| |
| |||||||
Log-Analyse und Auswertung: Win32:TrojanGen{other} hat msb.exe, msn.exe und b.exe infiziert :/Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
21.09.2009, 20:53
| #1 |
 |  Win32:TrojanGen{other} hat msb.exe, msn.exe und b.exe infiziert :/ Hallo liebe Helfer, ich habe endlich mal wieder einen Virus *juhuu* (Ironie pur!) Naja hilft ja alles nichts also dann mal los: Seit neustem bekomm ich von avast die Meldung das msb.exe, b.exe. und msn.exe von dem Virus Win32: TrojanGEn{other} infiziert sind, die in C: Windows zu finden sein sollen! Wenn ich sie daraufhin lösche meldet avast immer wieder einen Virus in diesen Datein Oo. Auch findet er immer wieder unter C:Windows die Datei trz11c.tmp, die auch von Win32:TrojanGen{other} infiziert ist. Mir ist aufgefallen das in letzter Zeit mein PC immer langsamer wurde und die CPU auslastung schlagartig nach oben geht und wieder sinkt. Auch öffnen sich dauernd von alleine Werbefenster bei Firefox. Das alles nervt mich langsam und deshalb hoffe ich das ihr mir helfen könnt und ich nicht alles wiedereinmal neu aufsetzen muss. Vielen Dank schonmal und hier noch mein Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:20:06, on 21.09.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Avast4\aswUpdSv.exe C:\Programme\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Google\Update\1.2.183.7\GoogleCrashHandler.exe C:\WINDOWS\system32\acs.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe E:\Programme\CDBurnerXP\NMSAccessU.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\Programme\Avast4\ashMaiSv.exe C:\Programme\Avast4\ashWebSv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\msb.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Avast4\ashDisp.exe C:\Programme\Logitech\G-series Software\LGDCore.exe C:\Programme\Logitech\G-series Software\LCDMon.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\RTHDCPL.EXE E:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe E:\Programme\DAEMON Tools Lite\daemon.exe C:\dokumente und einstellungen\cool modi\lokale einstellungen\anwendungsdaten\mchflzy.exe C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe C:\WINDOWS\system32\wuauclt.exe E:\Programme\ICQ6.5\ICQ.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\Programme\Avast4\ashSimpl.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Programme\Mozilla Firefox\firefox.exe E:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll R3 - URLSearchHook: (no name) - {EEE6C35D-6118-11DC-9C72-001320C79847} - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file) O2 - BHO: kikin Plugin - {E601996F-E400-41CA-804B-CD6373A7EEE2} - C:\Programme\kikin\ie_kikin.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adope Reader\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "E:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "E:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [PopRock] C:\DOKUME~1\COOLMO~1\LOKALE~1\Temp\b.exe O4 - HKCU\..\Run: [mchflzy] "c:\dokumente und einstellungen\cool modi\lokale einstellungen\anwendungsdaten\mchflzy.exe" mchflzy O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Office\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Programme\kikin\ie_kikin.dll O9 - Extra 'Tools' menuitem: My kikin - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Programme\kikin\ie_kikin.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Avast4\ashWebSv.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Update Service (gupdate1c9b49248e9df22) (gupdate1c9b49248e9df22) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NMSAccessU - Unknown owner - E:\Programme\CDBurnerXP\NMSAccessU.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O24 - Desktop Component 0: (no name) - D:\Bilder\LoVe\Kopie von bestes.JPG -- End of file - 8382 bytes
__________________ Don't touch a running system!  MfG Cool Modi  |
|
21.09.2009, 21:45
| #2 | ||
| /// Helfer-Team    |  Win32:TrojanGen{other} hat msb.exe, msn.exe und b.exe infiziert :/ Hallo und Herzlich Willkommen!
__________________ ein bisschen gesurft?...  Zitat:
- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 2. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 3. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 4. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen : Achtung!:: gleich beim Download/speichern, musst Du die Installdatei also gmer.exe umbenennen! Wähle eine beliebige Dateiname, die Endung soll *.com sein!
