| |
| |||||||
Log-Analyse und Auswertung: Mbam: Backdoor.bot in Registry gefundenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
18.09.2009, 19:12
| #1 |
 |  Mbam: Backdoor.bot in Registry gefunden Hallo und Guten Abend, Mbam zeigte mir heute nachmittag leider zwei infizierte Registrierungsschlüssel an, welche ich gelöscht habe. Daher hier alle vorerst benötigten logs (hoffe ich), mit Bitte um Durchsicht: Mbam: Code:
ATTFilter Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2775
Windows 5.1.2600 Service Pack 3
18.09.2009 16:45:42
mbam-log-2009-09-18 (16-45-34).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 199602
Laufzeit: 1 hour(s), 6 minute(s), 30 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
RSIT ist zu lange für einen Post, also hab ich's mal hier hochgeladen: hxxp://www.mediafire.com/?sharekey=f5404e3bd73ac1f700d27174b47c66575546c95adcffcbd7f1940a51b339e393 Oder lieber "als Antwort" hier mit rein? Und, weil's grad so Spaß gemacht hat,  GMER:Code:
ATTFilter GMER 1.0.15.15087 - http://www.gmer.net
Rootkit scan 2009-09-18 19:39:56
Windows 5.1.2600 Service Pack 3
Running: p2ldr0dy.exe; Driver: C:\DOKUME~1\Andreas\LOKALE~1\Temp\kgtoakow.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwAdjustPrivilegesToken [0xAA9C5A72]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwClose [0xAA9C601E]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwConnectPort [0xAA9C7A82]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateFile [0xAA9C7438]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateKey [0xAA9C51E8]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateSymbolicLinkObject [0xAA9C93E4]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateThread [0xAA9C5E1A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeleteKey [0xAA9C562A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeleteValueKey [0xAA9C582A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeviceIoControlFile [0xAA9C7744]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDuplicateObject [0xAA9C98F0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateKey [0xAA9C5940]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateValueKey [0xAA9C59A8]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwFsControlFile [0xAA9C75FA]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwLoadDriver [0xAA9C8EA8]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenFile [0xAA9C7294]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenKey [0xAA9C534A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenProcess [0xAA9C5C40]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenSection [0xAA9C940E]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenThread [0xAA9C5B96]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryKey [0xAA9C5A10]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryMultipleValueKey [0xAA9C5714]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryValueKey [0xAA9C54F2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueueApcThread [0xAA9C9110]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwReplaceKey [0xAA9C4E6A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwRequestWaitReplyPort [0xAA9C830C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwRestoreKey [0xAA9C4FCC]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwResumeThread [0xAA9C97C0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSaveKey [0xAA9C4C68]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSecureConnectPort [0xAA9C7924]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetContextThread [0xAA9C5F18]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSecurityObject [0xAA9C8FA2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSystemInformation [0xAA9C9438]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetValueKey [0xAA9C53A0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendProcess [0xAA9C951C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendThread [0xAA9C9648]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSystemDebugControl [0xAA9C8DD4]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwTerminateProcess [0xAA9C5CEA]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwWriteVirtualMemory [0xAA9C5D5C]
Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) FsRtlCheckLockForReadAccess
Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) IoIsOperationSynchronous
---- Kernel code sections - GMER 1.0.15 ----
.text ntoskrnl.exe!ZwYieldExecution + 11A 804E4954 4 Bytes CALL FFF8E5AA
.text ntoskrnl.exe!ZwYieldExecution + 46A 804E4CA4 12 Bytes [1C, 95, 9C, AA, 48, 96, 9C, ...] {SBB AL, 0x95; PUSHF ; STOSB ; DEC EAX; XCHG ESI, EAX; PUSHF ; STOSB ; AAM 0x8d; PUSHF ; STOSB }
.text ntoskrnl.exe!ZwYieldExecution + 47A 804E4CB4 4 Bytes JMP E7AA9C5C
.text ntoskrnl.exe!IoIsOperationSynchronous 804EAFAE 5 Bytes JMP AA9DC5A2 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text ntoskrnl.exe!FsRtlCheckLockForReadAccess 804F4593 5 Bytes JMP AA9DC1E8 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
---- User code sections - GMER 1.0.15 ----
? C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[236] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch;
.text C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[236] USER32.dll!AlignRects + FFFA5598 7E362A78 4 Bytes [70, 11, 41, 35]
? C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[896] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch;
.text C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[896] USER32.dll!AlignRects + FFFA5598 7E362A78 4 Bytes [70, 11, 41, 35]
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[ntoskrnl.exe!IoCreateDevice] 825EE660
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject] 825EE7B0
IAT \SystemRoot\system32\DRIVERS\ipnat.sys[ntoskrnl.exe!IoCreateDevice] 825EE660
IAT \SystemRoot\system32\DRIVERS\ipfltdrv.sys[ntoskrnl.exe!IoCreateDevice] 825EE660
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[ntoskrnl.exe!IoCreateDevice] 825EE660
IAT \SystemRoot\system32\DRIVERS\netbt.sys[ntoskrnl.exe!IoCreateDevice] 825EE660
IAT \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject] 825EE7B0
IAT \SystemRoot\System32\drivers\ws2ifsl.sys[ntoskrnl.exe!IoCreateDevice] 825EE660
IAT \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateDevice] 825EE660
IAT \SystemRoot\system32\DRIVERS\netbios.sys[ntoskrnl.exe!IoCreateDevice] 825EE660
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[ntoskrnl.exe!IoCreateDevice] 825EE660
IAT \SystemRoot\system32\DRIVERS\rdbss.sys[ntoskrnl.exe!IoCreateDevice] 825EE660
IAT \SystemRoot\system32\DRIVERS\mrxsmb.sys[ntoskrnl.exe!IoCreateDevice] 825EE660
IAT \SystemRoot\System32\Drivers\Fips.SYS[ntoskrnl.exe!IoCreateDevice] 825EE660
IAT \SystemRoot\System32\Drivers\Fastfat.SYS[ntoskrnl.exe!IoCreateDevice] 825EE660
IAT \SystemRoot\system32\drivers\wdmaud.sys[ntoskrnl.exe!IoCreateDevice] 825EE660
IAT \SystemRoot\system32\drivers\sysaudio.sys[ntoskrnl.exe!IoCreateDevice] 825EE660
IAT \SystemRoot\System32\Drivers\Cdfs.SYS[ntoskrnl.exe!IoCreateDevice] 825EE660
IAT \SystemRoot\system32\drivers\kmixer.sys[ntoskrnl.exe!IoCreateDevice] 825EE660
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Tcpip \Device\Ip Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
AttachedDevice \Driver\Tcpip \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\Tcp Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
AttachedDevice \Driver\Tcpip \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\Udp Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
AttachedDevice \Driver\Tcpip \Device\RawIp Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)
AttachedDevice \Driver\Tcpip \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- Threads - GMER 1.0.15 ----
Thread System [4:836] 8262EFF0
Thread System [4:840] 8262EFF0
Thread System [4:844] 825FC650
Thread System [4:848] 825FC650
Thread System [4:856] 825FE640
Thread System [4:860] 825FE640
Thread System [4:864] 825FE640
Thread System [4:868] 825FC650
Thread System [4:2300] 82265190
---- EOF - GMER 1.0.15 ----
Vielen Dank schon mal im voraus, Marion |
|
18.09.2009, 22:26
| #2 |
| /// Helfer-Team    | Mbam: Backdoor.bot in Registry gefunden Hallo und Herzlich Willkommen!
__________________ dein log sieht soweit eigentlich in Ordnung aus gibt es denoch Probleme? gruß Coverflow |
|
19.09.2009, 07:00
| #3 |
| | Mbam: Backdoor.bot in Registry gefunden Guten Morgen!
