: D:\Headquarters\El talisman!!!.doc
Status: Hidden
Object: D:\Headquarters\Exams2009\***\Salzburg\Theorieprufungen_Juni_2009_-_Version_17.3.2009.doc
Status: Hidden
Object: D:\Headquarters\stuff\Ole.doc
Status: Hidden
Object: D:\Multimedia\latina(ot Goshy)\Новая папка (2)\Anoranza por una Conga.wma
Status: Hidden
Object: D:\System Volume Information\MountPointManagerRemoteDatabase
Status: Access denied
Object: D:\System Volume Information\tracking.log
Status: Access denied
Object: D:\System Volume Information\_restore{37A2F048-7689-44E6-A130-FACD56A28E3D}
Status: Access denied
Object: D:\Скопировано с диска C\Рабочий стол\S telefona\$tuff\I love Koln
Status: Hidden
Object: D:\Скопировано с диска C\Файлы с диска С\Новая папка\Documents and Settings\Администратор.ROMASHKI\Application Data\Microsoft\Office\Последние файлы\El talisman!!!.LNK
Status: Hidden
Object: C:\Cecilia Bartoli\1991 - Mozart Arias (1991 Decca 1991)\01 - 'Non so piu' (Cherubino), Le nozze di Figaro (K492), act I, aria.mp3
Status: Hidden
Object: C:\Cecilia Bartoli\1991 - Mozart Arias (1991 Decca 1991)\04 - 'E amore un ladroncello' (Dorabella), Cosi fan tutte (K588), act II, aria.mp3
Status: Hidden
Object: C:\Cecilia Bartoli\1991 - Mozart Arias (1991 Decca 1991)\10 - 'Ecco il punto, o Vitellia... Non piu di fiori' (Vitellia), Laclemenza di Tit....mp3
Status: Hidden
Object: C:\Documents and Settings\***\Избранное\Berlin - Die Zauberflote in der U-Bahn - Online Musik Magazin.url
Status: Hidden
Object: C:\Documents and Settings\***\Избранное\Deutschkenntnisse MDW Universitat fur Musik und darstellende Kunst Wien.url
Status: Hidden
Object: C:\Documents and Settings\***\Избранное\Die Zauberflote in der U-Bahn.url
Status: Hidden
Object: C:\Documents and Settings\***\Избранное\Hochschule fur Musik Wurzburg Bewerbung - Zulassung.url
Status: Hidden
Object: C:\Documents and Settings\***\Избранное\Homepage der Staatlichen Hochschule fur Musik und Darstellende Kunst Mannheim.url
Status: Hidden
Object: C:\Documents and Settings\***\Избранное\Zulassungsvoraussetzung allgemein MDW Universitat fur Musik und darstellende Kunst Wien.url
Status: Hidden
Object: C:\Documents and Settings\***\Рабочий стол\***\Saalannisch.doc
Status: Hidden
Object: C:\System Volume Information\MountPointManagerRemoteDatabase
Status: Access denied
Object: C:\System Volume Information\tracking.log
Status: Access denied
Aehem, ich habe versucht, das Bildchen als .doc-File anzuhaengen, aber die Datei ist zu gross. Eine andere Art und Weise, den Screenshot zu posten, habe ich nicht gefunden, deshalb hier die Transkription der 2 Funde: "2 infections have been identified on your system Status: Threat, Name: user32.dll in c:\windows\system32\, Threat Identified: malware component Status: Threat, Name: winlogon.exe in c:\windows\system32\, Threat Identified: malware component" 3) Avira und RSIT-Log folgen in ca. 2 Stunden |
|
08.09.2009, 16:42
| #38 |
| | Avira und RSIT-log 3) Avira: Code:
ATTFilter Scanning for 1695182 virus strains and unwanted programs.
Licensee : Avira AntiVir Personal - FREE Antivirus
Serial number : 0000149996-ADJIE-0000001
Boot mode : Normally booted
Starting search for hidden objects.
'30403' objects were checked, '0' hidden objects were found.
The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'wscntfy.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'SERVIC~1.EXE' - '1' Module(s) have been scanned
Scan process 'MPAPI3s.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'CTDevSrv.exe' - '1' Module(s) have been scanned
Scan process 'AppleMobileDeviceService.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'SoftAuto.exe' - '1' Module(s) have been scanned
Scan process 'PcSync2.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
29 processes with 29 modules were scanned
Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!
Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'D:\'
[INFO] No virus was found!
Starting to scan executable files (registry).
The registry was scanned ( '43' files ).
Starting the file scan:
Begin scan in 'C:\'
C:\hiberfil.sys
[WARNING] The file could not be opened!
[NOTE] This file is a Windows system file.
[NOTE] This file cannot be opened for scanning.
C:\pagefile.sys
[WARNING] The file could not be opened!
[NOTE] This file is a Windows system file.
[NOTE] This file cannot be opened for scanning.
Begin scan in 'D:\' <Work>
D:\RealPlayer10-5GOLD_bb.exe
[WARNING] The file could not be opened!
D:\Distrib\Arc\WinAce\wace211.exe
[0] Archive type: ACE SFX (self extracting)
--> winace.cnt
[WARNING] Out of memory! The virus or unwanted program was not deleted!
--> winace_enu.cnt
[WARNING] No further files can be extracted from this archive. The archive will be closed
[WARNING] No further files can be extracted from this archive. The archive will be closed
D:\WUTemp\Мои Документы\***\Свадьбы\Пашина свадьба\венчание .jpeg
[0] Archive type: MacBinary
--> pasha3.rsrc
[WARNING] The file could not be read!
[WARNING] The file could not be read!
Used time: 54:17 Minute(s)
The scan has been done completely.