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! Zitat:
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw gruß Coverflow |
|
22.09.2009, 13:02
| #3 |
| | Win32:TrojanGen{other} hat msb.exe, msn.exe und b.exe infiziert :/ So hier kommen die gewünschten Infos
__________________Filelist Logfile der letzten 6 Monate Code:
ATTFilter ----- Root -----------------------------
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B0E1-7AF9
Verzeichnis von C:\
22.09.2009 13:47 43 filelist.txt
22.09.2009 13:02 2.145.386.496 pagefile.sys
01.04.2009 00:09 440 RHDSetup.log
31.03.2009 23:54 251.712 ntldr
31.03.2009 23:44 211 boot.ini
31.03.2009 23:20 47.564 NTDETECT.COM
31.03.2009 23:05 0 MSDOS.SYS
31.03.2009 23:05 0 IO.SYS
31.03.2009 23:05 0 CONFIG.SYS
31.03.2009 23:05 0 AUTOEXEC.BAT
11 Datei(en) 2.145.691.418 Bytes
0 Verzeichnis(se), 4.681.547.776 Bytes frei
----- Windows --------------------------
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B0E1-7AF9
Verzeichnis von C:\WINDOWS
22.09.2009 13:03 0 0.log
22.09.2009 13:02 1.662.926 WindowsUpdate.log
22.09.2009 13:02 2.048 bootstat.dat
22.09.2009 08:35 32.636 SchedLgU.Txt
21.09.2009 23:15 329.716 msxml4-KB954430-enu.LOG
18.09.2009 19:14 259 pwc62ud.INI
01.09.2009 13:56 7.119 mgxoschk.ini
04.08.2009 19:53 576 win.ini
15.07.2009 15:59 13.174 Ascd_tmp.ini
24.06.2009 10:43 831.488 RtlExUpd.dll
01.05.2009 11:01 400 ODBC.INI
10.04.2009 14:22 0 LCDMedia.INI
01.04.2009 11:30 0 nsreg.dat
01.04.2009 00:11 13.423 Ascd_log.ini
01.04.2009 00:00 316.640 WMSysPr9.prx
01.04.2009 00:00 231 system.ini
31.03.2009 23:07 8.192 REGLOCS.OLD
31.03.2009 23:05 0 control.ini
31.03.2009 23:05 299.552 WMSysPrx.prx
31.03.2009 23:05 4.161 ODBCINST.INI
31.03.2009 23:05 749 WindowsShell.Manifest
31.03.2009 23:03 36 vb.ini
31.03.2009 23:03 37 vbaddin.ini
17.03.2009 14:07 122.880 RtkAudioService.exe
71 Datei(en) 43.950.432 Bytes
0 Verzeichnis(se), 4.681.539.584 Bytes frei
----- System ---
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B0E1-7AF9
Verzeichnis von C:\WINDOWS\system
14.04.2008 07:53 146.944 winspool.drv
04.08.2004 00:37 69.632 mmsystem.dll
23.08.2001 14:00 2.000 KEYBOARD.DRV
23.08.2001 14:00 109.504 AVIFILE.DLL
23.08.2001 14:00 73.760 MCIAVI.DRV
23.08.2001 14:00 25.296 MCISEQ.DRV
23.08.2001 14:00 28.160 MCIWAVE.DRV
23.08.2001 14:00 9.936 LZEXPAND.DLL
23.08.2001 14:00 33.744 COMMDLG.DLL
23.08.2001 14:00 1.152 MMTASK.TSK
23.08.2001 14:00 2.032 MOUSE.DRV
23.08.2001 14:00 127.104 MSVIDEO.DLL
23.08.2001 14:00 82.944 OLECLI.DLL
23.08.2001 14:00 24.064 OLESVR.DLL
23.08.2001 14:00 59.167 setup.inf
23.08.2001 14:00 5.120 SHELL.DLL
23.08.2001 14:00 1.744 SOUND.DRV
23.08.2001 14:00 5.532 stdole.tlb
23.08.2001 14:00 3.360 SYSTEM.DRV
23.08.2001 14:00 19.200 TAPI.DLL
23.08.2001 14:00 4.048 TIMER.DRV
23.08.2001 14:00 9.200 VER.DLL
23.08.2001 14:00 2.176 VGA.DRV
23.08.2001 14:00 13.600 WFWNET.DRV