__________________Oh, da bin ich aber schon mal erleichtert! Nein, Probleme gibt es soweit ich erkennen kann keine - bin halt nur sehr erschrocken, als die zwei Funde auftauchten. Kann/muss ich noch irgendwas machen, das zur Weiterberuhigung beitragen würde? ;-) Merci, Marion |
|
19.09.2009, 07:41
| #4 |
 | Mbam: Backdoor.bot in Registry gefunden Moin allerseits, bitte Malwarebytes updaten und erneut scannen, du veraltete Signaturen genutzt. MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist   http://www.vivaconagua.org/ |
|
19.09.2009, 09:08
| #5 | |
| /// Helfer-Team | Mbam: Backdoor.bot in Registry gefunden hi - Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 2. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 3. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein Zitat:
Coverflow |
|
19.09.2009, 11:33
| #6 |
| | Mbam: Backdoor.bot in Registry gefunden Hallo zusammen! Mbam-log mit den aktuellen Signaturen (hat aber zum Glück nichts gefunden): Code:
ATTFilter Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2823
Windows 5.1.2600 Service Pack 3
19.09.2009 12:31:12
mbam-log-2009-09-19 (12-31-12).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 201047
Laufzeit: 1 hour(s), 6 minute(s), 45 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter ----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2042-2B05
Verzeichnis von C:\
19.09.2009 11:39 43 filelist.txt
19.09.2009 07:47 527.814.656 hiberfil.sys
19.09.2009 07:47 792.723.456 pagefile.sys
16.09.2009 20:01 2.048.452 Maria 32 - 23b.jpg
16.09.2009 19:42 1.226.285 Maria 55 - 10.jpg
16.09.2009 18:42 17.947 Maria 54 - 08.jpg
16.09.2009 09:30 43.478 cc_20090916_0930.reg
14.09.2009 19:27 122.664 Spiegel.jpg
14.09.2009 19:26 102.132 Focus.jpg
08.09.2009 16:12 20.992 Mirabellen eignen sich gut zum einkochen.doc
02.09.2009 17:03 211 boot.ini
21.08.2009 16:32 345.017 2000px-Milch.svg.png
21.08.2009 13:32 11.108 Hardwarepreisliste.pdf
12.08.2009 08:22 716.800 Thumbs.db
08.08.2009 18:23 370.048 Amazon-Gift-Card.pdf
26 Datei(en) 1.327.634.299 Bytes
0 Verzeichnis(se), 120.972.447.744 Bytes frei
----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2042-2B05
Verzeichnis von C:\WINDOWS
19.09.2009 11:16 839 win.ini
19.09.2009 09:00 1.758.502 WindowsUpdate.log
19.09.2009 07:49 159 wiadebug.log
19.09.2009 07:49 50 wiaservc.log
19.09.2009 07:47 2.048 bootstat.dat
18.09.2009 21:00 32.636 SchedLgU.Txt
14.09.2009 19:23 116 NeroDigital.ini
09.09.2009 18:11 54.156 QTFont.qfn
09.09.2009 11:29 5.130 ocmsn.log
09.09.2009 11:29 18.695 ntdtcsetup.log
09.09.2009 11:29 1.355 imsins.log
09.09.2009 11:29 99.538 iis6.log
09.09.2009 11:29 4.665 tabletoc.log
09.09.2009 11:29 30.862 comsetup.log
09.09.2009 11:29 42.315 tsoc.log
09.09.2009 11:29 35.295 KB968816.log
09.09.2009 11:29 44.340 ocgen.log
09.09.2009 11:29 16.245 netfxocm.log
09.09.2009 11:29 6.375 MedCtrOC.log
09.09.2009 11:29 4.635 msgsocm.log
09.09.2009 11:29 92.381 FaxSetup.log
09.09.2009 11:29 28.054 msmqinst.log
09.09.2009 11:29 1.355 imsins.BAK
09.09.2009 11:29 37.489 KB971961-IE8.log
09.09.2009 11:29 4.753 updspapi.log
09.09.2009 11:27 36.340 KB956844.log
02.09.2009 17:03 227 system.ini
26.08.2009 21:55 3.758 KB970653-v3.log
17.08.2009 16:02 1.409 QTFont.for
14.08.2009 08:53 1.288 setupapi.log
13.08.2009 18:56 17.846 KB968389.log