6593 Scanned directories
366204 Files were scanned
0 Viruses and/or unwanted programs were found
0 Files were classified as suspicious
0 files were deleted
0 Viruses and unwanted programs were repaired
0 Files were moved to quarantine
0 Files were renamed
3 Files cannot be scanned
366201 Files not concerned
12460 Archives were scanned
8 Warnings
2 Notes
30403 Objects were scanned with rootkit scan
0 Hidden objects were found
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe C:\Program Files\Creative\Software Update 3\SoftAuto.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Creative\Shared Files\CTDevSrv.exe C:\WINDOWS\system32\nvsvc32.exe C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE C:\Program Files\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\svchost.exe C:\Documents and Settings\***\Рабочий стол\RSIT.exe C:\Program Files\HiJack This\***.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - HKCU\..\Run: [SoftAuto.exe] "C:\Program Files\Creative\Software Update 3\SoftAuto.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://vkontakte.ru/uploader/ImageUploader4.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: CSIScanner - Prevx - C:\Program Files\Prevx\prevx.exe O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTDevSrv.exe O23 - Service: Creative Centrale Media Server (CTUPnPSv) - Creative Technology Ltd - C:\Program Files\Creative\Creative Centrale\CTUPnPSv.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: Сервис iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe -- End of file - 6119 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\AppleSoftwareUpdate.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22BF413B-C6D2-4d91-82A9-A0F997BA588C}] Skype add-on (mastermind) - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2008-11-18 1082880] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2006-07-12 7626752] "QuickTime Task"=C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe [2007-06-29 286720] "avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "PcSync"=C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe [2005-11-30 1306624] "SoftAuto.exe"=C:\Program Files\Creative\Software Update 3\SoftAuto.exe [2008-05-28 401408] "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2004-08-18 15360] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE [2004-08-18 15360] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTHelper] C:\WINDOWS\CTHELPER.EXE [2006-08-11 17920] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTxfiHlp] C:\WINDOWS\system32\CTXFIHLP.EXE [2006-08-11 18944] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] D:\itunes\iTunesHelper.exe [2007-09-26 267064] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] C:\WINDOWS\system32\NvCpl.dll [2006-07-12 7626752] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] C:\WINDOWS\system32\NvMcTray.dll [2006-07-12 86016] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] nwiz.exe /install [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE [2005-12-13 217088] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] C:\Program Files\K-Lite Codec Pack\QuickTime\QTTask.exe [2007-06-29 286720] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] C:\Program Files\Winamp\winampa.exe [2005-10-27 33792] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Microsoft Office.lnk] C:\PROGRA~1\MICROS~2\Office\OSA9.EXE [2005-03-03 65588] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Ускоренный запуск Adobe Reader.lnk] C:\PROGRA~1\Adobe\ACROBA~1.0\Reader\READER~1.EXE [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon] C:\Program Files\SUPERAntiSpyware\SASWINLO.dll [2008-12-22 356352] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 77824] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=323 "NoDriveAutoRun"=67108863 "NoDrives"=0 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveAutoRun"= "NoDriveTypeAutoRun"= "NoDrives"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "D:\StrongDC\StrongDC.exe"="D:\StrongDC\StrongDC.exe:*:Enabled:StrongDC++" "D:\itunes\iTunes.exe"="D:\itunes\iTunes.exe:*:Enabled:iTunes" "C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" ======List of files/folders created in the last 1 months====== 2009-09-08 20:08:17 ----D---- C:\Program Files\Prevx 2009-09-08 20:07:53 ----D---- C:\Documents and Settings\All Users\Application Data\PrevxCSI 2009-09-08 20:07:53 ----A---- C:\WINDOWS\wininit.ini 2009-09-08 09:05:58 ----D---- C:\Program Files\Panda Security 2009-09-06 23:49:53 ----SHD---- C:\RECYCLER 2009-09-05 00:37:31 ----D---- C:\Documents and Settings\Лиза\Application Data\vlc 2009-09-05 00:37:31 ----D---- C:\Documents and Settings\Лиза\Application Data\dvdcss 2009-09-04 14:07:51 ----D---- C:\WINDOWS\temp 2009-09-04 14:07:49 ----A---- C:\ComboFix.txt 2009-09-04 13:58:15 ----A---- C:\WINDOWS\zip.exe 2009-09-04 13:58:15 ----A---- C:\WINDOWS\SWXCACLS.exe 2009-09-04 13:58:15 ----A---- C:\WINDOWS\SWSC.exe 2009-09-04 13:58:15 ----A---- C:\WINDOWS\SWREG.exe 2009-09-04 13:58:15 ----A---- C:\WINDOWS\sed.exe 2009-09-04 13:58:15 ----A---- C:\WINDOWS\PEV.exe 2009-09-04 13:58:15 ----A---- C:\WINDOWS\NIRCMD.exe 2009-09-04 13:58:15 ----A---- C:\WINDOWS\grep.exe 2009-09-04 13:58:11 ----D---- C:\WINDOWS\ERDNT 2009-09-04 13:58:07 ----D---- C:\Qoobox 2009-09-03 12:04:05 ----D---- C:\Program Files\VideoLAN 2009-09-02 11:01:44 ----D---- C:\Documents and Settings\Лиза\Application Data\Foxit 2009-09-02 11:01:11 ----D---- C:\Program Files\Foxit Software 2009-09-02 10:44:29 ----D---- C:\WINDOWS\system32\appmgmt 2009-09-02 10:41:55 ----SHD---- C:\Config.Msi 2009-09-02 07:47:01 ----D---- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com 2009-09-02 07:46:50 ----D---- C:\Program Files\SUPERAntiSpyware 2009-09-02 07:46:50 ----D---- C:\Documents and Settings\Лиза\Application Data\SUPERAntiSpyware.com 2009-09-02 07:45:55 ----D---- C:\Program Files\Common Files\Wise Installation Wizard 2009-09-01 15:14:21 ----D---- C:\rsit 2009-09-01 15:07:38 ----D---- C:\Program Files\CCleaner 2009-09-01 14:37:40 ----D---- C:\Program Files\HiJack This 2009-08-24 09:58:52 ----D---- C:\Documents and Settings\Лиза\Application Data\Mozilla 2009-08-24 09:37:03 ----D---- C:\Program Files\Avira 2009-08-24 09:37:03 ----D---- C:\Documents and Settings\All Users\Application Data\Avira 2009-08-23 22:21:57 ----D---- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2009-08-23 22:20:57 ----D---- C:\Documents and Settings\Лиза\Application Data\Malwarebytes 2009-08-23 22:20:51 ----D---- C:\Program Files\Malwarebytes' Anti-Malware 2009-08-23 22:20:51 ----D---- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2009-08-23 22:19:47 ----D---- C:\Program Files\Mozilla Firefox ======List of files/folders modified in the last 1 months====== 2009-09-08 20:30:04 ----D---- C:\WINDOWS\Prefetch 2009-09-08 20:19:27 ----D---- C:\WINDOWS 2009-09-08 20:08:18 ----D---- C:\WINDOWS\system32\drivers 2009-09-08 20:08:17 ----RD---- C:\Program Files 2009-09-08 19:52:32 ----D---- C:\WINDOWS\system32\CatRoot2 2009-09-08 19:37:45 ----D---- C:\distr 2009-09-08 19:37:14 ----D---- C:\WINDOWS\system32 2009-09-08 19:23:43 ----N---- C:\WINDOWS\SchedLgU.Txt 2009-09-08 11:47:24 ----D---- C:\WINDOWS\system32\Restore 2009-09-08 09:06:48 ----HD---- C:\WINDOWS\inf 2009-09-07 10:06:50 ----SD---- C:\WINDOWS\Downloaded Program Files 2009-09-04 16:52:59 ----D---- C:\Documents and Settings\Лиза\Application Data\skypePM 2009-09-04 16:52:54 ----D---- C:\Documents and Settings\Лиза\Application Data\Skype 2009-09-04 14:06:56 ----RSHDC---- C:\WINDOWS\system32\dllcache 2009-09-04 14:05:02 ----A---- C:\WINDOWS\system.ini 2009-09-04 14:03:29 ----D---- C:\WINDOWS\system32\config 2009-09-04 14:02:06 ----D---- C:\WINDOWS\AppPatch 2009-09-04 14:02:03 ----D---- C:\Program Files\Common Files 2009-09-04 13:58:15 ----SHD---- C:\System Volume Information 2009-09-04 13:14:01 ----D---- C:\WINDOWS\Minidump 2009-09-02 10:44:50 ----D---- C:\Program Files\Google 2009-09-02 10:44:50 ----D---- C:\Documents and Settings\All Users\Application Data\Google 2009-09-02 10:44:49 ----SHD---- C:\WINDOWS\Installer 2009-09-01 15:08:54 ----D---- C:\WINDOWS\Debug 2009-08-25 11:30:54 ----SH---- C:\boot.ini 2009-08-25 11:30:54 ----A---- C:\WINDOWS\win.ini 2009-08-24 09:35:49 ----D---- C:\WINDOWS\WinSxS 2009-08-16 15:06:03 ----D---- C:\Program Files\Winamp ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104] R1 intelppm;Драйвер Intel процессора; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-18 40448] R1 SASDIFSV;SASDIFSV; \??\C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS [] R1 SASKUTIL;SASKUTIL; \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.sys [] R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520] R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-07-28 55656] R3 Arp1394;Протокол клиента 1394 ARP; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2004-08-18 60800] R3 ctac32k;Creative AC3 Software Decoder; C:\WINDOWS\system32\drivers\ctac32k.sys [2006-08-11 502272] R3 ctaud2k;Creative Audio Driver (WDM); C:\WINDOWS\system32\drivers\ctaud2k.sys [2006-08-11 499584] R3 ctgame;Game Port; C:\WINDOWS\system32\DRIVERS\ctgame.sys [2002-12-30 12160] R3 ctprxy2k;Creative Proxy Driver; C:\WINDOWS\system32\drivers\ctprxy2k.sys [2006-08-11 7168] R3 ctsfm2k;Creative SoundFont Management Device Driver; C:\WINDOWS\system32\drivers\ctsfm2k.sys [2006-08-11 143872] R3 EL2000;3Com 3C2000x EtherLink XL Adapter; C:\WINDOWS\system32\DRIVERS\EL2K_XP.sys [2008-03-05 147328] R3 emupia;E-mu Plug-in Architecture Driver; C:\WINDOWS\system32\drivers\emupia2k.sys [2006-08-11 78336] R3 GEARAspiWDM;GEARAspiWDM; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2006-09-19 15664] R3 ha10kx2k;Creative Hardware Abstract