23.08.2001 14:00 70.368 AVICAP.DLL
25 Datei(en) 929.787 Bytes
0 Verzeichnis(se), 4.681.539.584 Bytes frei
----- System 32 (Achtung: Zeitfenster beachten!) ---
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B0E1-7AF9
Verzeichnis von C:\WINDOWS\system32
22.09.2009 13:02 194.737 nvapps.xml
21.09.2009 07:07 2.045.592 FNTCACHE.DAT
19.09.2009 17:15 2.206 wpa.dbl
12.09.2009 10:41 8 nvModes.dat
30.08.2009 12:30 418.480 wrap_oal.dll
30.08.2009 12:30 115.432 OpenAL32.dll
28.08.2009 23:38 24.689.600 MRT.exe
26.08.2009 22:21 212.772 TZLog.log
21.08.2009 16:51 67.312 perfc009.dat
21.08.2009 16:51 448.470 perfh007.dat
21.08.2009 16:51 432.356 perfh009.dat
21.08.2009 16:51 79.910 perfc007.dat
21.08.2009 16:51 996.318 PerfStringBackup.INI
21.08.2009 12:20 2.993 CONFIG.NT
17.08.2009 18:10 1.279.456 aswBoot.exe
17.08.2009 18:02 97.480 AvastSS.scr
13.08.2009 17:15 512.000 jscript.dll
05.08.2009 10:59 206.336 mswebdvd.dll
05.08.2009 09:38 4.122 jupdate-1.6.0_15-b03.log
05.08.2009 09:00 16.832 amcompat.tlb
05.08.2009 09:00 23.392 nscompat.tlb
04.08.2009 23:18 189.104 PnkBstrB.xtr
04.08.2009 23:18 189.104 PnkBstrB.exe
28.07.2009 17:41 109 nmp.log
25.07.2009 05:23 411.368 deploytk.dll
22.07.2009 15:06 724.992 DLLAV32.dll
22.07.2009 15:05 212.992 DLLDEV32.dll
22.07.2009 15:05 147.456 DLLCPY32.dll
22.07.2009 15:05 90.112 DLLPRF32.dll
22.07.2009 15:05 221.184 DLLDRV32.dll
22.07.2009 15:05 77.824 DLLPNT32.dll
22.07.2009 15:05 94.208 DLLIO32.dll
22.07.2009 15:05 278.528 DLLRES32.dll
22.07.2009 15:05 65.536 STRING32.dll
18.07.2009 18:03 1.509.888 shdocvw.dll
18.07.2009 18:03 3.090.432 mshtml.dll
17.07.2009 21:01 58.880 atl.dll
14.07.2009 13:03 46.080 tzchange.exe
13.07.2009 23:43 286.208 wmpdxm.dll
13.07.2009 23:43 10.841.088 wmp.dll
26.06.2009 18:49 672.256 wininet.dll
26.06.2009 18:49 621.056 urlmon.dll
26.06.2009 18:49 81.920 ieencode.dll
26.06.2009 18:36 371.200 html.iec
26.06.2009 14:37 40.960 RtkCoInstXP.dll
25.06.2009 10:25 147.456 schannel.dll
25.06.2009 10:25 301.568 kerberos.dll
25.06.2009 10:25 56.832 secur32.dll
25.06.2009 10:25 737.792 lsasrv.dll
25.06.2009 10:25 54.272 wdigest.dll
25.06.2009 10:25 136.192 msv1_0.dll
20.06.2009 15:50 17.966 mappings.txt
20.06.2009 15:42 76.804 app_filter_ui.log
16.06.2009 18:30 17.460 mlfcache.dat
16.06.2009 16:36 81.920 fontsub.dll
16.06.2009 16:36 119.808 t2embed.dll
15.06.2009 12:43 78.848 telnet.exe
15.06.2009 12:43 82.944 tlntsess.exe
10.06.2009 16:13 85.504 avifil32.dll
10.06.2009 09:19 2.066.432 mstscax.dll
10.06.2009 08:14 132.096 wkssvc.dll
03.06.2009 21:09 1.296.896 quartz.dll
30.05.2009 15:38 38.492 DLLAV32.lib
26.05.2009 17:18 57.344 QuickTime.qts
26.05.2009 17:18 90.112 QuickTimeVR.qtx
20.05.2009 04:56 2.458.112 WMVCore.dll
10.05.2009 09:45 107.888 CmdLineExt.dll
07.05.2009 17:32 348.160 localspl.dll
02.05.2009 20:20 664 d3d9caps.dat
01.05.2009 20:30 3.366.912 GPhotos.scr