13.08.2009 12:15 1.084 spupdsvc.log
13.08.2009 12:07 14.610 KB960859.log
13.08.2009 12:06 14.499 KB971657.log
13.08.2009 12:05 14.003 KB971557.log
13.08.2009 12:05 8.756 KB956744.log
13.08.2009 12:05 8.367 KB973869.log
13.08.2009 12:05 14.592 KB973507.log
13.08.2009 12:05 8.050 KB973354.log
13.08.2009 12:04 6.960 KB973540.log
13.08.2009 12:04 618 wmsetup.log
13.08.2009 12:02 13.797 KB973815.log
12.08.2009 08:21 7.680 Thumbs.db
29.07.2009 12:02 15.047 KB972260-IE8.log
29.07.2009 12:02 0 setuperr.log
29.07.2009 12:02 0 setupact.log
11.07.2009 13:13 26 Zone.Identifier
10.06.2009 10:30 17.336 ModemLog_Bluetooth DUN Modem.txt
10.06.2009 10:17 6.098 ModemLog_Bluetooth Fax Modem.txt
12.04.2009 16:44 2.560 _MSRSTRT.EXE
02.04.2009 08:27 124 tdf.dii
02.04.2009 08:27 3.432 tm.ini
152 Datei(en) 47.922.804 Bytes
0 Verzeichnis(se), 120.972.435.456 Bytes frei
----- System ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2042-2B05
Verzeichnis von C:\WINDOWS\system
25 Datei(en) 929.787 Bytes
0 Verzeichnis(se), 120.972.439.552 Bytes frei
----- System 32 (Achtung: Zeitfenster beachten!) ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2042-2B05
Verzeichnis von C:\WINDOWS\system32
19.09.2009 07:49 1.170 wpa.dbl
28.08.2009 23:38 24.689.600 MRT.exe
27.08.2009 08:31 293.448 FNTCACHE.DAT
26.08.2009 21:55 838.620 TZLog.log
06.08.2009 09:09 4.544 jupdate-1.6.0_15-b03.log
05.08.2009 10:59 206.336 mswebdvd.dll
25.07.2009 05:23 145.184 javaw.exe
25.07.2009 05:23 149.280 javaws.exe
25.07.2009 05:23 145.184 java.exe
25.07.2009 05:23 411.368 deploytk.dll
25.07.2009 03:00 73.728 javacpl.cpl
19.07.2009 18:41 11.067.392 ieframe.dll
19.07.2009 15:11 5.937.152 mshtml.dll
17.07.2009 21:01 58.880 atl.dll
14.07.2009 13:03 46.080 tzchange.exe
13.07.2009 23:43 10.841.088 wmp.dll
13.07.2009 23:43 286.208 wmpdxm.dll
07.07.2009 12:56 445.506 perfh009.dat
07.07.2009 12:56 464.164 perfh007.dat
07.07.2009 12:56 72.712 perfc009.dat
07.07.2009 12:56 86.414 perfc007.dat
07.07.2009 12:56 1.076.596 PerfStringBackup.INI
03.07.2009 18:55 206.848 occache.dll
03.07.2009 18:55 915.456 wininet.dll
03.07.2009 18:55 1.208.832 urlmon.dll
03.07.2009 18:55 594.432 msfeeds.dll
03.07.2009 18:55 55.296 msfeedsbs.dll
03.07.2009 18:55 25.600 jsproxy.dll
03.07.2009 18:55 1.469.440 inetcpl.cpl
03.07.2009 18:55 1.985.536 iertutil.dll
03.07.2009 18:55 184.320 iepeers.dll
03.07.2009 18:55 386.048 iedkcs32.dll
03.07.2009 13:01 173.056 ie4uinit.exe
29.06.2009 10:40 57.667 ieuinit.inf
25.06.2009 10:25 737.792 lsasrv.dll
25.06.2009 10:25 301.568 kerberos.dll
25.06.2009 10:25 147.456 schannel.dll
25.06.2009 10:25 56.832 secur32.dll
25.06.2009 10:25 136.192 msv1_0.dll
25.06.2009 10:25 54.272 wdigest.dll
22.06.2009 08:45 726.528 jscript.dll
16.06.2009 16:36 119.808 t2embed.dll
16.06.2009 16:36 81.920 fontsub.dll
15.06.2009 12:43 78.848 telnet.exe
15.06.2009 12:43 82.944 tlntsess.exe
10.06.2009 16:13 85.504 avifil32.dll
10.06.2009 09:19 2.066.432 mstscax.dll
10.06.2009 08:14 132.096 wkssvc.dll
03.06.2009 21:09 1.296.896 quartz.dll
20.05.2009 04:56 2.458.112 WMVCore.dll
07.05.2009 17:32 348.160 localspl.dll
01.05.2009 14:57 652 %LocalXml%
20.04.2009 14:40 14.832 Config.MPF
20.04.2009 14:27 2.951 CONFIG.NT
19.04.2009 21:46 1.847.296 win32k.sys
15.04.2009 16:51 585.216 rpcrt4.dll