Layer Driver; C:\WINDOWS\system32\drivers\ha10kx2k.sys [2006-08-11 766976] R3 hap16v2k;Creative P16V HAL Driver; C:\WINDOWS\system32\drivers\hap16v2k.sys [2006-08-11 154112] R3 NIC1394;Сетевой драйвер 1394; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2004-08-18 61824] R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2006-07-12 3934592] R3 ossrv;Creative OS Services Driver; C:\WINDOWS\system32\drivers\ctoss2k.sys [2006-08-11 116224] R3 usbehci;Драйвер минипорта Microsoft USB 2.0 расширенного хост-контроллера; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-18 26624] R3 usbhub;USB2 концентратор; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-18 57600] R3 usbuhci;Драйвер минипорта Microsoft USB универсального хост-контроллера; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-18 20480] S3 catchme;catchme; \??\C:\ComboFix\catchme.sys [] S3 ctdvda2k;Creative DVD-Audio Device Driver; C:\WINDOWS\system32\drivers\ctdvda2k.sys [2005-11-10 340704] S3 hap17v2k;Creative P17V HAL Driver; C:\WINDOWS\system32\drivers\hap17v2k.sys [2006-08-11 180224] S3 Nokia USB Generic;Nokia USB Generic; C:\WINDOWS\system32\drivers\nmwcdc.sys [2005-10-13 8704] S3 Nokia USB Modem;Nokia USB Modem; C:\WINDOWS\system32\drivers\nmwcdcm.sys [2005-10-13 12800] S3 Nokia USB Phone Parent;Nokia USB Phone Parent; C:\WINDOWS\system32\drivers\nmwcd.sys [2005-10-13 124928] S3 Nokia USB Port;Nokia USB Port; C:\WINDOWS\system32\drivers\nmwcdcj.sys [2005-10-13 12800] S3 SASENUM;SASENUM; \??\C:\Program Files\SUPERAntiSpyware\SASENUM.SYS [] S3 USBAAPL;Apple Mobile USB Driver; C:\WINDOWS\System32\Drivers\usbaapl.sys [2007-09-06 30336] S3 USBSTOR;Драйвер запоминающих устройств для USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496] S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944] S4 sr;Драйвер фильтра восстановления системы; C:\WINDOWS\system32\DRIVERS\sr.sys [2004-08-18 73472] S4 WS2IFSL;Среда Windows Socket 2.0 поддержки поставщиков не-IFS служб; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2004-08-18 12032] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AntiVirSchedulerService;Avira AntiVir Scheduler; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289] R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089] R2 Apple Mobile Device;Apple Mobile Device; C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2007-09-06 110592] R2 CTDevice_Srv;CT Device Query service; C:\Program Files\Creative\Shared Files\CTDevSrv.exe [2007-04-02 61440] R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2006-07-12 155715] R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2004-08-18 14336] S2 CSIScanner;CSIScanner; C:\Program Files\Prevx\prevx.exe [2009-09-08 4368952] S3 CTUPnPSv;Creative Centrale Media Server; C:\Program Files\Creative\Creative Centrale\CTUPnPSv.exe [2008-05-21 64000] S3 iPod Service;Сервис iPod; C:\Program Files\iPod\bin\iPodService.exe [2007-09-26 503608] S3 WMPNetworkSvc;Служба общих сетевых ресурсов проигрывателя Windows Media; C:\Program Files\Windows Media Player\WMPNetwk.exe [2006-11-02 914944] Dem Rechner geht es hervorragend, er ist schnell, zeigt keine komischen Fenster oder Aktivitaeten an, aber wie wir wissen, heisst das ja noch lange nicht, dass er auch sauber und frei von Malware ist...  |
|
08.09.2009, 16:50
| #39 | |
| | Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)?Zitat:
Ich kann nur der Familie anraten den PC neuaufzusetzen, aber naja, das Thema hatten wir ja beide ja ganz am Anfang des Maleurs. Du siehst ja wir sitzen schon sehr lange an dem Rechner und er ist immer noch teils infiziert. Neuaufsetzen ist immer die sicherste und schnellste Variante von allem. Bereinigen dauert Tage, sogar Wochen, wir sitzen ja auch schon fast ne Woche Aber nundenn, noch einen Scan dann sind wir durch und schauen dann weiter. Downloade Dr Web Cure IT führe es mit einem Fullscan aus (alle Festplatten - Partitionen scannen). Alles was er findet bitte entfernen und Rückmeldung wie wo und was gefunden wurde.
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around!  |
|
09.09.2009, 04:10
| #40 | |
| | Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? Hallo! Zitat:
Dr Web Cure IT mache ich gleich, vorher wollte ich noch Updates posten: - ich habe per Ubuntu-Live-DVD den WinAce und die 02.tmp entfernt; ich wollte auch den RealPlayer10-5GOLD_bb.exe von D entfernen, allerdings wird er mir unter Ubuntu nicht angezeigt (auch wird er bei der Suche nicht gefunden), in Windows hingegen schon (hier kann ich ihn aber wegen eines Fehlers nicht loeschen)  - ich kann auf die D-Platte nach den o.g. Loeschungen wieder normal zugreifen!  - ich habe die beiden von Prevx beanstandeten Dateien bei virustotal hochgeladen: Code:
ATTFilter File user32.dll received on 2009.09.09 01:49:29 (UTC)
Current status: finished
Result: 4/41 (9.76%)
AhnLab-V3 5.0.0.2 2009.09.08 -
