| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojan.Win32.TDSS.ajrrWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
08.09.2009, 16:57
| #1 |
 |  Trojan.Win32.TDSS.ajrr Grüßt euch, bin neu hier und habe folgendes Problem: Ich kann nicht mehr auf die Festplattenpartitionen C und F zugreifen, wegen dem Fehler: "RECYCLER-S-8-4-18-100002092-1000023841-100001124-6376.com konnte nicht gefunden werden" Das Problem habe ich seit einigen Wochen. Das gleiche Problem trat auch bei meiner Externen Festplatte und meinem USB- Stick auf. Nachdem ich diese formatiert hatte, war die Meldung weg. Hab alles mit „Kaspersky“ nach Viren durchgesucht. Das hat folgende Trojaner gefunden, die nicht desinfiziert, sondern nur gelöscht werden konnten: gelöscht: trojanisches Programm Trojan.Win32.TDSS.ajrr Datei: C:\RECYCLER\S-4-9-14-100011029-100013907-100014148-6144.com gelöscht: trojanisches Programm Trojan.Win32.TDSS.ajrr Datei: F:\System Volume Information\_restore{F98E8DE2-1FF8-429E-A4EC-843FFC9294C}\RP149\A0082511.com Die Fehlermeldung kommt aber weiterhin und ich kann immer noch nicht auf die Partitionen zugreifen. Ich habe versucht, alle "Schritte für Hilfesuchende" auszuführen. 1. CCleaner ausgeführt 2. Malwarebytes Anti-Malware hat sich leider, nachdem es das erste infizierte Objekt gefunden hat, festgefahren- und das zweimal hintereinander. Hab also keinen Bericht. 3 .Hier die Berichte von RSIT: log.text Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:23:09, on 08.09.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Gemeinsame Dateien\New Boundary\PrismXL\PRISMXL.SYS C:\WINDOWS\System32\svchost.exe C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe C:\WINDOWS\system32\nvraidservice.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programme\SlySoft\CloneCD\CloneCDTray.exe C:\Programme\Winamp\winampa.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe C:\Programme\ICQ6.5\ICQ.exe C:\Programme\MSI\Core Center\CoreCenter.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\WINDOWS\System32\alg.exe C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe C:\WINDOWS\System32\wbem\wmiprvse.exe C:\Programme\trend micro\***.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu22\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe" O4 - HKLM\..\Run: [MobileConnect] %programfiles%\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe /silent O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000 O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\SCIEPlgn.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{122DBD08-7B62-44D2-A5A3-2A59E85337ED}: NameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{9234F2C7-AC02-4350-8BBD-58A62CF356E0}: NameServer = 139.7.30.125 139.7.30.126 O17 - HKLM\System\CCS\Services\Tcpip\..\{E3BFD672-7224-4F84-889D-FC06E1B6DDC4}: NameServer = 85.255.112.60,85.255.112.82 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.60,85.255.112.82 O17 - HKLM\System\CS1\Services\Tcpip\..\{122DBD08-7B62-44D2-A5A3-2A59E85337ED}: NameServer = 192.168.178.1 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.60,85.255.112.82 O17 - HKLM\System\CS2\Services\Tcpip\..\{122DBD08-7B62-44D2-A5A3-2A59E85337ED}: NameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.60,85.255.112.82 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Security Suite CBE (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: PrismXL - New Boundary Technologies, Inc. - C:\Programme\Gemeinsame Dateien\New Boundary\PrismXL\PRISMXL.SYS O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe Hoffe mir kann jemand von euch helfen. |
|
08.09.2009, 23:51
| #2 |
| > MalwareDB   | Trojan.Win32.TDSS.ajrr Mache bitte einen Scan mit Combofix:
__________________Ein Leitfaden und Tutorium zur Nutzung von ComboFix Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es als test.exe auf den Desktop Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
__________________ |
|
10.09.2009, 19:48
| #3 |
| | Trojan.Win32.TDSS.ajrr Hallo BataAlexander,
__________________danke für die schnelle Antwort. Der Scan mit "Malwarebytes" hat nach längerem Probieren doch noch geklappt. Hier das Ergebnis: Code:
ATTFilter Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2754
Windows 5.1.2600 Service Pack 2
08.09.2009 19:18:43
mbam-log-2009-09-08 (19-18-37).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 93050
Laufzeit: 4 minute(s), 0 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.60,85.255.112.82 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{e3bfd672-7224-4f84-889d-fc06e1b6ddc4}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.60,85.255.112.82 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.60,85.255.112.82 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{e3bfd672-7224-4f84-889d-fc06e1b6ddc4}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.60,85.255.112.82 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.60,85.255.112.82 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{e3bfd672-7224-4f84-889d-fc06e1b6ddc4}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.60,85.255.112.82 -> No action taken.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\autorun.inf (SuspectAutorun.Rootdrive.H) -> No action taken.
C:\WINDOWS\system32\dlh9jkd1q8.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\gaopdxcounter (Trojan.Agent) -> No action taken.
C:\Programme\ICQToolbar\tbu22\toolbaru.dll (Trojan.BHO) -> No action taken.
Code:
ATTFilter ComboFix 09-09-09.08 - *** 10.09.2009 19:14.1.1 - NTFSx86
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\recycler\S-1-5-21-1177238915-606747145-682003330-1004
c:\windows\AUTOLNCH.REG
c:\windows\Installer\11936.msi
F:\Autorun.inf
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_gaopdxserv.sys
-------\Service_gaopdxserv.sys
((((((((((((((((((((((( Dateien erstellt von 2009-08-10 bis 2009-09-10 ))))))))))))))))))))))))))))))
.