01.04.2009 17:57 3.544 jupdate-1.6.0_13-b03.log
21.03.2009 16:06 1.063.424 kernel32.dll
10.03.2009 22:18 970.632 WgaTray.exe
10.03.2009 22:18 1.482.112 LegitCheckControl.dll
10.03.2009 22:18 265.096 WgaLogon.dll
08.03.2009 15:29 1.302.528 ieframe.dll.mui
08.03.2009 15:29 57.344 msrating.dll.mui
08.03.2009 15:28 2.560 mshta.exe.mui
08.03.2009 15:27 4.096 ie4uinit.exe.mui
08.03.2009 15:27 12.288 advpack.dll.mui
08.03.2009 15:27 81.920 iedkcs32.dll.mui
08.03.2009 05:35 385.024 html.iec
08.03.2009 05:34 236.544 webcheck.dll
08.03.2009 05:34 208.384 WinFXDocObj.exe
08.03.2009 05:34 43.008 licmgr10.dll
08.03.2009 05:34 105.984 url.dll
08.03.2009 05:34 193.536 msrating.dll
08.03.2009 05:33 18.944 corpol.dll
08.03.2009 05:33 229.376 ieaksie.dll
08.03.2009 05:33 420.352 vbscript.dll
08.03.2009 05:33 125.952 ieakeng.dll
08.03.2009 05:32 72.704 admparse.dll
08.03.2009 05:32 163.840 ieakui.dll
08.03.2009 05:32 36.864 ieudinit.exe
08.03.2009 05:32 55.808 iernonce.dll
08.03.2009 05:32 71.680 iesetup.dll
08.03.2009 05:32 128.512 advpack.dll
08.03.2009 05:32 94.720 inseng.dll
08.03.2009 05:32 611.840 mstime.dll
08.03.2009 05:31 13.312 msfeedssync.exe
08.03.2009 05:31 59.904 icardie.dll
08.03.2009 05:31 348.160 dxtmsft.dll
08.03.2009 05:31 216.064 dxtrans.dll
08.03.2009 05:31 34.816 imgutil.dll
08.03.2009 05:31 46.592 pngfilt.dll
08.03.2009 05:31 66.560 mshtmled.dll
08.03.2009 05:31 48.128 mshtmler.dll
08.03.2009 05:31 1.638.912 mshtml.tlb
08.03.2009 05:31 45.568 mshta.exe
08.03.2009 05:30 66.560 tdc.ocx
08.03.2009 05:22 164.352 ieui.dll
08.03.2009 05:22 156.160 msls31.dll
08.03.2009 05:11 445.952 ieapfltr.dll
06.03.2009 16:19 286.720 pdh.dll
2407 Datei(en) 493.317.768 Bytes
0 Verzeichnis(se), 120.972.255.232 Bytes frei
----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2042-2B05
Verzeichnis von C:\WINDOWS\Prefetch
19.09.2009 11:39 41.942 FIND.EXE-0EC32F1E.pf
19.09.2009 11:39 18.360 CMD.EXE-087B4001.pf
19.09.2009 11:38 18.862 WINRAR.EXE-3588DFE8.pf
19.09.2009 11:38 20.992 VERCLSID.EXE-3667BD89.pf
19.09.2009 11:36 26.930 EXPLORER.EXE-082F38A9.pf
19.09.2009 11:29 60.122 SSMYPICS.SCR-01C62024.pf
19.09.2009 11:24 33.024 NOTEPAD.EXE-336351A9.pf
19.09.2009 11:23 67.546 MBAM.EXE-11D8BBD8.pf
19.09.2009 11:19 18.592 _IU14D2N.TMP-155F9995.pf
19.09.2009 11:19 56.884 UNINS000.EXE-019B5229.pf
19.09.2009 11:17 121.660 AVP.EXE-00A8088A.pf
19.09.2009 11:16 116.188 IEXPLORE.EXE-2CA9778D.pf
19.09.2009 11:16 14.796 JQSNOTIFY.EXE-1E60A522.pf
19.09.2009 11:16 105.176 FIREFOX.EXE-1D57670A.pf
19.09.2009 11:16 88.892 UPDATE.EXE-19A66289.pf
19.09.2009 11:16 22.176 IGFXSRVC.EXE-2FB63FE8.pf
19.09.2009 11:16 46.514 LOGONUI.EXE-0AF22957.pf
19.09.2009 08:58 19.822 STARTSTARMONEY.EXE-3B1FCB3A.pf
19.09.2009 08:58 79.268 STARMONEY.EXE-056A0535.pf
19.09.2009 08:47 59.256 ACRORD32.EXE-2E761392.pf
19.09.2009 08:44 77.918 THUNDERBIRD.EXE-031A6371.pf
19.09.2009 08:42 27.832 NTVDM.EXE-1A10A423.pf
19.09.2009 08:32 107.058 MSIMN.EXE-0B61806C.pf
19.09.2009 07:55 53.682 NOTIFIER.EXE-1927A6E9.pf
19.09.2009 07:55 74.978 PROFIL~1.EXE-21BC5BDB.pf
19.09.2009 07:55 15.518 SC_WATCH.EXE-105B9A9E.pf
19.09.2009 07:55 39.788 KERNEL.EXE-02A660F3.pf
19.09.2009 07:50 23.762 WUAUCLT.EXE-399A8E72.pf
19.09.2009 07:49 17.762 ALG.EXE-0F138680.pf
19.09.2009 07:49 62.928 WMIPRVSE.EXE-28F301A9.pf
