![]() |
|
Plagegeister aller Art und deren Bekämpfung: winlog.exe ist Backdoor.Agobot.LF?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
![]() ![]() | ![]() winlog.exe ist Backdoor.Agobot.LF? Hallo liebe Helfer. Ich bin mir zwar nicht zu hunderprozent sicher, ob es sich hier um einen Trojaner/Viren/Wurmbefall handelt, hab aber eine Vermutung. Als ich heute einen USB-Stick an meinen Laptop angeschlossen habe und ihn mit Doppelklick öffnen wollte, kam die Fehlermeldung: winlog.exe - Abbild fehlerhaft Die Anwendung oder DLL C:\DOKUME~1\<benutzername>\LOKALE~1\Temp\ylk27.tmp ist keine gültige Windows-Datei. Überprüfen Sie dies mit der Installationsdiskette. Jedes Mal, wenn ich es erneut versucht habe, änderte sich die Temp-Datei in dieser Meldung in irgendeine andere Buchstabenkombination, was ich schon mal seltsam fand. Da ich nicht wirklich viel von solchen Dingen verstehe, hab ich erst mal in Google danach gesucht. Danach hab ich HijackThis drüberlaufen lassen und die Auswertung sagte mir, dass ich einen Prozess, der den Namen Winlog.exe enthielt, fixen sollte, was ich getan habe. Außerdem wurde mir geraten, die Datei "Winlog.exe" auf C:\Dokumente und Einstellungen\<benutzername>\Anwendungsdaten\Microsoft zu löschen. Ich hab diese Datei auf einer Website durch mehrere Virenscanner laufen lassen, wo 10 von 21 darauf anschlugen. Der Name "Backdoor.Agobot.LF" kam auch einmal darunter vor, und da ich diesen aus dem Logfile in Verbindung mit Winlog.exe schon bemerkt hatte, hab ich einfach weiter nach diesem Anhaltspunkt gesucht. Manuell löschen ließ sich die Datei Winlog.exe nicht, also hab ich es mit dem File Shredder von SpyBot versucht. Verschwinden wollte die Datei dennoch nicht gänzlich. Sie benannte sich bei jedem Mal in eine beliebige Buchstabenkombination um, was für mich nach einem schlechten Zeichen aussieht. Beim Googlen hab ich dann auch gesehen, dass ich in der Registry gewisse Einträge löschen könnte, die bei mir aber nicht vorhanden waren und mir somit auch nicht weiterhalfen. Ich hab mir also unterm Strich schon die Finger wundgesucht, jedoch nichts gefunden, mit dem ich das ursprüngliche Problem des Öffnens lösen oder diese Datei löschen kann. Meine Fragen wären nun: Wobei könnte es sich dabei definitiv handeln? Ist das wirklich der Backdoor.Agobot.LF? Könnte sich das Problem noch ausweiten, falls ich nichts unternehme? Wie beseitige ich das Problem? Neu Aufsetzen möchte ich das System nicht unbedingt. Lösungen ohne dieses Mittel wären toll ![]() Falls es hilft, ich habe ein Toshiba-Notebook aus der Tecra-Serie, Win XP, SP 2. Über schnelle Hilfe würde ich mich freuen, durch Erfahungen in der Vergangenheit tendiere ich dazu, unruhig zu werden und irgendwelchen Käse anzustellen bei dem Versuch, etwas zu reparieren ![]() Liebe Grüße, freakout |
![]() | #2 | ||||
![]() ![]() ![]() ![]() | ![]() winlog.exe ist Backdoor.Agobot.LF? Hallo und
__________________![]() Zitat:
Zitat:
Zitat:
![]() Zitat:
Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab. ciao, andreas
__________________ |
![]() | #3 |
![]() ![]() | ![]() winlog.exe ist Backdoor.Agobot.LF? Erst mal danke für die schnelle Antwort
__________________![]() Das mit dem Neuinstallieren ist so ne Sache *hust* Ich hab das schon einige Male hinter mir und mir graut wenn ich nur daran denke ![]() Ja, das hab ich auch schon durchgelesen. Das Problem war jetzt eben, dass ich auf keinen Fall Neuinstallieren wollte, wenn ich nicht sicher bin ob das wirklich so ein Backdoor-Trojaner ist. Das mit der Fehlermeldung ist eben erst seit heute (genauer genommen seit den letzten 5 Stunden) und ich hab mich gefragt, ob ich vielleicht einfach nur falsch recherchiert hab und das ganze einen anderen Usprung hat. In deinem ersten Zitat steht eben auch das mit den Registryeinträgen, die ich bei mir einfach nicht finden kann. Ich hatte die Hoffnung, dass das ein Gegenbeweis ist ![]() Tut mir leid dass ich noch mal so doof frage, ich will nur sichergehen: Diese Programme unter Punkt 2 alle ausführen und Logs daraus posten? (Oder verstehe ich das alles wieder falsch?) Liebe Grüße |
![]() | #4 | |