AntiVir 7.9.1.12 2009.09.08 -
Antiy-AVL 2.0.3.7 2009.09.08 -
Authentium 5.1.2.4 2009.09.08 -
Avast 4.8.1351.0 2009.09.08 -
AVG 8.5.0.409 2009.09.09 -
BitDefender 7.2 2009.09.09 -
CAT-QuickHeal 10.00 2009.09.08 -
ClamAV 0.94.1 2009.09.08 -
Comodo 2204 2009.09.09 -
DrWeb 5.0.0.12182 2009.09.09 -
eSafe 7.0.17.0 2009.09.08 -
eTrust-Vet 31.6.6726 2009.09.08 -
F-Prot 4.5.1.85 2009.09.08 -
F-Secure 8.0.14470.0 2009.09.09 -
Fortinet 3.120.0.0 2009.09.08 -
GData 19 2009.09.09 -
Ikarus T3.1.1.72.0 2009.09.09 -
Jiangmin 11.0.800 2009.09.08 Trojan/Patched.uo
K7AntiVirus 7.10.839 2009.09.08 Trojan.Win32.Patched.bb
Kaspersky 7.0.0.125 2009.09.09 -
McAfee 5735 2009.09.08 -
McAfee+Artemis 5735 2009.09.08 Artemis!94F595B4BB62
McAfee-GW-Edition 6.8.5 2009.09.08 -
Microsoft 1.5005 2009.09.08 -
NOD32 4408 2009.09.09 -
Norman 6.01.09 2009.09.08 W32/Smalltroj.JTQQ
nProtect 2009.1.8.0 2009.09.08 -
Panda 10.0.2.2 2009.09.08 -
PCTools 4.4.2.0 2009.09.07 -
Prevx 3.0 2009.09.09 -
Rising 21.46.14.00 2009.09.08 -
Sophos 4.45.0 2009.09.09 -
Sunbelt 3.2.1858.2 2009.09.09 -
Symantec 1.4.4.12 2009.09.09 -
TheHacker 6.3.4.3.398 2009.09.09 -
TrendMicro 8.950.0.1094 2009.09.08 -
VBA32 3.12.10.10 2009.09.08 -
ViRobot 2009.9.8.1923 2009.09.09 -
VirusBuster 4.6.5.0 2009.09.08 -
Additional information
File size: 578048 bytes
MD5 : 94f595b4bb622ab472aeb77cb8274150
SHA1 : 4fcc6af8e7aa7f14f7fffdc174b4970f9bdd1f41
SHA256: 0dc101f7be66d047d203b538e040ff03fe6c094db8150232e164c96e9cdd9c6d
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1E966
timedatestamp.....: 0x45F02E03 (Thu Mar 8 16:38:43 2007)
machinetype.......: 0x14C (Intel I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5EFE7 0x5F000 6.64 be3d6828aaab1d6591782f8e23978067
.data 0x60000 0x1180 0xC00 2.39 706135ff5f48bb58c13c9e5325334751
.rsrc 0x62000 0x2A3AC 0x2A400 5.09 12271ce15231dac174ffaa35498f4a58
.reloc 0x8D000 0x2DE8 0x2E00 6.78 29147feab00159bf20d090a34b6e2b09
( 0 imports )
( 0 exports )
TrID : File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
ssdeep: 61
44:Q+Lv/2FQ3SW02u1ce4rJjupV+WExOv7GTEA323TKup7OgiQ39+yodn/n59lxrmZr:Rbi1ce4tuMwGAAwpxlyn/5nslL
PEiD : -
CWSandbox: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=94f595b4bb622ab472aeb77cb8274150
RDS : NSRL Reference Data Set
-
Code:
ATTFilter File winlogon.exe received on 2009.09.09 02:11:34 (UTC)
Result: 1/41 (2.44%)
Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.09.09 -
AhnLab-V3 5.0.0.2 2009.09.08 -
AntiVir 7.9.1.12 2009.09.08 -
Antiy-AVL 2.0.3.7 2009.09.08 -
Authentium 5.1.2.4 2009.09.08 -
Avast 4.8.1351.0 2009.09.08 -
AVG 8.5.0.409 2009.09.09 -
BitDefender 7.2 2009.09.09 -
CAT-QuickHeal 10.00 2009.09.08 -
ClamAV 0.94.1 2009.09.08 -
Comodo 2204 2009.09.09 -
DrWeb 5.0.0.12182 2009.09.09 -
eSafe 7.0.17.0 2009.09.08 -
eTrust-Vet 31.6.6726 2009.09.08 -
F-Prot 4.5.1.85 2009.09.08 -
F-Secure 8.0.14470.0 2009.09.09 -
Fortinet 3.120.0.0 2009.09.08 -
GData 19 2009.09.09 -
Ikarus T3.1.1.72.0 2009.09.09 -
Jiangmin 11.0.800 2009.09.08 -
K7AntiVirus 7.10.839 2009.09.08 -
Kaspersky 7.0.0.125 2009.09.09 -
McAfee 5735 2009.09.08 -
McAfee+Artemis 5735 2009.09.08 -
McAfee-GW-Edition 6.8.5 2009.09.08 -
Microsoft 1.5005 2009.09.08 -
NOD32 4408 2009.09.09 -
Norman 6.01.09 2009.09.08 -
nProtect 2009.1.8.0 2009.09.08 -
Panda 10.0.2.2 2009.09.08 -
PCTools 4.4.2.0 2009.09.07 -
Prevx 3.0 2009.09.09 -
Rising 21.46.14.00 2009.09.08 -
Sophos 4.45.0 2009.09.09 -
Sunbelt 3.2.1858.2 2009.09.09 Trojan.Win32.Generic!BT
Symantec 1.4.4.12 2009.09.09 -
TheHacker 6.3.4.3.398 2009.09.09 -
TrendMicro 8.950.0.1094 2009.09.08 -
VBA32 3.12.10.10 2009.09.08 -
ViRobot 2009.9.8.1923 2009.09.09 -
VirusBuster 4.6.5.0 2009.09.08 -
Additional information
File size: 503808 bytes
MD5...: ba9df5930b2582c31c0c8e52c94dda48
SHA1..: 5cbf1147900b9688c84edf9fea72ae7d7b71e328
SHA256: 4d5e6bc3bd05477523ad762ed1813254a2367d21929221ff9f4d1fe0cb9f517c
ssdeep: 6144:dYuZlm8LRlBw662R1pqrc7FmxSqVw/T+SN1TrSnmhPnpdcrFIzdFz/N5Wjy
fTNQe:dVLBhic7Qy1vSneJFDNhp8nY
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x3d353
timedatestamp.....: 0x41107edc (Wed Aug 04 06:14:52 2004)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x6f288 0x6f400 6.82 efef82dd9ff143ad282f8cbe68d2d76b
.data 0x71000 0x4d90 0x2000 6.20 baa64d00a5f8a540a38a60d2aff66f30
.rsrc 0x76000 0x96b8 0x9800 4.33 b9607525adba6ca9e2bc8c72ab88832a
( 20 imports )