2009-09-10 17:04 . 2009-09-10 17:04 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Vodafone
2009-09-10 16:50 . 2009-09-10 16:50 -------- d-----w- c:\windows\system32\wbem\Repository
2009-09-08 15:22 . 2009-09-08 15:23 -------- d-----w- C:\rsit
2009-09-07 19:22 . 2009-09-07 19:22 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-09-07 19:21 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-07 19:21 . 2009-09-10 16:50 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-09-07 19:21 . 2009-09-07 19:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-07 19:21 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-06 19:28 . 2009-09-10 16:49 -------- d-----w- c:\programme\ICQ6.5
2009-09-03 20:00 . 2009-09-03 20:00 -------- d-----w- c:\programme\MSBuild
2009-09-03 19:59 . 2009-09-03 19:59 -------- d-----w- c:\programme\Microsoft.NET
2009-09-03 19:57 . 2009-09-03 19:57 -------- d-----w- c:\programme\Microsoft Visual Studio 8
2009-09-03 19:56 . 2009-09-03 19:56 -------- d-----w- c:\windows\SHELLNEW
2009-09-03 19:17 . 2004-03-02 14:37 125184 ------w- c:\windows\system32\drivers\imagesrv.sys
2009-09-03 19:17 . 2004-03-02 14:37 5504 ------w- c:\windows\system32\drivers\imagedrv.sys
2009-09-03 19:17 . 2000-06-26 08:45 106496 ----a-w- c:\windows\system32\TwnLib20.dll
2009-09-03 19:17 . 2004-07-26 14:16 476320 ------w- c:\windows\system32\ImagXpr7.dll
2009-09-03 19:17 . 2004-07-26 14:16 471040 ------w- c:\windows\system32\ImagXRA7.dll
2009-09-03 19:17 . 2004-07-26 14:16 262144 ------w- c:\windows\system32\ImagXR7.dll
2009-09-03 19:17 . 2004-07-26 14:16 1568768 ------w- c:\windows\system32\ImagX7.dll
2009-09-03 19:17 . 2001-07-09 08:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-10 17:24 . 2009-03-22 15:19 9800480 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-09-10 17:23 . 2009-03-22 15:19 570912 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-09-10 17:22 . 2009-03-22 15:19 57680 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-09-10 17:22 . 2009-03-22 15:19 135368 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-09-10 17:04 . 2007-04-13 16:25 -------- d-----w- c:\programme\Vodafone
2009-09-10 16:59 . 2009-03-22 15:19 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-09-10 16:50 . 2009-09-08 15:22 -------- d-----w- c:\programme\trend micro
2009-09-10 16:50 . 2009-09-10 16:50 -------- d-----w- c:\programme\CCleaner
2009-09-10 16:50 . 2008-07-03 19:53 -------- d-----w- c:\programme\ICQ6Toolbar
2009-09-10 16:49 . 2007-07-14 12:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-09-10 16:22 . 2008-07-03 19:52 -------- d-----w- c:\programme\ICQ6
2009-09-06 19:33 . 2008-07-03 19:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2009-09-06 18:15 . 2007-03-15 17:18 2323072 ----a-w- c:\windows\system32\TUKernel.exe
2009-09-06 18:12 . 2007-04-07 12:43 93360 ----a-w- c:\windows\system32\GDIPFONTCACHEV1.DAT
2009-09-03 20:00 . 2007-08-16 18:10 -------- d-----w- c:\programme\Microsoft Works
2009-09-03 19:17 . 2007-04-13 17:22 -------- d-----w- c:\programme\Ahead
2009-09-03 18:09 . 2007-04-22 16:36 -------- d-----w- c:\programme\s25atonce
2009-09-03 17:57 . 2007-04-07 12:49 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ulead Systems
2009-09-03 17:57 . 2007-03-15 13:20 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-09-02 20:15 . 2007-04-07 13:30 -------- d-----w- c:\programme\Google
2006-05-03 10:06 . 2007-04-21 17:43 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2007-04-21 17:43 31744 --sh--r- c:\windows\system32\msfDX.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TuneUp MemOptimizer"="c:\programme\TuneUp Utilities 2006\MemOptimizer.exe" [2005-08-24 295936]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVRaidService"="c:\windows\system32\nvraidservice.exe" [2004-06-11 83968]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-12-12 196608]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2007-04-07 155648]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 57344]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2003-02-06 114741]
"StorageGuard"="c:\programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" [2003-02-12 155648]
"CloneCDTray"="c:\programme\SlySoft\CloneCD\CloneCDTray.exe" [2005-05-19 57344]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2006-10-25 35328]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-21 136600]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-08-06 185896]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"MobileConnect"="c:\programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe" [2008-03-13 2060288]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-04-15 77824]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
CoreCenter.lnk - c:\programme\MSI\Core Center\CoreCenter.exe [2007-4-2 914944]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [03.07.2008 21:53 222968]
R2 VMCService;Vodafone Mobile Connect Service;c:\programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [13.03.2008 19:08 24576]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [13.12.2007 15:28 24592]
S3 siusbmod;siusbmod;c:\windows\system32\drivers\siusbmod.sys [15.03.2007 20:20 26880]
--- Andere Dienste/Treiber im Speicher ---
*NewlyCreated* - PCALERTDRIVER
*Deregistered* - mchInjDrv
*Deregistered* - PCAlertDriver
.
Inhalt des "geplante Tasks" Ordners
2009-06-19 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-24 00:29]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
TCP: {122DBD08-7B62-44D2-A5A3-2A59E85337ED} = 192.168.178.1
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\unnge8t6.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKLM-Run-Cmaudio - cmicnfg.cpl
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-10 19:24
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\windows\TEMP\mc21.tmp"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(1192)
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll
c:\programme\TuneUp Utilities 2006\WinStylerThemeHelper.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\klogon.dll
- - - - - - - > 'lsass.exe'(1248)
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\dnsq.dll