22.04.2009 00:20 13.642.496 xlivefnt.dll
22.04.2009 00:20 14.311.680 xlive.dll
22.04.2009 00:19 172.173 xlive.dll.cat
19.04.2009 21:46 1.847.296 win32k.sys
18.04.2009 18:37 56 ezsidmv.dat
15.04.2009 16:51 585.216 rpcrt4.dll
01.04.2009 15:24 75.064 PnkBstrA.exe
01.04.2009 12:38 34.064 lhacm.acm
01.04.2009 00:20 308 results.txt
01.04.2009 00:11 940.794 LoopyMusic.wav
01.04.2009 00:11 146.650 BuzzingBee.wav
01.04.2009 00:02 0 h323log.txt
01.04.2009 00:00 253 spupdwxp.log
31.03.2009 23:08 25.065 wmpscheme.xml
31.03.2009 23:06 261 $winnt$.inf
31.03.2009 23:05 488 WindowsLogon.manifest
31.03.2009 23:05 488 logonui.exe.manifest
31.03.2009 23:05 749 nwc.cpl.manifest
31.03.2009 23:05 749 ncpa.cpl.manifest
31.03.2009 23:05 749 wuaucpl.cpl.manifest
31.03.2009 23:05 749 cdplayer.exe.manifest
31.03.2009 23:05 749 sapi.cpl.manifest
31.03.2009 23:03 21.740 emptyregdb.dat
27.03.2009 10:03 323.584 nvwrspt.dll
27.03.2009 10:03 319.488 nvwrsptb.dll
27.03.2009 10:03 139.264 nvcod.dll
27.03.2009 10:03 139.264 nvcodins.dll
27.03.2009 10:03 315.392 nvwrsru.dll
27.03.2009 10:03 143.360 nvcolor.exe
27.03.2009 10:03 319.488 nvwrsnl.dll
27.03.2009 10:03 262.144 nvrsko.dll
27.03.2009 10:03 299.008 nvwrssk.dll
27.03.2009 10:03 420.384 nvcpl.cpl
27.03.2009 10:03 13.684.736 nvcpl.dll
27.03.2009 10:03 667.648 nvapi.dll
27.03.2009 10:03 801.312 nvcplui.exe
27.03.2009 10:03 1.108.512 nvcpluir.dll
27.03.2009 10:03 303.104 nvwrssl.dll
27.03.2009 10:03 1.560.576 nvcuda.dll
27.03.2009 10:03 196.608 nvwrsko.dll
27.03.2009 10:03 294.912 nvwrssv.dll
27.03.2009 10:03 401.408 nvcuvid.dll
27.03.2009 10:03 19.054 nvdisp.nvu
27.03.2009 10:03 4.710.400 nvdisps.dll
27.03.2009 10:03 290.816 nvwrsth.dll
27.03.2009 10:03 6.586.368 nvdispsr.dll
27.03.2009 10:03 1.346.080 nvdspsch.exe
27.03.2009 10:03 6.186.880 nv4_disp.dll
27.03.2009 10:03 4.280.320 nvgamesr.dll
27.03.2009 10:03 1.503.232 nview.dll
27.03.2009 10:03 303.104 nvwrstr.dll
27.03.2009 10:03 229.376 nvmccs.dll
27.03.2009 10:03 45.056 nvmccsrs.dll
27.03.2009 10:03 270.336 nvrsja.dll
27.03.2009 10:03 188.416 nvmccss.dll
27.03.2009 10:03 458.752 nvmccssr.dll
27.03.2009 10:03 86.016 nvmctray.dll
27.03.2009 10:03 1.273.856 nvmobls.dll
27.03.2009 10:03 163.840 nvwrszhc.dll
27.03.2009 10:03 2.854.912 nvmoblsr.dll
27.03.2009 10:03 274.432 nvrsnl.dll
27.03.2009 10:03 9.596.928 nvoglnt.dll
27.03.2009 10:03 253.952 nvrsno.dll
27.03.2009 10:03 1.253.376 NvPVEnc.ax
27.03.2009 10:03 278.528 nvrsit.dll
27.03.2009 10:03 167.936 nvwrszht.dll
27.03.2009 10:03 212.992 nvwrsja.dll
27.03.2009 10:03 323.584 nvwrsit.dll
27.03.2009 10:03 315.392 nvwrshu.dll
27.03.2009 10:03 2.744.320 nvwss.dll
27.03.2009 10:03 278.528 nvwrshe.dll
27.03.2009 10:03 327.680 nvwrsfr.dll
27.03.2009 10:03 303.104 nvwrsfi.dll
27.03.2009 10:03 3.026.944 nvwssr.dll
27.03.2009 10:03 299.008 nvwrsno.dll
27.03.2009 10:03 327.680 nvwrsesm.dll
27.03.2009 10:03 449.056 nvappbar.exe