![]() ![]() ![]() ![]() | ![]() winlog.exe ist Backdoor.Agobot.LF? Ja. Das Teil ist uralt und die Wahrscheinlichkeit einer Falschmeldung eher gering. Zitat:
![]() ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. ![]() Anleitungen Virenscanner Kompromittierung unvermeidbar? |
![]() | #5 |
![]() ![]() | ![]() winlog.exe ist Backdoor.Agobot.LF? Okay, hab jetzt alles durchlaufen lassen, was so empfohlen wurde. Hier die Logs: MBAM-LOG: Malwarebytes' Anti-Malware 1.40 Datenbank Version: 2737 Windows 5.1.2600 Service Pack 2 03.09.2009 23:11:05 mbam-log-2009-09-03 (23-11-05).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 85825 Laufzeit: 13 minute(s), 24 second(s) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: C:\Dokumente und Einstellungen\**\Anwendungsdaten\Microsoft\winlog.exe (Trojan.Agent) -> Unloaded process successfully. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlog.exe (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\**\Anwendungsdaten\Microsoft\winlog.exe (Trojan.Agent) -> Quarantined and deleted successfully. RSIT: Logfile of random's system information tool 1.06 (written by random/random) Run by ** at 2009-09-03 23:22:11 Microsoft Windows XP Professional Service Pack 2 System drive C: has 3 GB (34%) free of 10 GB Total RAM: 511 MB (39% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:22:25, on 03.09.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\RegSrvc.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\ZCfgSvc.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\1XConfig.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Windows Live\Messenger\MsnMsgr.Exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\DC8ZDZ0U\RSIT[1].exe C:\Programme\Trend Micro\HijackThis\**.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ZCfgSvc.exe] C:\WINDOWS\system32\ZCfgSvc.exe O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://h**p://fpdownload2.macromedia...sh/swflash.cab O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- End of file - 6357 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\Spybot - Search & Destroy - Scheduled Task.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}] Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}] RealPlayer Download and Record Plugin for Internet Explorer - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll [2009-04-02 312928] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] Java(tm) Plug-In SSV Helper - C:\Programme\Java\jre6\bin\ssv.dll [2009-03-29 320920] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}] Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2007-09-20 328752] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}] Google Toolbar Helper - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2009-07-25 256112] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}] Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll [2009-07-25 761840] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C84D72FE-E17D-4195-BB24-76C02E2E7C4E}] Google Dictionary Compression sdch - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll [2009-07-25 458736] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-03-29 34816] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-03-29 73728] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2009-07-25 256112] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2009-04-02 