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\fssync.dll
c:\programme\TuneUp Utilities 2006\WinStylerThemeHelper.dll
- - - - - - - > 'explorer.exe'(3888)
c:\programme\TuneUp Utilities 2006\WinStylerThemeHelper.dll
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\fssync.dll
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\scrchpg.dll
c:\windows\system32\msi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\programme\Gemeinsame Dateien\New Boundary\PrismXL\PRISMXL.SYS
c:\programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
c:\programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
c:\programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-09-10 19:28 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-09-10 17:28
Vor Suchlauf: 14 Verzeichnis(se), 28.693.704.704 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 56.740.126.720 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn /TUTag=6DHVC6 /Kernel=TUKernel.exe
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional (TuneUp Backup)" /fastdetect /NoExecute=OptIn /TUTag=6DHVC6-BAK
202
Hab jetzt aber ein Problem mit meinem Internet. Ich benutz einen USB-Stick und surf über UMTS. Da kommt beim Netzaufbau die Fehlermeldung: "Fehler 720". Hab bei meinen Netzbetreiber angerufen und die meinten das liegt an "Winsock six" Hab aber keine Ahnung, was ich jetzt machen soll? |
|
12.09.2009, 11:16
| #4 |
| | Trojan.Win32.TDSS.ajrr Das Problem mit der Internetverbindung hab ich hinbekommen. Auf meine Festplattenpartitionen kann ich wieder zugreifen.  |
|
02.10.2009, 19:57
| #5 | ||
| /// Helfer-Team   | Trojan.Win32.TDSS.ajrr hi Alles deutet darauf hin, dass dein PC ist mit Rootkit/Wikipedia ) und mit dem Virus "Virus.Win32.AutoRun" verseucht. Zitat:
- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: ► CombiFix entfernen: Start --> Ausführen -->Kopiere rein Combofix /u --> OK Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren 1. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 2. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 3. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 4. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! 5. poste erneut: Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!! Zitat:
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw gruß Coverflow |
|
04.10.2009, 08:54
| #6 |
| | Trojan.Win32.TDSS.ajrr Danke Coverflow für die Antwort. Hab ComboFix entfernt und die versteckten- und Systemdateien sichtbar gemacht. Hier ist der logfile von filelist: Code:
ATTFilter ----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1C4D-35A2
Verzeichnis von C:\
03.10.2009 22:11 43 filelist.txt
03.10.2009 20:57 2.147.012.608 hiberfil.sys
03.10.2009 20:57 805.306.368 pagefile.sys
16.09.2009 21:22 107.111 stub.log
10.09.2009 19:28 13.255 ComboFix.txt
10.09.2009 19:13 460 boot.ini
06.09.2009 20:15 389 Boot.bak
26.05.2009 18:56 0 Log.txt
16 Datei(en) 2.953.006.382 Bytes
0 Verzeichnis(se), 57.227.468.800 Bytes frei
----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1C4D-35A2
Verzeichnis von C:\WINDOWS
03.10.2009 21:51 14.916 ModemLog_HUAWEI Mobile Connect - 3G Modem #6.txt
03.10.2009 20:58 0 0.log
03.10.2009 20:58 159 wiadebug.log
03.10.2009 20:57 50 wiaservc.log
03.10.2009 20:57 2.048 bootstat.dat
02.10.2009 18:20 32.584 SchedLgU.Txt
02.10.2009 18:20 4.473 WindowsUpdate.log
11.09.2009 18:15 860 setupapi.log
11.09.2009 18:11 9.852 resetlog.txt
10.09.2009 19:24 227 system.ini
08.09.2009 18:33 54.156 QTFont.qfn
06.09.2009 21:44 1.409 QTFont.for
03.09.2009 22:25 230.912 PEV.exe
03.09.2009 21:56 718 win.ini
03.09.2009 19:48 52 pex.INI
03.09.2009 19:47 518 Ulead32.ini
02.09.2009 21:36 29 Battle.ini
03.08.2009 16:12 3.141 tpl.cfg
03.08.2009 16:01 821 ISISAIM.INI
25.07.2009 20:36 10.208 ModemLog_HUAWEI Mobile Connect - 3G Modem #5.txt
22.04.2009 13:00 400 ODBC.INI
20.04.2009 12:56 31.232 NIRCMD.exe
121 Datei(en) 10.683.947 Bytes
0 Verzeichnis(se), 57.227.452.416 Bytes frei
----- System ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1C4D-35A2
Verzeichnis von C:\WINDOWS\system
15.03.2007 15:20 167 CmiCnfg.ini
29 Datei(en) 5.873.826 Bytes
0 Verzeichnis(se), 57.227.448.320 Bytes frei
----- System 32 (Achtung: Zeitfenster beachten!) ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1C4D-35A2
Verzeichnis von C:\WINDOWS\system32
03.10.2009 20:41 2.206 wpa.dbl
06.09.2009 20:15 2.323.072 TUKernel.exe
06.09.2009 20:12 93.360 GDIPFONTCACHEV1.DAT
06.09.2009 20:12 328.296 FNTCACHE.DAT
07.04.2009 13:54 20.648 dopdfmn6.dll
07.04.2009 13:54 18.088 dopdfmi6.dll
29.03.2009 11:11 401.064 perfh009.dat
29.03.2009 11:11 74.996 perfc007.dat
29.03.2009 11:11 62.344 perfc009.dat
29.03.2009 11:11 415.470 perfh007.dat
29.03.2009 11:11 966.314 PerfStringBackup.INI
2171 Datei(en) 441.137.629 Bytes
0 Verzeichnis(se), 57.227.264.000 Bytes frei
----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1C4D-35A2
Verzeichnis von C:\WINDOWS\Prefetch
03.10.2009 22:11 11.788 FIND.EXE-0EC32F1E.pf
03.10.2009 22:11 11.754 CMD.EXE-087B4001.pf
03.10.2009 22:11 13.730 WINRAR.EXE-3588DFE8.pf
03.10.2009 22:06 27.886 DW20.EXE-005BA42F.pf
03.10.2009 22:06 28.978 WMIPRVSE.EXE-28F301A9.pf
03.10.2009 22:06 77.212 MOBILECONNECT.EXE-39D15BA7.pf
03.10.2009 22:03 71.124 WINAMP.EXE-08C38ED9.pf
03.10.2009 21:21 15.692 RUNDLL32.EXE-451FC2C0.pf
03.10.2009 21:20 32.982 RUNDLL32.EXE-341904CC.pf
03.10.2009 21:20 19.094 HPZENG04.EXE-129A6FF3.pf
03.10.2009 21:19 11.988 HPZSTC04.EXE-1001DF4D.pf
03.10.2009 21:18 96.360 WINWORD.EXE-0B995611.pf
03.10.2009 21:02 8.934 JQSNOTIFY.EXE-1E60A522.pf
03.10.2009 21:02 80.410 FIREFOX.EXE-1D57670A.pf
03.10.2009 20:59 15.720 ALG.EXE-0F138680.pf
03.10.2009 20:59 20.282 WMIAPSRV.EXE-1E2270A5.pf
03.10.2009 20:59 1.553.936 NTOSBOOT-B00DFAAD.pf
03.10.2009 20:53 34.262 RUNDLL32.EXE-42D6F25F.pf
03.10.2009 20:52 17.886 TASKMGR.EXE-20256C55.pf
03.10.2009 20:45 59.722 AVP.EXE-0ED7EF87.pf
02.10.2009 18:20 24.410 TU_LOGONUI.EXE-381C5638.pf
02.10.2009 17:17 51.528 DISKCLEANER.EXE-015A6E3D.pf
02.10.2009 17:15 106.966 REALPLAY.EXE-1BF219BD.pf
02.10.2009 17:15 34.354 RUNDLL32.EXE-171D38C1.pf
02.10.2009 17:15 48.990 REGISTRYCLEANER.EXE-2ACFEEF7.pf
02.10.2009 17:15 50.976 SYSTEMOPTIMIZER.EXE-191231CF.pf