19.09.2009 07:49 19.834 WMIAPSRV.EXE-1E2270A5.pf
19.09.2009 07:49 26.870 IMAPI.EXE-0BF740A4.pf
19.09.2009 07:49 19.400 SVCHOST.EXE-3530F672.pf
19.09.2009 07:49 14.874 MDM.EXE-27F66238.pf
19.09.2009 07:49 54.608 JQS.EXE-352796B1.pf
19.09.2009 07:49 524.988 NTOSBOOT-B00DFAAD.pf
18.09.2009 20:40 61.656 VRNETWORLD.EXE-3407B4CC.pf
18.09.2009 20:19 21.974 SPIDER.EXE-2D998CA6.pf
18.09.2009 19:45 54.062 ANDREAS.EXE-0D98C900.pf
18.09.2009 19:45 45.396 RSIT.EXE-2EBB0D76.pf
18.09.2009 19:45 22.318 TOCONNKI.EXE-1883B2A7.pf
18.09.2009 19:11 40.042 WORDPAD.EXE-1EFCC5C1.pf
18.09.2009 19:09 16.388 CALC.EXE-02CD573A.pf
18.09.2009 19:08 104.546 I_VIEW32.EXE-0B6C3BA4.pf
18.09.2009 19:07 58.928 ACRORD32INFO.EXE-19B1D743.pf
18.09.2009 18:49 17.478 DEFRAG.EXE-273F131E.pf
18.09.2009 18:49 41.920 DFRGNTFS.EXE-269967DF.pf
18.09.2009 18:36 374.934 Layout.ini
18.09.2009 17:11 99.252 HIJACKTHIS.EXE-370C5F3E.pf
18.09.2009 17:10 18.040 P2LDR0DY.EXE-297FB6F4.pf
18.09.2009 17:09 58.534 TASKMGR.EXE-20256C55.pf
18.09.2009 17:03 23.776 REGEDIT.EXE-1B606482.pf
18.09.2009 16:56 37.840 GMER.EXE-2CF021C2.pf
18.09.2009 13:45 20.448 REGSVR32.EXE-25EEFE2F.pf
18.09.2009 13:45 11.744 MBAMGUI.EXE-1E06AB95.pf
18.09.2009 13:45 35.390 MBAM-SETUP.TMP-1F43F4B3.pf
18.09.2009 13:44 29.236 MBAM-SETUP.EXE-2521B101.pf
18.09.2009 11:31 85.044 VLC.EXE-29851A71.pf
18.09.2009 11:30 66.954 ADOBE_UPDATER.EXE-059F58EC.pf
18.09.2009 11:19 98.908 EXCEL.EXE-0DC93B7A.pf
18.09.2009 11:15 50.270 SCRIPT-FU.EXE-0D77E8FB.pf
18.09.2009 11:15 29.756 FILE-JPEG.EXE-179362A0.pf
18.09.2009 11:15 85.462 GIMP-2.6.EXE-2370B621.pf
18.09.2009 09:20 36.606 PHOTOFILTRE.EXE-07843663.pf
17.09.2009 09:57 69.782 WINWORD.EXE-3395695A.pf
16.09.2009 11:00 76.374 SMR.EXE-27FC9FBB.pf
16.09.2009 09:12 24.252 CCLEANER.EXE-065E2F3F.pf
15.09.2009 13:22 74.778 REALPLAY.EXE-1BF219BD.pf
15.09.2009 13:22 16.526 REALONEMESSAGECENTER.EXE-0A4B9E3A.pf
15.09.2009 13:21 21.658 REALSCHED.EXE-0A2A7558.pf
14.09.2009 18:31 66.260 VRTOOLCHECKORDER.EXE-10A6AD73.pf
14.09.2009 15:35 70.700 PDFCREATOR.EXE-372C0D54.pf
14.09.2009 15:35 97.038 PDFSPO~1.EXE-311A8C48.pf
14.09.2009 15:21 23.394 MSTORDB.EXE-04640A9A.pf
14.09.2009 11:26 67.056 PROCEXP.EXE-1F500EAC.pf
13.09.2009 14:09 14.652 RUNDLL32.EXE-268BFF96.pf
13.09.2009 14:08 5.318 ADAM.EXE-05E501F2.pf
13.09.2009 14:05 22.352 F80EF.EXE-2D8ADEA9.pf
13.09.2009 14:05 31.118 ERUSTART.EXE-2CE057A1.pf
13.09.2009 14:05 11.934 UMELST.EXE-28AED090.pf
13.09.2009 13:51 88.384 ELFO2008.EXE-07142C1C.pf
13.09.2009 13:51 39.706 ELFOSTARTER2008.EXE-00AC43BD.pf
13.09.2009 13:49 43.548 UPDATE2008.EXE-03884D5E.pf
13.09.2009 13:48 51.854 ELFO2007.EXE-228A513C.pf
11.09.2009 20:04 64.394 ELFO2008.EXE-20A44C16.pf
11.09.2009 20:02 27.956 ELFOST~1.EXE-03A64D1F.pf
86 Datei(en) 4.854.738 Bytes
0 Verzeichnis(se), 120.972.316.672 Bytes frei
----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2042-2B05
Verzeichnis von C:\WINDOWS\tasks
19.09.2009 07:47 6 SA.DAT
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 120.972.316.672 Bytes frei
----- Windows/Temp -----------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2042-2B05
Verzeichnis von C:\WINDOWS\Temp
19.09.2009 11:35 505 WGAErrLog.txt
19.09.2009 07:49 16.384 Perflib_Perfdata_cc.dat
06.08.2009 09:09 16.384 Perflib_Perfdata_e00.dat
04.08.2009 21:29 11.668 dd_ATL80SP1_KB973923UI49D6.txt