198160] "ZCfgSvc.exe"=C:\WINDOWS\system32\ZCfgSvc.exe [2006-08-03 639040] "PRONoMgr.exe"=C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe [2005-07-07 135168] "QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2009-05-26 413696] "iTunesHelper"=C:\Programme\iTunes\iTunesHelper.exe [2009-07-13 292128] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"=C:\Programme\Windows Live\Messenger\MsnMsgr.Exe [2007-10-18 5724184] "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360] "MSMSGS"=C:\Programme\Messenger\msmsgs.exe [2004-08-04 1667584] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Sebring] C:\WINDOWS\system32\LgNotify.dll [2006-08-03 188482] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" "C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour" "C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F] shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7631c890-7a06-11de-adb5-00080d041138}] shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{869951e0-774b-11de-adae-00080d041138}] shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{90e03150-7b80-11de-adb9-00080d041138}] shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{90e03151-7b80-11de-adb9-00080d041138}] shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{deab3312-1f94-11de-ad11-00080d041138}] shell\AutoRun\command - F:\setupSNK.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{deab3315-1f94-11de-ad11-00080d041138}] shell\AutoRun\command - G:\winlog.exe shell\open\command - G:\winlog.exe ======List of files/folders created in the last 1 months====== 2009-09-03 23:22:11 ----D---- C:\rsit 2009-09-03 22:53:08 ----D---- C:\Dokumente und Einstellungen\**\Anwendungsdaten\Malwarebytes 2009-09-03 22:52:58 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-09-03 22:52:57 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2009-09-03 22:12:02 ----D---- C:\Programme\CCleaner 2009-09-03 19:15:56 ----D---- C:\Programme\PowerTools Lite 2009-09-03 18:44:28 ----D---- C:\Programme\Unlocker 2009-08-22 00:35:31 ----D---- C:\Dokumente und Einstellungen\**\Anwendungsdaten\Apple Computer 2009-08-22 00:34:53 ----A---- C:\WINDOWS\system32\GEARAspi.dll 2009-08-22 00:34:06 ----D---- C:\Programme\iPod 2009-08-22 00:33:09 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906} 2009-08-22 00:33:08 ----D---- C:\Programme\iTunes 2009-08-22 00:31:56 ----D---- C:\Programme\Bonjour 2009-08-22 00:30:17 ----D---- C:\Programme\QuickTime 2009-08-22 00:30:16 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer 2009-08-22 00:29:12 ----D---- C:\Programme\Apple Software Update 2009-08-22 00:28:26 ----D---- C:\Programme\Gemeinsame Dateien\Apple 2009-08-22 00:28:26 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple 2009-08-05 13:40:23 ----N---- C:\WINDOWS\Setup1.exe 2009-08-05 13:40:22 ----A---- C:\WINDOWS\ST6UNST.EXE ======List of files/folders modified in the last 1 months====== 2009-09-03 23:21:35 ----D---- C:\WINDOWS\Prefetch 2009-09-03 23:18:10 ----D---- C:\WINDOWS\Temp 2009-09-03 23:17:28 ----D---- C:\WINDOWS 2009-09-03 23:15:50 ----D---- C:\WINDOWS\system32\drivers 2009-09-03 23:15:22 ----A---- C:\WINDOWS\SchedLgU.Txt 2009-09-03 23:11:05 ----SD---- C:\Dokumente und Einstellungen\**\Anwendungsdaten\Microsoft 2009-09-03 22:52:57 ----RD---- C:\Programme 2009-09-03 19:23:01 ----D---- C:\WINDOWS\system32\LogFiles 2009-09-03 19:23:01 ----D---- C:\WINDOWS\Debug 2009-09-03 19:16:03 ----D---- C:\WINDOWS\system32 2009-09-03 17:27:30 ----D---- C:\WINDOWS\system32\CatRoot2 2009-08-27 00:43:59 ----D---- C:\Dokumente und Einstellungen\**\Anwendungsdaten\Audacity 2009-08-22 01:36:18 ----HD---- C:\WINDOWS\inf 2009-08-22 00:35:41 ----SHD---- C:\WINDOWS\Installer 2009-08-22 00:34:53 ----DC---- C:\WINDOWS\system32\DRVSTORE 2009-08-22 00:28:26 ----D---- C:\Programme\Gemeinsame Dateien 2009-08-19 00:24:46 ----D---- C:\WINDOWS\system32\ReinstallBackups 2009-08-17 11:19:34 ----D---- C:\Dokumente und Einstellungen\**\Anwendungsdaten\gtk-2.0 ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2004-08-04 40192] R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.2.0.3; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2009-07-28 17801] R2 s24trans;WLAN-Transport; C:\WINDOWS\system32\DRIVERS\s24trans.sys [2006-08-03 10970] R3 aeaudio;aeaudio; C:\WINDOWS\system32\drivers\aeaudio.sys [2002-08-22 98752] R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2004-08-03 60800] R3 CmBatt;Microsoft-Netzteiltreiber; C:\WINDOWS\System32\DRIVERS\CmBatt.sys [2004-08-03 14080] R3 E1000;Intel(R) PRO/1000 Network Connection Driver; C:\WINDOWS\System32\DRIVERS\e1000325.sys [2007-06-05 171416] R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys [2009-03-19 23400] R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288] R3 NeroCd2k;NeroCd2k; C:\WINDOWS\system32\drivers\NeroCd2k.sys [2001-04-16 44227] R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2004-08-03 61824] R3 sdbus;sdbus; C:\WINDOWS\System32\DRIVERS\sdbus.sys [2004-08-03 67584] R3 smwdm;smwdm; C:\WINDOWS\system32\drivers\smwdm.sys [2002-11-04 519168] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2004-08-03 26624] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600] R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2004-08-03 26496] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2004-08-03 20480] R3 w70n51;Intel(R) PRO/Wireless 7100 Adaptertreiber für Windows XP; C:\WINDOWS\system32\DRIVERS\w70n51.sys [2006-07-13 674560] S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-03 17024] S3 hwdatacard;Huawei DataCard USB Modem and USB Serial; C:\WINDOWS\system32\DRIVERS\ewusbmdm.sys [2007-08-08 101120] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504] S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-03 85376] S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-03 10880] S3 NETGEAR_MA111;NETGEAR 802.11b MA111 Driver; C:\WINDOWS\system32\DRIVERS\MA111nd5.sys [2003-08-29 644608] S3 PAC207;Trust WB-1400T Webcam; C:\WINDOWS\system32\DRIVERS\PFC027.SYS [2007-05-14 508288] S3 PCANDIS5;PCANDIS5 Protocol Driver; \??\C:\WINDOWS\system32\PCANDIS5.SYS [] S3 sffdisk;SFF-Speicherklassentreiber; C:\WINDOWS\system32\DRIVERS\sffdisk.sys [2004-08-03 11136] S3 sffp_sd;SFF-Speicherprotokolltreiber für SDBus; C:\WINDOWS\system32\DRIVERS\sffp_sd.sys [2004-08-03 10240] S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-03 11136] S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-03 15360] S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2004-08-03 59264] S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616] S3 WpdUsb;WpdUsb; C:\WINDOWS\System32\Drivers\wpdusb.sys [2005-01-28 18944] S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-03 19328] S3 YMIDUSB;Yamaha Corporation USB MIDI Driver; C:\WINDOWS\System32\Drivers\ymidusb.sys [2007-09-04 16768] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2009-07-09 144712] R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2008-12-12 238888] R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-03-29 152984] R2 RegSrvc;RegSrvc; C:\WINDOWS\system32\RegSrvc.exe [2006-08-03 122880] R2 S24EventMonitor;Spectrum24 Event Monitor; C:\WINDOWS\system32\S24EvMon.exe [2006-08-03 426051] R2 SoundMAX Agent Service (default);SoundMAX Agent Service; C:\Programme\Analog Devices\SoundMAX\SMAgent.exe [2002-07-15 45056] R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-01-28 38912] R3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2009-07-13 542496] S3 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-30 182768] S3 NetSvc;Intel NCS NetService; C:\Programme\Intel\NCS\Sync\NetSvc.exe [2003-04-29 139264] S3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Programme\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328] S3 WLSetupSvc;Windows Live Setup Service; C:\Programme\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240] -----------------EOF----------------- Geändert von freakout (03.09.2009 um 22:54 Uhr) |