29.09.2009 19:05 34.504 RUNDLL32.EXE-1557B42A.pf
28.09.2009 22:36 17.818 RUNDLL32.EXE-458E2BBF.pf
28.09.2009 21:07 34.664 RUNDLL32.EXE-1898A762.pf
27.09.2009 21:51 15.700 SNDVOL32.EXE-383480B7.pf
27.09.2009 21:35 15.474 REALONEMESSAGECENTER.EXE-0A4B9E3A.pf
27.09.2009 21:35 33.138 RUNDLL32.EXE-27DD5781.pf
27.09.2009 21:35 35.902 RECORDINGMANAGER.EXE-34557554.pf
27.09.2009 21:16 48.258 IEXPLORE.EXE-2CA9778D.pf
27.09.2009 21:15 33.784 RUNDLL32.EXE-35BDE132.pf
27.09.2009 20:47 65.948 ACRORD32.EXE-153330F0.pf
27.09.2009 20:44 37.546 ADOBEUPDATER.EXE-370FC314.pf
27.09.2009 20:44 65.702 ACRORD32INFO.EXE-19D979CC.pf
27.09.2009 20:14 44.652 AGENT.EXE-027CAB18.pf
27.09.2009 20:13 21.922 REALSCHED.EXE-0A2A7558.pf
27.09.2009 20:13 29.966 SETUP.EXE-23A4758C.pf
27.09.2009 20:12 28.894 SETUP.EXE-00C4F53C.pf
24.09.2009 16:42 34.518 RUNDLL32.EXE-154A2FEA.pf
22.09.2009 20:39 65.712 HELPSVC.EXE-2878DDA2.pf
22.09.2009 20:35 86.164 DFRGNTFS.EXE-269967DF.pf
22.09.2009 20:34 40.156 DEFRAG.EXE-273F131E.pf
22.09.2009 20:34 910.970 Layout.ini
21.09.2009 20:49 19.948 NOTEPAD.EXE-336351A9.pf
18.09.2009 09:59 35.598 CSC.EXE-01730C27.pf
18.09.2009 09:59 12.788 CVTRES.EXE-2329DCD5.pf
12.09.2009 11:59 38.398 EPMWORKER.EXE-36EA6AD1.pf
12.09.2009 11:59 105.368 GENERIC.EXE-0FF6F96D.pf
12.09.2009 11:59 26.240 CONNECTIONWIZARD.EXE-36F3825D.pf
10.09.2009 21:35 41.538 SETUP.EXE-310A209C.pf
08.09.2009 21:13 27.234 LOGON.SCR-151EFAEA.pf
03.09.2009 20:20 22.726 SIFXINST.EXE-3950183F.pf
02.09.2009 21:59 78.544 GOOGLEUPDATER.EXE-36CE3796.pf
02.09.2009 21:38 83.786 WINWORD.EXE-3395695A.pf
22.03.2009 17:13 30.512 AVWSC.EXE-2F6C3C95.pf
59 Datei(en) 4.751.036 Bytes
0 Verzeichnis(se), 57.227.337.728 Bytes frei
----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1C4D-35A2
Verzeichnis von C:\WINDOWS\tasks
03.10.2009 20:57 6 SA.DAT
02.10.2009 17:18 410 1-Klick-Wartung.job
3 Datei(en) 481 Bytes
0 Verzeichnis(se), 57.227.337.728 Bytes frei
----- Windows/Temp -----------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1C4D-35A2
Verzeichnis von C:\WINDOWS\Temp
03.10.2009 20:58 16.384 Perflib_Perfdata_6d0.dat
03.10.2009 20:41 16.384 Perflib_Perfdata_6cc.dat
11.09.2009 18:11 16.384 Perflib_Perfdata_ec.dat
3 Datei(en) 49.152 Bytes
0 Verzeichnis(se), 57.227.337.728 Bytes frei
----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1C4D-35A2
Verzeichnis von C:\DOKUME~1\***~1\LOKALE~1\Temp
03.10.2009 22:06 81 dw.log
03.10.2009 22:06 0 JET4DBF.tmp
03.10.2009 21:02 7.203 jusched.log
03.10.2009 20:58 16.384 Perflib_Perfdata_4e4.dat
4 Datei(en) 23.668 Bytes
0 Verzeichnis(se), 57.227.337.728 Bytes frei
Code:
ATTFilter Adobe Flash Player 10 Plugin
Adobe Flash Player 9 ActiveX
Adobe Reader 8.1.3 - Deutsch
Adobe Shockwave Player
Adobe® Photoshop® Album Starter Edition 3.0
ATI - Software Uninstall Utility
ATI Catalyst Control Center
ATI Display Driver
C-Media 3D Audio
CCleaner (remove only)
Cisco Systems VPN Client 5.0.02.0090
CloneCD
Core Center
Disc2Phone
DivX Codec
DivX Content Uploader
DivX Converter Mobile
DivX Player
DivX Web Player
doPDF 6.2 printer
eMusic - 50 Free MP3 offer
Free YouTube to Mp3 Converter version 3.1
Google Earth
HijackThis 2.0.2
hp deskjet 930c series (nur entfernen)
HP PrecisionScan LTX
ICQ Toolbar
ICQ6.5
IrfanView (remove only)
ISIS Draw 2.1.4 Standalone
Java(TM) 6 Update 11
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
Kaspersky Security Suite CBE
Malwarebytes' Anti-Malware
MDL CrossFire Commander 7.0
Microsoft .NET Framework 1.1
Microsoft .NET Framework 2.0
Microsoft Office Enterprise 2007
Mozilla Firefox (3.5.3)
MyDVD
Nero 6 Ultra Edition
NVIDIA Drivers
PowerQuest PartitionMagic 8.0
QuickTime
RealPlayer
Realtek AC'97 Audio
|
|
04.10.2009, 09:16
| #7 |
| | Trojan.Win32.TDSS.ajrr Hier der erste Teil von log.txt: Code:
ATTFilter Logfile of random's system information tool 1.06 (written by random/random) Run by *** at 2009-10-04 09:16:52 Microsoft Windows XP Professional Service Pack 2 System drive C: has 55 GB (56%) free of 97 GB Total RAM: 2047 MB (74% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:17:03, on 04.10.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Gemeinsame Dateien\New Boundary\PrismXL\PRISMXL.SYS C:\WINDOWS\System32\svchost.exe C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe C:\WINDOWS\system32\nvraidservice.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programme\SlySoft\CloneCD\CloneCDTray.exe C:\Programme\Winamp\winampa.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSI\Core Center\CoreCenter.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\WINDOWS\System32\alg.exe C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.EXE C:\Dokumente und Einstellungen\***\Desktop\rsit.exe C:\WINDOWS\System32\wbem\wmiprvse.exe C:\Programme\trend micro\***.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe" O4 - HKLM\..\Run: [MobileConnect] %programfiles%\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe /silent O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000 O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\SCIEPlgn.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Security Suite CBE (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: PrismXL - New Boundary Technologies, Inc. - C:\Programme\Gemeinsame Dateien\New Boundary\PrismXL\PRISMXL.SYS O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe -- End of file - 9193 bytes |
|
04.10.2009, 09:17
| #8 |
| | Trojan.Win32.TDSS.ajrr Hier der zweiter Teil von log.txt Code:
ATTFilter ======Scheduled tasks folder======
C:\WINDOWS\tasks\1-Klick-Wartung.job
======Registry dump======
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
RealPlayer Download and Record Plugin for Internet Explorer - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll [2008-08-06 308856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5CA3D70E-1895-11CF-8E15-001234567890}]
DriveLetterAccess - C:\WINDOWS\system32\dla\tfswshx.dll [2003-02-07 98356]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]
Groove GFS Browser Helper - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL [2006-10-27 2210608]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