04.08.2009 21:29 802.312 dd_ATL80SP1_KB973923MSI49D6.txt
31.07.2009 14:36 1.648 Silverlight0.log
6 Datei(en) 848.901 Bytes
0 Verzeichnis(se), 120.972.312.576 Bytes frei
----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2042-2B05
Verzeichnis von C:\DOKUME~1\Andreas\LOKALE~1\Temp
19.09.2009 11:31 0 etilqs_XebIgBh2P2xF8WdaEI4V
19.09.2009 11:22 311.296 ~DF516A.tmp
19.09.2009 07:55 16.384 Perflib_Perfdata_c8c.dat
18.09.2009 13:45 311.296 ~DFF671.tmp
18.09.2009 13:44 699.216 _iu14D2N.tmp
14.09.2009 15:20 2.901 TWAIN.LOG
14.09.2009 15:19 3 Twain001.Mtx
14.09.2009 15:18 156 Twunk001.MTX
09.09.2009 18:11 69 rwstjg.tmp
09.09.2009 11:26 1.648 Silverlight0.log
09.09.2009 11:25 671.238 SilverlightMSI.log
07.09.2009 10:18 4.264 X_1.png
02.09.2009 15:27 30.510 jusched.log
27.08.2009 12:08 7.488 java_install_reg.log
16.08.2009 14:55 558 jar_cache2620113443406452553.tmp
16.08.2009 14:55 1.282 jar_cache8377305804525049131.tmp
16.08.2009 14:55 907 jar_cache3036336699936542562.tmp
16.08.2009 12:59 977 spm17.tmp
12.08.2009 17:38 1.044 spmF2.tmp
11.08.2009 16:28 4.255 X.png
06.08.2009 09:08 1.331 java_install_sp.log
06.08.2009 09:07 1.852.928 564f47.mst
06.08.2009 09:07 934 jinstall.cfg
06.08.2009 07:35 16.384 Perflib_Perfdata_4a8.dat
04.08.2009 15:49 236 ~tmp01C6C5C0.swf
26 Datei(en) 38.422.041 Bytes
0 Verzeichnis(se), 120.972.312.576 Bytes frei
Code:
ATTFilter 7-Zip 4.42
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9.1.3 - Deutsch
AGFEO TK-Suite Basic 3
ASK 8.0
BlueSoleil
CCleaner (remove only)
Compatibility Pack for the 2007 Office system
cyberJack Base Components
DivX Web Player
DUPSY4.0
ElsterFormular 2006/2007
ElsterFormular 2007/2008
ElsterFormular 2008/2009
Free YouTube to Mp3 Converter version 3.1
GIMP 2.6.5
HDD Health v3.3 Beta
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows XP (KB954550-v5)
hp officejet g series
hp officejet g series - 2
Intel(R) Graphics Media Accelerator Driver
Intel(R) PRO Network Connections Drivers
IrfanView (remove only)
iTunes
Java(TM) 6 Update 15
Kaspersky Internet Security 2009
Logitech MouseWare 9.79.1
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Office Small Business Edition 2003
Microsoft Silverlight
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable
Microsoft XML Parser
Mobile Phone Manager
Mozilla Firefox (3.5.3)
Mozilla Thunderbird (2.0.0.23)
MSXML 4.0 SP2 (KB925672)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MultiRAT
Nero Suite
Octoshape add-in for Adobe Flash Player
PantsOff 2.0
PC Inspector File Recovery
PDFCreator
Perfect FTP
PhotoFiltre
PowerDVD
QuickTime
RealPlayer
Realtek High Definition Audio Driver
Rechnung Online
Scribe! 2.1
Sicherheitsupdate für Windows Internet Explorer 8 (KB969897)
Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)
Sicherheitsupdate für Windows Internet Explorer 8 (KB972260)
Siemens SmartSync
SNAPFISH
Sony Ericsson Themes Creator 3.32
StarMoney
StarMoney 5.0 S-Edition
TBS WMP Plug-in
T-DSL SpeedManager
T-Online 6.0
T-Online DSL-Manager
Uninstall 1.0.0.1
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
Update für Windows Internet Explorer 8 (KB968220)
VLC media player 0.9.6
VR-NetWorld
WebFldrs XP
Windows Genuine Advantage Notifications (KB905474)
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 8