![]() | #6 |
![]() ![]() | ![]() winlog.exe ist Backdoor.Agobot.LF? und hier noch der letzte Log, ging sich im letzten Post nicht aus und ich hab natürlich wieder mal keine Ahnung, wie man das umgehen kann... ![]() RSIT: info.txt logfile of random's system information tool 1.06 2009-09-03 23:22:26 ======Uninstall list====== -->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0 -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe Adobe Reader 9.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001} Apple Mobile Device Support-->MsiExec.exe /I{C337BDAF-CB4E-47E2-BE1A-CB31BB7DD0E3} Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033} Audacity 1.3.5 (Unicode)-->"C:\Programme\Audacity 1.3\unins000.exe" BitComet FLV Converter 1.0-->C:\Programme\BitComet FLV Converter\uninst.exe Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B} CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe" Compatibility Pack für 2007 Office System-->MsiExec.exe /X{90120000-0020-0407-0000-0000000FF1CE} GIMP 2.6.6-->"C:\Programme\GIMP-2.0\setup\unins000.exe" Google Toolbar for Internet Explorer-->"C:\Programme\Google\Google Toolbar\Component\GoogleToolbarManager_E582EA556D8DE101.exe" /uninstall Google Toolbar for Internet Explorer-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C} HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall Hotfix for Windows XP (KB915865)-->"C:\WINDOWS\$NtUninstallKB915865$\spuninst\spuninst.exe" Hotfix für Windows XP (KB914440)-->"C:\WINDOWS\$NtUninstallKB914440$\spuninst\spuninst.exe" Intel(R) PRO Network Connections Drivers-->Prounstl.exe Intel(R) PROSet-->MsiExec.exe /I{74C9DFA1-338F-4bf3-B317-99A9EC8EF9A6} iTunes-->MsiExec.exe /I{99ECF41F-5CCA-42BD-B8B8-A8333E2E2944} Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF} Last.fm 1.5.4.24567-->"C:\Programme\scrobbler last.fm\Last.fm\unins000.exe" Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe" Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe" Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe" Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9} Mobile Connect-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3EAAC5FD-E209-4856-8C49-D4EA40F85032}\setup.exe" -l0x7 -removeonly Nero - Burning Rom-->MsiExec.exe /X{A4D7B764-4140-11D4-88EB-0050DA3579C0} PDFCreator-->C:\Programme\PDFCreator\unins000.exe PowerTools Lite-->"C:\Programme\PowerTools Lite\unins000.exe" QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68} RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0 SbX Rechnungswesen HLWFW 1I 08-09-->"C:\Programme\SbX-Manz\Rechnungswesen HLWFW 1I 08-09 - 9783706830775\unins000.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe" SoundMAX-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F0A37341-D692-11D4-A984-009027EC0A9C}\Setup.exe" Spybot - Search & Destroy-->"C:\Programme\Spybot - Search & Destroy\unins000.exe" Trust WB-1400T Webcam-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{30837A37-8F9F-4817-8B52-C501B67DC3BE} /l1031 Unlocker 1.8.7-->C:\Programme\Unlocker\uninst.exe Update für Windows XP (KB904942)-->"C:\WINDOWS\$NtUninstallKB904942$\spuninst\spuninst.exe" VideoLAN VLC media player 0.8.6i-->C:\Programme\VideoLAN\VLC\uninstall.exe Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe" Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe" Windows