Java(tm) Plug-In SSV Helper - C:\Programme\Java\jre6\bin\ssv.dll [2009-01-21 320920]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-01-21 34816]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-01-21 73728]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{855F3B16-6D32-4fe6-8A56-BBB695989046} - ICQToolBar - C:\Programme\ICQ6Toolbar\ICQToolBar.dll [2009-06-01 962808]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NVRaidService"=C:\WINDOWS\system32\nvraidservice.exe [2004-06-11 83968]
"ATICCC"=C:\Programme\ATI Technologies\ATI.ACE\cli.exe [2006-01-02 45056]
"SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2005-04-15 77824]
"HPDJ Taskbar Utility"=C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe [2001-12-12 196608]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2007-04-07 155648]
"Sony Ericsson PC Suite"=C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe [2005-10-26 159744]
"Adobe Photo Downloader"=C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe [2005-06-23 57344]
"dla"=C:\WINDOWS\system32\dla\tfswctrl.exe [2003-02-07 114741]
"StorageGuard"=C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe [2003-02-13 155648]
"CloneCDTray"=C:\Programme\SlySoft\CloneCD\CloneCDTray.exe [2005-05-19 57344]
"WinampAgent"=C:\Programme\Winamp\winampa.exe [2006-10-25 35328]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-01-21 136600]
"TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2008-08-06 185896]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-10-15 39792]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"GrooveMonitor"=C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe [2006-10-27 31016]
"AVP"=C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe [2008-05-01 221184]
"MobileConnect"=C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe [2008-03-13 2060288]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"TuneUp MemOptimizer"=C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe [2005-08-24 295936]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
CoreCenter.lnk - C:\Programme\MSI\Core Center\CoreCenter.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2006-08-03 86016]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
C:\WINDOWS\system32\klogon.dll [2008-02-08 219664]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL [2006-10-27 2210608]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\Programme\Microsoft Office\Office12\GROOVE.EXE"="C:\Programme\Microsoft Office\Office12\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\Programme\Microsoft Office\Office12\ONENOTE.EXE"="C:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8e84b544-7ad7-11de-b56c-00110990e8f2}]
shell\AutoRun\command - G:\setup.exe
======List of files/folders created in the last 1 months======
2009-10-03 22:11:55 ----A---- C:\filelist.txt
2009-09-11 18:55:57 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee Security Scan
2009-09-11 18:55:55 ----D---- C:\Programme\McAfee Security Scan
2009-09-11 18:11:49 ----A---- C:\WINDOWS\resetlog.txt
2009-09-11 18:11:06 ----D---- C:\ERDNT
2009-09-10 21:36:37 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Vodafone
2009-09-10 21:36:32 ----D---- C:\Programme\Vodafone
2009-09-10 19:30:43 ----SHD---- C:\RECYCLER
2009-09-10 19:28:36 ----A---- C:\ComboFix.txt
2009-09-10 19:21:20 ----D---- C:\WINDOWS\temp
2009-09-10 19:13:14 ----A---- C:\Boot.bak
2009-09-10 19:13:08 ----RASHD---- C:\cmdcons
2009-09-10 18:50:02 ----D---- C:\Programme\CCleaner
2009-09-10 16:58:14 ----A---- C:\WINDOWS\zip.exe
2009-09-10 16:58:14 ----A---- C:\WINDOWS\SWXCACLS.exe
2009-09-10 16:58:14 ----A---- C:\WINDOWS\SWSC.exe
2009-09-10 16:58:14 ----A---- C:\WINDOWS\SWREG.exe
2009-09-10 16:58:14 ----A---- C:\WINDOWS\sed.exe
2009-09-10 16:58:14 ----A---- C:\WINDOWS\PEV.exe
2009-09-10 16:58:14 ----A---- C:\WINDOWS\NIRCMD.exe
2009-09-10 16:58:14 ----A---- C:\WINDOWS\grep.exe
2009-09-10 16:51:17 ----D---- C:\WINDOWS\ERDNT
2009-09-08 17:22:40 ----D---- C:\Programme\trend micro
2009-09-08 17:22:37 ----D---- C:\rsit
2009-09-07 21:22:25 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2009-09-07 21:21:36 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-09-07 21:21:36 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-06 21:28:01 ----D---- C:\Programme\ICQ6.5
======List of files/folders modified in the last 1 months======
2009-10-04 09:17:00 ----D---- C:\WINDOWS\Prefetch
2009-10-04 09:14:50 ----A---- C:\WINDOWS\ModemLog_HUAWEI Mobile Connect - 3G Modem #6.txt
2009-10-04 09:10:09 ----D---- C:\Programme\Mozilla Firefox
2009-10-04 09:04:03 ----D---- C:\WINDOWS\system32\CatRoot2
2009-10-04 09:03:58 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-10-04 09:03:16 ----D---- C:\WINDOWS
2009-10-04 00:27:26 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-09-22 19:42:01 ----D---- C:\WINDOWS\system32\drivers
2009-09-12 11:58:32 ----D---- C:\Programme
2009-09-11 18:58:15 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe
2009-09-10 21:36:54 ----SHD---- C:\WINDOWS\Installer
2009-09-10 21:36:52 ----D---- C:\Config.Msi
2009-09-10 21:36:34 ----D---- C:\WINDOWS\WinSxS
2009-09-10 21:27:14 ----D---- C:\WINDOWS\SxsCaPendDel
2009-09-10 21:05:54 ----D---- C:\WINDOWS\Help
2009-09-10 19:28:49 ----D---- C:\WINDOWS\system32
2009-09-10 19:24:37 ----A---- C:\WINDOWS\system.ini
2009-09-10 19:21:53 ----D---- C:\WINDOWS\system32\config
2009-09-10 19:17:37 ----D---- C:\WINDOWS\AppPatch
2009-09-10 19:17:32 ----D---- C:\Programme\Gemeinsame Dateien
2009-09-10 19:13:14 ----RASH---- C:\boot.ini
2009-09-10 18:50:25 ----D---- C:\WINDOWS\system32\wbem
2009-09-10 18:50:23 ----D---- C:\WINDOWS\Registration
2009-09-10 18:50:02 ----D---- C:\Programme\ICQ6Toolbar
2009-09-10 18:49:50 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-09-10 18:22:43 ----D---- C:\Programme\ICQ6
2009-09-06 21:33:49 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
2009-09-06 20:15:44 ----A---- C:\WINDOWS\system32\TUKernel.exe
======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R1 AmdK7;AMD K7-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\amdk7.sys [2004-08-04 41472]
R1 klif;Klif; \??\C:\WINDOWS\system32\drivers\klif.sys []
R1 PCLEPCI;PCLEPCI; \??\C:\WINDOWS\system32\drivers\pclepci.sys []