> ADVAPI32.dll: ConvertStringSecurityDescriptorToSecurityDescriptorA, A_SHAInit, A_SHAUpdate, A_SHAFinal, LsaStorePrivateData, LsaRetrievePrivateData, LsaNtStatusToWinError, CryptGetUserKey, CryptGetKeyParam, CryptEncrypt, CryptSetProvParam, CryptSignHashW, CryptDeriveKey, CryptGetProvParam, RegOpenCurrentUser, RegDeleteKeyW, AddAccessAllowedAceEx, RegSetKeySecurity, I_ScSendTSMessage, MD5Init, MD5Update, MD5Final, SetFileSecurityA, AllocateLocallyUniqueId, LsaOpenPolicy, LsaQueryInformationPolicy, LsaFreeMemory, LsaClose, RegNotifyChangeKeyValue, QueryServiceConfigW, SetKernelObjectSecurity, ConvertStringSecurityDescriptorToSecurityDescriptorW, RegEnumKeyExW, GetCurrentHwProfileW, RegCloseKey, RegQueryValueExW, RegOpenKeyW, FreeSid, SetSecurityDescriptorDacl, InitializeSecurityDescriptor, AddAccessAllowedAce, InitializeAcl, GetLengthSid, AllocateAndInitializeSid, RegOpenKeyExW, CreateProcessAsUserW, DuplicateTokenEx, CloseServiceHandle, ControlService, StartServiceW, QueryServiceStatus, OpenServiceW, OpenSCManagerW, EqualSid, GetTokenInformation, RegSetValueExW, RegCreateKeyExW, CryptGenRandom, CryptDestroyHash, CryptVerifySignatureW, CryptSetHashParam, CryptGetHashParam, CryptHashData, CryptCreateHash, CryptDecrypt, ReportEventW, RegisterEventSourceW, CryptImportKey, CryptAcquireContextW, CryptReleaseContext, CryptDestroyKey, RegEnumValueW, RegQueryInfoKeyW, RegDeleteValueW, CredFree, CredDeleteW, CredEnumerateW, CopySid, GetSidLengthRequired, GetSidSubAuthority, GetSidSubAuthorityCount, GetUserNameW, OpenThreadToken, EnumServicesStatusW, ImpersonateLoggedOnUser, RegQueryValueExA, CheckTokenMembership, DeregisterEventSource, LsaGetUserName, RevertToSelf, LookupAccountSidW, IsValidSid, SetTokenInformation, LogonUserW, LookupAccountNameW, OpenProcessToken, SynchronizeWindows31FilesAndWindowsNTRegistry, QueryWindows31FilesMigration, AdjustTokenPrivileges, RegQueryInfoKeyA
> AUTHZ.dll: AuthzInitializeResourceManager, AuthzAccessCheck, AuthziFreeAuditEventType, AuthziInitializeAuditEvent, AuthziInitializeAuditParams, AuthziInitializeAuditEventType, AuthziLogAuditEvent, AuthzFreeAuditEvent, AuthzFreeResourceManager, AuthzFreeHandle
> CRYPT32.dll: CryptImportPublicKeyInfo, CryptVerifyMessageSignature, CertCreateCertificateContext, CertSetCertificateContextProperty, CertVerifyCertificateChainPolicy, CryptSignMessage, CertCloseStore, CertComparePublicKeyInfo, CryptExportPublicKeyInfo, CertFindExtension, CryptDecryptMessage, CertGetCertificateContextProperty, CertAddCertificateContextToStore, CertOpenStore, CertVerifySubjectCertificateContext, CertGetIssuerCertificateFromStore, CertDuplicateCertificateContext, CertFreeCertificateContext, CertEnumCertificatesInStore, CryptImportPublicKeyInfoEx
> GDI32.dll: RemoveFontResourceW, AddFontResourceW
> KERNEL32.dll: WTSGetActiveConsoleSessionId, GetTimeFormatW, GetUserDefaultLCID, FileTimeToSystemTime, FileTimeToLocalFileTime, GetProcAddress, LoadLibraryW, GetModuleHandleW, SystemTimeToFileTime, GetSystemTime, SetLastError, TerminateProcess, GetCurrentProcess, CreateTimerQueueTimer, CreateThread, lstrcpynW, GetShortPathNameW, GetProfileStringW, FreeLibrary, ReleaseSemaphore, CreateSemaphoreW, GetSystemInfo, GetComputerNameW, GetEnvironmentVariableW, WaitForSingleObjectEx, LoadResource, FindResourceW, SetThreadExecutionState, DeleteTimerQueueTimer, ResetEvent, GetSystemDirectoryW, TransactNamedPipe, SetNamedPipeHandleState, GetTickCount, CreateFileW, GlobalGetAtomNameW, VirtualLock, VirtualQuery, GetDriveTypeW, Beep, OpenMutexW, QueueUserWorkItem, LeaveCriticalSection, EnterCriticalSection, DisconnectNamedPipe, SearchPathW, lstrcatW, LocalReAlloc, ExpandEnvironmentStringsW, TerminateThread, ResumeThread, GetDiskFreeSpaceExW, GlobalMemoryStatusEx, DeleteFileW, WriteProfileStringW, ReadFile, FindVolumeClose, FindNextVolumeW, FindFirstVolumeW, FormatMessageW, SetPriorityClass, MoveFileExW, WaitForMultipleObjectsEx, GetExitCodeProcess, SleepEx, InterlockedExchange, FindClose, FindFirstFileW, GetWindowsDirectoryW, SetTimerQueueTimer, GetComputerNameA, GetVersionExW, VerSetConditionMask, WriteFile, WaitNamedPipeW, WaitForMultipleObjects, ConnectNamedPipe, DuplicateHandle, OpenProcess, GetOverlappedResult, GetVersionExA, lstrcmpW, SetEnvironmentVariableW, UnregisterWait, CreateNamedPipeW, CreateRemoteThread, CreateActCtxW, GetModuleFileNameW, ExitProcess, LoadLibraryExW, SetErrorMode, SetUnhandledExceptionFilter, GetPrivateProfileStringW, LocalSize, VirtualAlloc, VirtualQueryEx, DebugBreak, CreateFileA, InitializeCriticalSection, ProcessIdToSessionId, SetInformationJobObject, AssignProcessToJobObject, TerminateJobObject, PostQueuedCompletionStatus, PulseEvent, GetQueuedCompletionStatus, CreateIoCompletionPort, CreateJobObjectW, ActivateActCtx, DeactivateActCtx, InterlockedCompareExchange, LoadLibraryA, QueryPerformanceCounter, GetSystemTimeAsFileTime, UnhandledExceptionFilter, GetModuleHandleA, GetStartupInfoA, GetCurrentProcessId, SetThreadPriority, GetCurrentThreadId, lstrcmpiW, GetProfileIntW, LoadLibraryExA, lstrcpyW, lstrlenW, Sleep, LocalAlloc, CreateEventW, GetExitCodeThread, SetThreadAffinityMask, GetProcessAffinityMask, CreateWaitableTimerW, CreateMutexW, OpenEventW, RegisterWaitForSingleObject, WaitForSingleObject, CreateProcessW, SetWaitableTimer, ReleaseMutex, SetEvent, UnregisterWaitEx, CloseHandle, lstrlenA, lstrcpyA, MultiByteToWideChar, GetACP, WideCharToMultiByte, HeapAlloc, GetProcessHeap, HeapFree, lstrcpynA, UnmapViewOfFile, MapViewOfFile, CreateFileMappingW, lstrcmpiA, GetFileSize, SetFilePointer, GlobalAlloc, GlobalFree, GetLastError, LocalFree, lstrcatA, lstrcmpA, GetLogicalDriveStringsA, GetDriveTypeA, GetVolumeInformationW, GlobalMemoryStatus, CreateMutexA, FindResourceExW, LockResource, SizeofResource, VerifyVersionInfoW, GetSystemDirectoryA, GetCurrentThread, DelayLoadFailureHook, BaseInitAppcompatCacheSupport, OpenProfileUserMapping, CloseProfileUserMapping, BaseCleanupAppcompatCacheSupport, InitializeCriticalSectionAndSpinCount, VirtualProtect, CreateEventA, TlsSetValue, DeleteCriticalSection, TlsGetValue, TlsAlloc, VirtualFree, TlsFree