Windows Live OneCare safety scanner
Windows Media Format 11 runtime
Windows Media Player 11
Windows XP Service Pack 3
WinRAR Archivierer
XMedia Recode 1.0.1.1
Zune Desktop Theme
Eine generelle Frage noch: Behindert es eigentlich die Funktionsfähigkeit von mbam, gmer usw. wenn ich während des scannens online bin? Liebe Grüße, Marion |
|
20.09.2009, 20:01
| #7 |
| /// Helfer-Team | Mbam: Backdoor.bot in Registry gefunden hi habe etwas vergessen: lade Dir HijackThis 2.0.2 von *von hier* herunter HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen" |
|
21.09.2009, 06:42
| #8 |
| | Mbam: Backdoor.bot in Registry gefunden Moin! Bitteschön! :-) Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 07:40:30, on 21.09.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\ALCWZRD.EXE C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\svchost.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Marion\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/l2/bin/cortvrml.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{08CA36F1-337E-4D68-BB69-951169D346A1}: NameServer = 217.0.43.177 217.0.43.161 O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe -- End of file - 5421 bytes |
|
21.09.2009, 14:16
| #9 |
| /// Helfer-Team | Mbam: Backdoor.bot in Registry gefunden hi Ask von Dir installiert, ansonsten nichts zu finden... - eventuell kannst Du noch dein Sytem mit mindestens 3 Onlinescanner prüfen/reinigen: - Vor dem Scan Einstellungen im Internet Explorer: Extras → Internetoptionen → Sicherheit → Stufe anpassen: alles auf Standardstufe stellen - Active X erlauben - Nicht gleichzeitig scannen! Nach jedem Scanvorgang starte dein System neu auf - speichere und poste das Logfile des Scans - die Ergebnisse als*.txt Datei speichern Code:
ATTFilter bitdefender emsisoft f-secure |
|
22.09.2009, 09:46
| #10 |
| | Mbam: Backdoor.bot in Registry gefunden Hallo, und sorry dass es so lange gedauert hat. Keiner von den drei hat (außer tracking cookies) etwas gefunden. :-) Bleiben von den scannern Reste auf dem PC übrig, die ich entfernen soll/kann? Liebe Grüße, Marion |
|
22.09.2009, 18:37
| #11 | |
| /// Helfer-Team | Mbam: Backdoor.bot in Registry gefunden hi starte HijackThis und unter 016 schaue mal nach, glaube von Bitdefender etwas zu finden. Kannst einfach mit HJT fixen Kannst du die Programme die wir verwendet haben und nicht brauchst entfernen, bis auf: Code:
ATTFilter HijackThis/Trend Micro
hjtscanlist
CCleaner
Zitat:
ich wünsche dir alles Gute |
|
23.09.2009, 18:04
| #12 |
| | Mbam: Backdoor.bot in Registry gefunden Vielen, vielen Dank für die nette und kompetente und ausführliche Hilfe! Wünsch dir auch nur das Beste :-) Ciao, Marion P.S. Der erste link (Benutzerkonten) funktioniert übrigens nicht. |
|
23.09.2009, 19:04
| #13 |
| /// Helfer-Team | Mbam: Backdoor.bot in Registry gefunden Danke ...für Info wegen Link auch |
|
| Themen zu Mbam: Backdoor.bot in Registry gefunden |
| .dll, afd.sys, anti-malware, avp.exe, backdoor.bot, c:\windows, code, dateien, driver, explorer, firewall, gelöscht, gmer, infizierte, infizierte registrierungsschlüssel, internet, internet security, mbam, mcafee, microsoft, ntoskrnl.exe, port, programme, registrierungsschlüssel, registry, software, system, system32, temp, udp, zwcreatekey, zwopenkey |
Linear-Darstellung