R1 PQNTDrv;PQNTDrv; C:\WINDOWS\system32\drivers\PQNTDrv.sys [2002-09-16 4228]
R1 sscdbhk5;sscdbhk5; C:\WINDOWS\system32\drivers\sscdbhk5.sys [2003-02-05 5589]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2008-05-05 21248]
R1 ssrtln;ssrtln; C:\WINDOWS\system32\drivers\ssrtln.sys [2003-02-05 23059]
R2 CVPNDRVA;Cisco Systems Inc. IPSec Driver; \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys []
R2 drvnddm;drvnddm; C:\WINDOWS\system32\drivers\drvnddm.sys [2003-02-05 40416]
R2 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2005-04-21 10624]
R2 tfsnboio;tfsnboio; C:\WINDOWS\system32\dla\tfsnboio.sys [2003-02-07 23957]
R2 tfsncofs;tfsncofs; C:\WINDOWS\system32\dla\tfsncofs.sys [2003-02-07 34773]
R2 tfsndrct;tfsndrct; C:\WINDOWS\system32\dla\tfsndrct.sys [2003-02-07 4053]
R2 tfsndres;tfsndres; C:\WINDOWS\system32\dla\tfsndres.sys [2003-02-07 2201]
R2 tfsnifs;tfsnifs; C:\WINDOWS\system32\dla\tfsnifs.sys [2003-02-07 55540]
R2 tfsnopio;tfsnopio; C:\WINDOWS\system32\dla\tfsnopio.sys [2003-02-07 14133]
R2 tfsnpool;tfsnpool; C:\WINDOWS\system32\dla\tfsnpool.sys [2003-02-07 6293]
R2 tfsnudf;tfsnudf; C:\WINDOWS\system32\dla\tfsnudf.sys [2003-02-07 96596]
R2 tfsnudfa;tfsnudfa; C:\WINDOWS\system32\dla\tfsnudfa.sys [2003-02-07 99029]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2005-04-19 2317504]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2006-08-03 1681920]
R3 DNE;Deterministic Network Enhancer Miniport; C:\WINDOWS\system32\DRIVERS\dne2000.sys [2007-01-31 127376]
R3 ElbyCDFL;ElbyCDFL; C:\WINDOWS\System32\Drivers\ElbyCDFL.sys [2005-05-03 27392]
R3 FETNDISB;VIA Rhine Family Fast Ethernet Adapter Driver Service; C:\WINDOWS\system32\DRIVERS\fetnd5b.sys [2004-04-15 42496]
R3 hwdatacard;Huawei DataCard USB Modem and USB Serial; C:\WINDOWS\system32\DRIVERS\ewusbmdm.sys [2008-03-07 101120]
R3 klim5;Kaspersky Anti-Virus NDIS Filter; C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 24592]
R3 PCAlertDriver;PCAlertDriver; \??\C:\Programme\MSI\Core Center\NTGLM7X.sys []
R3 pfc;Padus ASPI Shell; C:\WINDOWS\system32\drivers\pfc.sys [2003-03-21 9856]
R3 RushTopDevice;RushTopDevice; \??\C:\Programme\MSI\Core Center\RushTop.sys []
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-04 26624]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-04 57600]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-03 20480]
S3 catchme;catchme; \??\C:\ComboFix\catchme.sys []
S3 cmuda;C-Media WDM Audio Interface; C:\WINDOWS\system32\drivers\cmuda.sys [2004-08-23 821760]
S3 CVirtA;Cisco Systems VPN Adapter; C:\WINDOWS\system32\DRIVERS\CVirtA.sys [2007-01-18 5275]
S3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber; C:\WINDOWS\system32\DRIVERS\fetnd5.sys [2001-08-17 27165]
S3 GMSIPCI;GMSIPCI; \??\D:\INSTALL\GMSIPCI.SYS []
S3 MODEMCSA;Unimodem-Datenstromfiltergerät; C:\WINDOWS\system32\drivers\MODEMCSA.sys [2001-08-17 16128]
S3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2004-05-17 33280]
S3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2004-05-17 12928]
S3 SE27bus;Sony Ericsson Device 039 Driver driver (WDM); C:\WINDOWS\system32\DRIVERS\SE27bus.sys [2006-09-18 61600]
S3 SE27mdfl;Sony Ericsson Device 039 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\SE27mdfl.sys [2006-09-18 9360]
S3 SE27mdm;Sony Ericsson Device 039 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\SE27mdm.sys [2006-09-18 97184]
S3 SE27mgmt;Sony Ericsson Device 039 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\SE27mgmt.sys [2006-09-18 88688]
S3 se27nd5;Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (NDIS); C:\WINDOWS\system32\DRIVERS\se27nd5.sys [2006-09-18 18704]
S3 SE27obex;Sony Ericsson Device 039 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\SE27obex.sys [2006-09-18 86560]
S3 se27unic;Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (WDM); C:\WINDOWS\system32\DRIVERS\se27unic.sys [2006-09-18 90800]
S3 siusbmod;siusbmod; C:\WINDOWS\system32\DRIVERS\siusbmod.sys [2004-07-08 26880]
S3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2004-08-04 17024]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 vsdatant;vsdatant; \??\C:\WINDOWS\system32\vsdatant.sys []
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 mchInjDrv;mchInjDrv; \??\C:\WINDOWS\TEMP\mc21.tmp []
======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2006-08-03 401408]
R2 AVP;Kaspersky Security Suite CBE; C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe [2008-05-01 221184]
R2 CVPND;Cisco Systems, Inc. VPN Service; C:\Programme\Cisco Systems\VPN Client\cvpnd.exe [2007-10-26 1524512]
R2 ICQ Service;ICQ Service; C:\Programme\ICQ6Toolbar\ICQ Service.exe [2009-06-01 222968]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-01-21 152984]
R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-19 322120]
R2 PrismXL;PrismXL; C:\Programme\Gemeinsame Dateien\New Boundary\PrismXL\PRISMXL.SYS [2008-06-10 196608]
R2 TUWinStylerThemeSvc;TuneUp WinStyler Theme Service; C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe [2005-08-24 118272]
R2 VMCService;Vodafone Mobile Connect Service; C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [2008-03-13 24576]
S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2006-03-17 520192]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]
S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-27 65824]
S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
-----------------EOF-----------------
|
|
04.10.2009, 09:19
| #9 |
| | Trojan.Win32.TDSS.ajrr Nun die info.txt: Code:
ATTFilter info.txt logfile of random's system information tool 1.06 2009-10-04 09:17:07
======Uninstall list======
-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->C:\WINDOWS\system32\\MSIEXEC.EXE /I {09DA4F91-2A09-4232-AB8C-6BC740096DE3} REMOVE=UpdateMgrFeature
-->C:\WINDOWS\system32\\MSIEXEC.EXE /x {1206EF92-2E83-4859-ACCB-2048C3CB7DA6}
-->C:\WINDOWS\system32\\MSIEXEC.EXE /x {60E971B7-51A0-48CA-8687-C6B8F094A409}
-->C:\WINDOWS\system32\\MSIEXEC.EXE /x {8855FF30-19CE-4CB1-A654-87B38369CCE1}
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player 9 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\UninstFl.exe -q
Adobe Reader 8.1.3 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81300000003}