> msvcrt.dll: _vsnwprintf, wcslen, wcsncpy, wcsstr, atoi, wcstok, memmove, wcschr, swprintf, swscanf, _local_unwind2, _wcslwr, wcscmp, _snwprintf, malloc, _c_exit, _exit, _XcptFilter, _cexit, exit, _acmdln, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __3@YAXPAX@Z, __2@YAPAXI@Z, __CxxFrameHandler, _itow, _snprintf, _wtol, _strnicmp, sscanf, wcstombs, sprintf, strchr, strncmp, atof, _ftol, isspace, __set_app_type, wcscpy, _controlfp, wcsncmp, _wcsupr, ceil, wcscat, _except_handler3, free, _wcsicmp
> NDdeApi.dll: -, -, -, -
> ntdll.dll: RtlAllocateHeap, NtPowerInformation, NtSetSystemPowerState, NtRaiseHardError, RtlDeleteCriticalSection, NtOpenSymbolicLinkObject, NtReplyPort, NtCompleteConnectPort, NtReplyWaitReceivePort, NtAcceptConnectPort, NtCreatePort, RtlConvertSidToUnicodeString, RtlFreeUnicodeString, NtLockProductActivationKeys, RtlTimeToTimeFields, NtUnmapViewOfSection, NtMapViewOfSection, NtOpenSection, NtQuerySymbolicLinkObject, NtQueryVolumeInformationFile, NtSetSecurityObject, RtlAdjustPrivilege, NtOpenFile, NtFsControlFile, RtlAllocateAndInitializeSid, RtlDestroyEnvironment, RtlFreeHeap, NtQueryInformationToken, NtShutdownSystem, RtlEnterCriticalSection, RtlLeaveCriticalSection, RtlInitializeCriticalSection, RtlCreateEnvironment, RtlQueryEnvironmentVariable_U, RtlSetEnvironmentVariable, RtlInitUnicodeString, NtOpenKey, NtQueryValueKey, RtlSubAuthoritySid, RtlInitializeSid, RtlLengthRequiredSid, NtAllocateLocallyUniqueId, RtlGetDaclSecurityDescriptor, RtlCopySid, RtlLengthSid, NtSetInformationThread, NtDuplicateToken, NtDuplicateObject, RtlEqualSid, RtlSetDaclSecurityDescriptor, NtClose, RtlOpenCurrentUser, RtlCreateSecurityDescriptor, RtlAddAce, RtlCreateAcl, RtlNtStatusToDosError, NtOpenDirectoryObject, NtQuerySystemInformation, NtCreateEvent, NtCreatePagingFile, RtlDosPathNameToNtPathName_U, RtlRegisterWait, NtSetValueKey, NtCreateKey, RtlTimeToSecondsSince1980, NtQuerySystemTime, NtPrivilegeObjectAuditAlarm, NtPrivilegeCheck, NtOpenThreadToken, NtOpenProcessToken, RtlUnhandledExceptionFilter, NtQueryInformationProcess, DbgBreakPoint, RtlCheckProcessParameters, RtlSetThreadIsCritical, RtlSetProcessIsCritical, RtlInitString, NtInitiatePowerAction, DbgPrint, NtFilterToken, NtQueryInformationJobObject, NtOpenEvent, RtlGetAce, RtlQueryInformationAcl, NtQuerySecurityObject, RtlCompareUnicodeString, NtSetInformationProcess
> PROFMAP.dll: InitializeProfileMappingApi, RemapAndMoveUserW
> PSAPI.DLL: EnumProcesses, EnumProcessModules, GetModuleBaseNameW
> REGAPI.dll: RegDefaultUserConfigQueryW, RegUserConfigQuery
> RPCRT4.dll: RpcServerRegisterIfEx, RpcServerUseProtseqEpW, RpcImpersonateClient, I_RpcMapWin32Status, RpcServerRegisterIf, RpcGetAuthorizationContextForClient, RpcFreeAuthorizationContext, RpcServerListen, RpcRevertToSelf, NdrServerCall2, UuidCreate
> Secur32.dll: GetUserNameExW, LsaLookupAuthenticationPackage, LsaRegisterLogonProcess, LsaCallAuthenticationPackage
> SETUPAPI.dll: SetupDiDestroyDeviceInfoList, SetupDiEnumDeviceInfo, SetupDiGetClassDevsW, SetupDiGetDeviceRegistryPropertyW
> USER32.dll: SetFocus, EnumWindows, CreateWindowStationW, RegisterLogonProcess, RecordShutdownReason, LoadLocalFonts, UnhookWindowsHook, SetWindowsHookW, GetWindowTextW, CallNextHookEx, DialogBoxParamW, GetWindowPlacement, GetSystemMenu, DeleteMenu, SetWindowPlacement, SetUserObjectInformationW, GetAsyncKeyState, PostThreadMessageW, SetUserObjectSecurity, CreateDesktopW, KillTimer, GetMessageTime, SetLogonNotifyWindow, UnlockWindowStation, SetTimer, ReplyMessage, UnregisterHotKey, RegisterHotKey, OpenInputDesktop, GetUserObjectInformationW, CloseDesktop, RegisterDeviceNotificationW, SetThreadDesktop, CreateWindowExW, GetMessageW, TranslateMessage, RegisterWindowMessageW, SetCursor, DefWindowProcW, FindWindowW, MessageBoxW, SendNotifyMessageW, PostQuitMessage, MsgWaitForMultipleObjects, GetWindowRect, GetSystemMetrics, PeekMessageW, DispatchMessageW, SetProcessWindowStation, UpdateWindow, ShowWindow, SetWindowPos, PostMessageW, ExitWindowsEx, EnumDisplayMonitors, SystemParametersInfoW, GetDlgItem, SendMessageW, CreateDialogParamW, DestroyWindow, GetWindowLongW, GetDlgItemTextW, EndDialog, SetWindowLongW, LoadStringW, SetWindowTextW, SetDlgItemTextW, wsprintfW, wsprintfA, LockWindowStation, MBToWCSEx, SetWindowStationUser, UpdatePerUserSystemParameters, DialogBoxIndirectParamW, wvsprintfW, SetLastErrorEx, LoadCursorW, CheckDlgButton, IsDlgButtonChecked, RegisterClassW, CloseWindowStation, LoadImageW, GetParent, GetKeyState, GetDesktopWindow, SetForegroundWindow, SwitchDesktop, OpenDesktopW