Live Anmelde-Assistent-->MsiExec.exe /I{AFA4E5FD-ED70-4D92-99D0-162FD56DC986} Windows Live installer-->MsiExec.exe /X{7A7B0BF3-2F00-4F03-8A9B-6ABCC07B90C6} Windows Live Messenger-->MsiExec.exe /X{2B091530-69AA-442E-AB09-39ED06B58220} Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll Windows Media Player 10-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall Windows XP Service Pack 2-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe YAMAHA Musicsoft Downloader 5-->C:\Programme\InstallShield Installation Information\{6D3C6846-CDB6-418F-8FDB-DA21FE064F86}\setup.exe -runfromtemp -l0x0007 -removeonly =====HijackThis Backups===== O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE [2009-04-02] O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) [2009-04-02] O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-04-02] O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE [2009-04-09] O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe [2009-04-22] O4 - HKCU\..\Run: [winlog.exe] C:\Dokumente und Einstellungen\**\Anwendungsdaten\Microsoft\winlog.exe [2009-09-03] ======Hosts File====== 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com ======System event log====== Computer Name: ** Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Kompatibilität für schnelle Benutzerumschaltung" gesendet. Record Number: 5413 Source Name: Service Control Manager Time Written: 20090723145221.000000+120 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: ** Event Code: 7036 Message: Dienst "Terminaldienste" befindet sich jetzt im Status "Ausgeführt". Record Number: 5412 Source Name: Service Control Manager Time Written: 20090723145220.000000+120 Event Type: Informationen User: Computer Name: ** Event Code: 4202 Message: Es wurde festgestellt, dass der Netzwerkadapter "Intel(R)...Mobile Connection - Paketplaner-Miniport" vom Netzwerk getrennt wurde, und dass die Netzwerkkonfiguration des Adapters freigegeben wurde. Möglicherweise ist der Adapter beschädigt, falls der Adapter nicht vom Netzwerk getrennt wurde. Wenden Sie sich an den Hersteller bezüglich aktueller Treiber. Record Number: 5411 Source Name: Tcpip Time Written: 20090723145215.000000+120 Event Type: Informationen User: Computer Name: ** Event Code: 7036 Message: Dienst "Computerbrowser" befindet sich jetzt im Status "Beendet". Record Number: 5410 Source Name: Service Control Manager Time Written: 20090723145207.000000+120 Event Type: Informationen User: Computer Name: ** Event Code: 7036 Message: Dienst "RAS-Verbindungsverwaltung" befindet sich jetzt im Status "Ausgeführt". Record Number: 5409 Source Name: Service Control Manager Time Written: 20090723145205.000000+120 Event Type: Informationen User: =====Application event log===== Computer Name: ** Event Code: 102 Message: MsnMsgr (1616) \\.\C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\miss.addicted@hotmail.de\SharingMetadata\Working\database_2EAC_3E0E_AC3D_D157\dfsr.db: Das Datenbankmodul hat eine neue Instanz gestartet (0). Record Number: 3205 Source Name: ESENT Time Written: 20090903165707.000000+120 Event Type: Informationen User: Computer Name: ** Event Code: 100 Message: MsnMsgr (1616) Das Datenbankmodul 5.01.2600.2180 ist gestartet. Record Number: 3204 Source Name: ESENT Time Written: 20090903165707.000000+120 Event Type: Informationen User: Computer Name: ** Event Code: 101 Message: MsnMsgr (1616) Das Datenbankmodul wurde beendet. Record Number: 3203 Source Name: ESENT Time Written: 20090903165632.000000+120 Event Type: Informationen User: Computer Name: ** Event Code: 103 Message: MsnMsgr (1616) \\.