Adobe Shockwave Player-->C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Adobe® Photoshop® Album Starter Edition 3.0-->MsiExec.exe /I{4BDFD2CE-6329-42E4-9801-9B3D1F10D79B}
ATI - Software Uninstall Utility-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Catalyst Control Center-->MsiExec.exe /I{34566374-6C4D-419F-A9E0-8B21CA905FD8}
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
Cisco Systems VPN Client 5.0.02.0090-->MsiExec.exe /X{871DF2BE-41D2-4334-AC33-839AF16FC8FE}
CloneCD-->"C:\Programme\SlySoft\CloneCD\ccd-uninst.exe" /D="C:\Programme\SlySoft\CloneCD"
C-Media 3D Audio-->C:\WINDOWS\CMIUnInstall.exe
Core Center-->C:\WINDOWS\IsUninst.exe -f"C:\Programme\MSI\Core Center\Uninst.isu"
Disc2Phone-->MsiExec.exe /I{FFAB5ABB-8AAB-42E2-847F-1743E51E01E9}
DivX Codec-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC
DivX Content Uploader-->C:\Programme\DivX\DivXContentUploaderUninstall.exe /CUPLOADER
DivX Converter Mobile-->C:\Programme\DivX\DivXConverterMeUninstall.exe /CONVERTERME
DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
doPDF 6.2 printer-->"C:\Programme\Softland\doPDF 6\unins000.exe"
eMusic - 50 Free MP3 offer-->"C:\Programme\Winamp\eMusic\Uninst-eMusic-promotion.exe"
Free YouTube to Mp3 Converter version 3.1-->"C:\Programme\DVDVideoSoft\Free YouTube to Mp3 Converter\unins000.exe"
Google Earth-->MsiExec.exe /I{1D14373E-7970-4F2F-A467-ACA4F0EA21E3}
HijackThis 2.0.2-->"C:\Programme\trend micro\HijackThis.exe" /uninstall
hp deskjet 930c series (nur entfernen)-->C:\Programme\hp deskjet 930c series\hpfiui.exe -c -vdivid=HPF -vpnum=95 -vinstport=LPT1: -vproduct=930c -huninstall
HP PrecisionScan LTX-->C:\WINDOWS\IsUn0407.exe -f"C:\Programme\Hewlett-Packard\HP PrecisionScan\PrecisionScan LTX\Uninst.isu" -c"C:\Programme\Hewlett-Packard\HP PrecisionScan\PrecisionScan LTX\HPUninstallIs.dll"
ICQ Toolbar-->C:\Programme\ICQ6Toolbar\ICQUnToolbar.exe
ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
IrfanView (remove only)-->C:\Programme\IrfanView\iv_uninstall.exe
ISIS Draw 2.1.4 Standalone-->C:\WINDOWS\IsUninst.exe -f"C:\Programme\ISIS Draw 2.1.4\uninst.isu"
Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Kaspersky Security Suite CBE-->MsiExec.exe /I{C774410D-3EF9-4DE7-AC01-332613163ECF}
Kaspersky Security Suite CBE-->MsiExec.exe /I{C774410D-3EF9-4DE7-AC01-332613163ECF}
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
MDL CrossFire Commander 7.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{AD31D4D6-7154-4AC4-B580-59F28CA331D0}\setup.exe" -l0x9
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Office Access MUI (German) 2007-->MsiExec.exe /X{90120000-0015-0407-0000-0000000FF1CE}
Microsoft Office Enterprise 2007-->"C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall ENTERPRISE /dll OSETUP.DLL
Microsoft Office Enterprise 2007-->MsiExec.exe /X{90120000-0030-0000-0000-0000000FF1CE}
Microsoft Office Excel MUI (German) 2007-->MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE}
Microsoft Office Groove MUI (German) 2007-->MsiExec.exe /X{90120000-00BA-0407-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (German) 2007-->MsiExec.exe /X{90120000-0044-0407-0000-0000000FF1CE}
Microsoft Office OneNote MUI (German) 2007-->MsiExec.exe /X{90120000-00A1-0407-0000-0000000FF1CE}
Microsoft Office Outlook MUI (German) 2007-->MsiExec.exe /X{90120000-001A-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (German) 2007-->MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Italian) 2007-->MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE}
Microsoft Office Proofing (German) 2007-->MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE}
Microsoft Office Publisher MUI (German) 2007-->MsiExec.exe /X{90120000-0019-0407-0000-0000000FF1CE}
Microsoft Office Shared MUI (German) 2007-->MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE}
Microsoft Office Word MUI (German) 2007-->MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE}
Mozilla Firefox (3.5.3)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MyDVD-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5E835305-63BB-4E55-BBB7-EEBBE67774DB}\Setup.exe" -l0x7 -L0x7 /SMAINT
Nero 6 Ultra Edition-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
NVIDIA Drivers-->C:\WINDOWS\system32\NVUNINST.EXE UninstallGUI
PowerQuest PartitionMagic 8.0-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{6BE2A4A4-99FB-48ED-AE1E-4E850389F804}
QuickTime-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{3868A8EE-5051-4DB0-8DF6-4F4B8A98D083} /l1031
RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Realtek AC'97 Audio-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" REMOVE
ShowBiz-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{07295ABF-1245-415A-BE06-863271753443}\setup.exe" -l0x7
Sonic DLA-->MsiExec.exe /I{1206EF92-2E83-4859-ACCB-2048C3CB7DA6}
Sonic RecordNow DX-->MsiExec.exe /I{8855FF30-19CE-4CB1-A654-87B38369CCE1}
Sonic Simple Backup-->MsiExec.exe /I{60E971B7-51A0-48CA-8687-C6B8F094A409}
Sonic Update Manager-->MsiExec.exe /I{09DA4F91-2A09-4232-AB8C-6BC740096DE3}
Sony Ericsson PC Suite-->MsiExec.exe /I{52809086-618D-4F0B-8BF1-B75A5BB817A4}
SUPER © Version 2007.bld.22 (Mar 14, 2007)-->C:\PROGRA~1\ERIGHT~1\SUPER\Setup.exe /remove /q0
TIPP10 Version 2.0.3-->"C:\Programme\Tipp10\unins000.exe"
TuneUp Utilities 2006-->MsiExec.exe /I{868D7896-99D4-4513-BC62-2B3AD3E24926}
Uninstall 1.0.0.1-->"C:\Programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe"
VideoLAN VLC media player 0.8.5-->C:\Programme\VideoLAN\VLC\uninstall.exe
Vodafone Mobile Connect Lite Huawei-->MsiExec.exe /X{F7C0163D-9CD8-4F5F-BAC8-3E45A0000AFF}
Winamp (remove only)-->"C:\Programme\Winamp\UninstWA.exe"
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows XP Service Pack 2-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe
WinRAR Archivierer-->C:\Programme\WinRAR\uninstall.exe
XP Codec Pack-->C:\Programme\XP Codec Pack\Uninstall.exe
======Security center information======
AV: Kaspersky Security Suite CBE
FW: Kaspersky Security Suite CBE
======System event log======
Computer Name: PRIVAT-JGZRL8LM
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "RAS-Verbindungsverwaltung" gesendet.