> USERENV.dll: WaitForUserPolicyForegroundProcessing, GetAllUsersProfileDirectoryW, -, -, -, -, WaitForMachinePolicyForegroundProcessing, -, -, -, UnloadUserProfile, LoadUserProfileW, GetUserProfileDirectoryW, RegisterGPNotification, CreateEnvironmentBlock, DestroyEnvironmentBlock, UnregisterGPNotification, -
> VERSION.dll: GetFileVersionInfoSizeW, GetFileVersionInfoW, VerQueryValueW
> WINSTA.dll: WinStationRequestSessionsList, WinStationQueryLogonCredentialsW, WinStationIsHelpAssistantSession, WinStationAutoReconnect, _WinStationWaitForConnect, WinStationDisconnect, _WinStationCallback, WinStationNameFromLogonIdW, _WinStationFUSCanRemoteUserDisconnect, WinStationEnumerate_IndexedW, WinStationGetMachinePolicy, WinStationQueryInformationW, WinStationFreeMemory, WinStationReset, _WinStationNotifyDisconnectPipe, WinStationConnectW, WinStationSetInformationW, WinStationShutdownSystem, WinStationCheckLoopBack, _WinStationNotifyLogon, _WinStationNotifyLogoff
> WINTRUST.dll: CryptCATCatalogInfoFromContext, CryptCATAdminCalcHashFromFileHandle, CryptCATAdminAcquireContext, CryptCATAdminEnumCatalogFromHash, CryptCATAdminReleaseCatalogContext, WTHelperProvDataFromStateData, WinVerifyTrust, WTHelperGetProvSignerFromChain, CryptCATAdminReleaseContext
> WS2_32.dll: -, getaddrinfo, -
( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win64 Executable Generic (80.9%)
Win32 Executable Generic (8.0%)
Win32 Dynamic Link Library (generic) (7.1%)
Generic Win/DOS Executable (1.8%)
DOS Executable Generic (1.8%)
Lustig finde ich, dass Prevx die beiden Dateien, die er hier auf meinem Rechner findet, online nicht als schaedlich einstuft. Evtl. Fehlalarm? OK, dann mache ich mal weiter mit dem naechsten Scanner - so langsam ist der Desktop mit lauter Malwarefindern zugemuellt (11 Icons) ;-) |
|
09.09.2009, 04:26
| #41 |
 | Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? Respekt daß du dich da so durchkämpfst. Also ich hätte da nicht lange gefackelt und hätte das komplette Ding platt gemacht und das Windows neu aufgesetzt. Was mich jetzt aber wundert wieso sich deine Gastgeberin so weigert das SP 3 für´s Windows zu installieren? Leben die Russen alle nach dem Motto "No risk, no fun"?  Gruß Acid |
|
09.09.2009, 08:15
| #42 | |||
| | Dr. Web-log und mehr Hier der Fund von Dr. Web Cure It: Code:
ATTFilter ComboFix.exe\32788R22FWJFW\c.bat;
C:\Documents and Settings\***\Рабочий стол\ComboFix.exe;
Probably BATCH.Virus;
ComboFix.exe;
C:\Documents and Settings\***\Рабочий стол;
Archive contains infected objects;
Ich hab Combofix unangetastet gelassen  Sollte ich vlt. auch mal einige der Programme deinstallieren (bzw. einfach loeschen)? - SuperAntiSpyware - ComboFix - Avenger - Prevx - PandaOnlineScan - Sysprot - Dr. Web Cure It Malwarebytes und CCleaner finde ich sehr sinnvoll, RSIT lasse ich noch so lange drauf bis wir hier durch sind. Zitat:
@Acid303: Zitat:
Allerdings existiert auf dem Rechner schon ein Ordner namens "Windows Genuine Advantage". Bedeutet das, dass ich ungefaehrdet updaten kann? Das ist bisher naemlich das einzige, was mich davor zurueckschrecken laesst (ich hatte frueher damit schonmal Probleme und musste einen sauberen PC komplett neu aufsetzen). Zitat:
 Ich wuerde hier gern bei jedem Rechner einen HJT-Log erstellen, so verdaechtig sehen allein schon die Prozesse im TaskManager aus. Deshalb habe ich jetzt immer meine Ubuntu-Live-DVD bei mir, falls ich meine Mails abrufen oder sonstiges "Geheimes" machen will. |
|
09.09.2009, 16:20
| #43 | |
| | Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)?Zitat:
Gruß Acid |
|
09.09.2009, 16:42
| #44 | ||
| |  MS-Updates @Acid303: Zitat:
Zitat:
 Naja, vlt. hat der PC schon die WGA hinter sich, dann kann ich ganz brav bei MS persoenlich laden ;-) Trotzdem danke fuer den Hinweis! |
|
09.09.2009, 17:09
| #45 |
| | Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? Ach stimmt ja! Sorry daran hab ich nicht gedacht daß es da kein russisches SP gibt. Aber ich arbeite auch so selten mit russischen Betriebssystemen. Gruß Acid |
|
| Themen zu Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? |
| .dll, 0 bytes, abgesicherten modus, adware, antiviren-programm, avira, check, csrss.exe, desktop, entfernen, explorer.exe, file, frage, free, keine funde, logon.exe, lsass.exe, moved, neustart, nicht sicher, nt.dll, prozesse, realplayer, services.exe, spyware, svchost.exe, taskmanager, trojaner, virus, warning, windows system, windows-update, winlogon.exe, zu lang |
Linear-Darstellung