\C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\miss.addicted@hotmail.de\SharingMetadata\Working\database_2EAC_3E0E_AC3D_D157\dfsr.db: Das Datenbankmodul hat die Instanz (0) beendet. Record Number: 3202 Source Name: ESENT Time Written: 20090903165632.000000+120 Event Type: Informationen User: Computer Name: ** Event Code: 102 Message: MsnMsgr (1616) \\.\C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\miss.addicted@hotmail.de\SharingMetadata\Working\database_2EAC_3E0E_AC3D_D157\dfsr.db: Das Datenbankmodul hat eine neue Instanz gestartet (0). Record Number: 3201 Source Name: ESENT Time Written: 20090903132017.000000+120 Event Type: Informationen User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\QuickTime\QTSystem\ "windir"=%SystemRoot% "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=6 "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 9 Stepping 5, GenuineIntel "PROCESSOR_REVISION"=0905 "NUMBER_OF_PROCESSORS"=1 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "FP_NO_HOST_CHECK"=NO "CLASSPATH"=.;C:\Programme\Java\jre6\lib\ext\QTJava.zip "QTJAVA"=C:\Programme\Java\jre6\lib\ext\QTJava.zip -----------------EOF----------------- Liebe Grüße, freakout |
![]() | #7 |
![]() ![]() ![]() ![]() | ![]() winlog.exe ist Backdoor.Agobot.LF? Hallo Miss Addicted, ![]() jetzt bin ich neugierig geworden. Den nächsten Schritt brauchst du nur dann zu tun, wenn du genau wissen möchtest, was es eigentlich war. Hole die Datei winlog.exe aus der Quarantäne von Malwarebytes und lade sie bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html (nur Schritt 2) Bei Malwarebytes solltest du einen vollständigen Scan machen. Steht so auch in der Anleitung, bitte nachholen. 1.) Deinstalliere:
Code:
ATTFilter sc stop JavaQuickStarterService [Enter] sc delete JavaQuickStarterService [Enter] sc stop gusvc [Enter] sc delete gusvc [Enter] sc stop "Bonjour Service" [Enter] sc delete "Bonjour Service" [Enter] exit [Enter] Code:
ATTFilter Alle R0, R1, O2, O3, O8, O9 und O16-Einträge O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. ![]() Anleitungen Virenscanner Kompromittierung unvermeidbar? |
![]() | #8 |
![]() ![]() | ![]() winlog.exe ist Backdoor.Agobot.LF? Werd ich machen, bin auch neugierig ![]() Heißt das, das Problem ist jetzt behoben? *auf Freudentanz vorbereit* Soweit ich mich erinnern kann, hab ich bei Malewarebytes einen vollen Scan gemacht, so wie es in der Anleitung gestanden ist ![]() Du hast ja geschrieben, ich solle die Google Toolbar und Spybot deinstalliern. Warum denn das? Und ist es unbedingt notwendig, den IE 8 zu installieren? (Nicht, dass ich jetzt aufmüpfig sein will ![]() ![]() Liebe Grüße EDIT: Okay, hab grad gesehen dass ich keinen Komplettscan gemacht hab... Tja wenn man oben und unten nicht unterscheiden kann *seufz* |
![]() | #9 | |||||
![]() ![]() ![]() ![]() | ![]() winlog.exe ist Backdoor.Agobot.LF?Zitat:
Zitat:
Zitat:
Zitat:
![]() Zitat:
![]() ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. ![]() Anleitungen Virenscanner Kompromittierung unvermeidbar? |
![]() | #10 |
![]() ![]() | ![]() winlog.exe ist Backdoor.Agobot.LF? Wegen Deinstallation und Installation: Meine Fragen sind beantwortet, vielen Dank ![]() Ich trau mich das jetzt fast nicht zu sagen, aber ich hab grad eben nochmal versucht einen USB-Stick zu öffnen... Und die Winlog.exe ist wieder da ![]() (Wo finde ich den Quarantäneordner eigentlich? Hab schon gesucht wegen dem Upload, finde ihn aber nicht...) Und ich hab mich schon gefreut ![]() |
![]() |
Themen zu winlog.exe ist Backdoor.Agobot.LF? |
aufsetzen, auswertung, dll, einstellungen, fehlermeldung, frage, google, hijack, hijackthis, laptop, logfile, microsoft, namen, nicht vorhanden, problem, prozess, registry, scan, schnelle hilfe, spybot, system, temp, usb-stick, verbindung, virenscanner, win xp, öffnen |