Record Number: 30825
Source Name: Service Control Manager
Time Written: 20090803215359.000000+120
Event Type: Informationen
User: PRIVAT-JGZRL8LM\***
Computer Name: PRIVAT-JGZRL8LM
Event Code: 7036
Message: Dienst "Telefonie" befindet sich jetzt im Status "Ausgeführt".
Record Number: 30824
Source Name: Service Control Manager
Time Written: 20090803215359.000000+120
Event Type: Informationen
User:
Computer Name: PRIVAT-JGZRL8LM
Event Code: 7036
Message: Dienst "Kompatibilität für schnelle Benutzerumschaltung" befindet sich jetzt im Status "Ausgeführt".
Record Number: 30823
Source Name: Service Control Manager
Time Written: 20090803215359.000000+120
Event Type: Informationen
User:
Computer Name: PRIVAT-JGZRL8LM
Event Code: 7036
Message: Dienst "NLA (Network Location Awareness)" befindet sich jetzt im Status "Ausgeführt".
Record Number: 30822
Source Name: Service Control Manager
Time Written: 20090803215359.000000+120
Event Type: Informationen
User:
Computer Name: PRIVAT-JGZRL8LM
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "NLA (Network Location Awareness)" gesendet.
Record Number: 30821
Source Name: Service Control Manager
Time Written: 20090803215359.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM
=====Application event log=====
Computer Name: PRIVAT-JGZRL8LM
Event Code: 0
Message: VOLUME REMOVAL
Record Number: 9949
Source Name: VMCService
Time Written: 20090723193322.000000+120
Event Type: Informationen
User:
Computer Name: PRIVAT-JGZRL8LM
Event Code: 0
Message: INFO: dom=<PRIVAT-JGZRL8LM>; usr=<***>
Record Number: 9948
Source Name: VMCService
Time Written: 20090723193312.000000+120
Event Type: Informationen
User:
Computer Name: PRIVAT-JGZRL8LM
Event Code: 0
Message: RCV: id=2380; type=StartedWithoutGui
Record Number: 9947
Source Name: VMCService
Time Written: 20090723193311.000000+120
Event Type: Informationen
User:
Computer Name: PRIVAT-JGZRL8LM
Event Code: 0
Message: RCV: id=552; type=Stopped
Record Number: 9946
Source Name: VMCService
Time Written: 20090723193310.000000+120
Event Type: Informationen
User:
Computer Name: PRIVAT-JGZRL8LM
Event Code: 1000
Message: Fehlgeschlagene Anwendung firefox.exe, Version 1.9.0.3439, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x042b4ca0.
Record Number: 9945
Source Name: Application Error
Time Written: 20090723184946.000000+120
Event Type: Fehler
User:
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Programme\ATI Technologies\ATI.ACE;C:\Programme\Gemeinsame Dateien\Ulead Systems\MPEG;C:\Programme\QuickTime\QTSystem;C:\Programme\Gemeinsame Dateien\Teleca Shared;C:\Programme\Sonic\MyDVD;;C:\Programme\Gemeinsame Dateien\MDL Shared\ISIS
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 10 Stepping 0, AuthenticAMD
"PROCESSOR_REVISION"=0a00
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO
"CLASSPATH"=C:\Programme\QuickTime\QTSystem\QTJava.zip
"QTJAVA"=C:\Programme\QuickTime\QTSystem\QTJava.zip
-----------------EOF-----------------
|
|
04.10.2009, 09:36
| #11 |
| /// Helfer-Team | Trojan.Win32.TDSS.ajrr ** kannst Du das Log bei File-Upload.net/kostenlos hochladen und den Link mir hier posten. |
|
04.10.2009, 23:48
| #13 |
| /// Helfer-Team | Trojan.Win32.TDSS.ajrr hi Ab jetzt sofort gilt, bis zum Ende der Reinigung>: Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. 1. Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten): Code:
ATTFilter R3 - URLSearchHook: (no name) - - (no file)
Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit! Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung... danach deinstalliere: `Systemsteuerung → Software → Ändern/Entfernen...` Code:
ATTFilter Java(TM) 6 Update 11
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
3. Reinige dein System mit *SuperAntiSpyware*<- Download & Anleitung |
|
07.10.2009, 22:46
| #14 |
| | Trojan.Win32.TDSS.ajrr Hab alle deine Anweisungen befolgt. Der Scan mit *SuperAntiSpyware* ergab folgenden Log- file: Code:
ATTFilter SUPERAntiSpyware Scan Log
http://www.superantispyware.com
Generated 10/07/2009 at 10:39 PM
Application Version : 4.29.1002
Core Rules Database Version : 4152
Trace Rules Database Version: 2080
Scan type : Complete Scan
Total Scan Time : 02:08:39
Memory items scanned : 544
Memory threats detected : 0
Registry items scanned : 5942
Registry threats detected : 0
File items scanned : 85953
File threats detected : 1
Unclassified.Unknown Origin
J:\OWN DATA\PC\SOFTWARE\BRENNPROGRAMM\NERO\AHEAD.NERO.BURNING.ROM.V6.6.0.6.ULTRA.EDITION.ORION\AHEAD.NERO.BURNING.ROM.V6.6.0.6.ULTRA.EDITION\KEYGEN\KEYGEN.EXE
oder ist jetzt alles runter. Danke für deine Mühe. Gruß Gateway |
|
08.10.2009, 08:09
| #15 |
| /// Helfer-Team | Trojan.Win32.TDSS.ajrr hi Code:
ATTFilter J:\OWN DATA\PC\SOFTWARE\BRENNPROGRAMM\NERO\►AHEAD.NERO.BURNING.ROM.V6.6.0.6.ULTRA.EDITION.ORION\AHEAD.NERO.BURNING.ROM.V6.6.0.6.ULTRA.EDITION\►KEYGEN\KEYGEN.EXE
Empfehlung: Anleitung: Neuaufsetzen des Systems + Absicherung - USB-Sticks, externe Festplatten miteinbezogen Bei Keygens endet der Support hier.  |
|
| Themen zu Trojan.Win32.TDSS.ajrr |
| .com, askbar, bho, desktop, downloader, einstellungen, excel, fehler, festplatte, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, malwarebytes anti-malware, nicht gefunden, plug-in, problem, programm, rundll, security, security suite, senden, software, stick, system, trojaner, trojaner gefunden, trojanisches programm, usb- stick, viren, vodafone, windows, windows xp |
Linear-Darstellung