27.03.2009 10:03 335.872 nvwrses.dll
27.03.2009 10:03 3.489.792 nvgames.dll
27.03.2009 10:03 286.720 nvwrseng.dll
27.03.2009 10:03 335.872 nvwrsel.dll
27.03.2009 10:03 1.657.376 nwiz.exe
27.03.2009 10:03 311.296 nvwrsde.dll
27.03.2009 10:03 294.912 nvwrsda.dll
27.03.2009 10:03 286.720 nvwrscs.dll
27.03.2009 10:03 282.624 nvwrsar.dll
27.03.2009 10:03 1.101.824 nvwimg.dll
27.03.2009 10:03 1.724.416 nvwdmcpl.dll
27.03.2009 10:03 81.920 nvwddi.dll
27.03.2009 10:03 4.280.320 nvvitvsr.dll
27.03.2009 10:03 253.952 nvrspl.dll
27.03.2009 10:03 3.796.992 nvvitvs.dll
27.03.2009 10:03 258.048 nvrshu.dll
27.03.2009 10:03 270.336 nvrspt.dll
27.03.2009 10:03 266.240 nvrsptb.dll
27.03.2009 10:03 453.152 nvudisp.exe
27.03.2009 10:03 266.240 nvrsru.dll
27.03.2009 10:03 73.728 nvtuicpl.cpl
27.03.2009 10:03 163.908 nvsvc32.exe
27.03.2009 10:03 294.912 nvwrspl.dll
27.03.2009 10:03 466.944 nvshell.dll
27.03.2009 10:03 122.880 nvrszht.dll
27.03.2009 10:03 225.280 nvrszhc.dll
27.03.2009 10:03 253.952 nvrstr.dll
27.03.2009 10:03 253.952 nvrsth.dll
27.03.2009 10:03 253.952 nvrssv.dll
27.03.2009 10:03 331.776 nvrsar.dll
27.03.2009 10:03 245.760 nvrscs.dll
27.03.2009 10:03 253.952 nvrsda.dll
27.03.2009 10:03 278.528 nvrsde.dll
27.03.2009 10:03 282.624 nvrsel.dll
27.03.2009 10:03 245.760 nvrseng.dll
27.03.2009 10:03 282.624 nvrses.dll
27.03.2009 10:03 436.768 keystone.exe
27.03.2009 10:03 274.432 nvrsesm.dll
27.03.2009 10:03 258.048 nvrssk.dll
27.03.2009 10:03 215.465 nvapps.nvb
27.03.2009 10:03 249.856 nvrsfi.dll
27.03.2009 10:03 282.624 nvrsfr.dll
27.03.2009 10:03 331.776 nvrshe.dll
27.03.2009 10:03 258.048 nvrssl.dll
27.03.2009 08:14 453.152 NVUNINST.EXE
26.03.2009 15:23 1.900.544 usbaaplrc.dll
21.03.2009 16:06 1.063.424 kernel32.dll
16.03.2009 14:18 517.448 XAudio2_4.dll
16.03.2009 14:18 235.352 xactengine3_4.dll
16.03.2009 14:18 22.360 X3DAudio1_6.dll
16.03.2009 14:18 69.448 XAPOFX1_3.dll
09.03.2009 15:27 453.456 d3dx10_41.dll
09.03.2009 15:27 1.846.632 D3DCompiler_41.dll
09.03.2009 15:27 4.178.264 D3DX9_41.dll
06.03.2009 16:19 286.720 pdh.dll
05.03.2009 16:59 1.066.176 MSCOMCTL.ocx
2587 Datei(en) 706.724.475 Bytes
0 Verzeichnis(se), 4.681.351.168 Bytes frei
----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B0E1-7AF9
Verzeichnis von C:\WINDOWS\Prefetch
22.09.2009 13:47 11.080 FIND.EXE-0EC32F1E.pf
22.09.2009 13:47 10.998 CMD.EXE-087B4001.pf
22.09.2009 13:31 114.432 NOTEPAD.EXE-336351A9.pf
22.09.2009 13:13 47.832 _GMER-UNBENANNT_.COM-09C14D3A.pf
22.09.2009 13:12 13.274 RUNDLL32.EXE-11C74412.pf
22.09.2009 13:08 18.582 CCLEANER.EXE-065E2F3F.pf
22.09.2009 13:07 40.988 WINRAR.EXE-1F2395DA.pf
22.09.2009 13:07 14.334 VERCLSID.EXE-3667BD89.pf
22.09.2009 13:05 11.776 RUNDLL32.EXE-3AF10E20.pf
22.09.2009 13:04 91.652 AVAST.SETUP-17A8D9B1.pf
22.09.2009 13:04 119.148 WMIPRVSE.EXE-28F301A9.pf
22.09.2009 13:03 101.142 WUAUCLT.EXE-399A8E72.pf
22.09.2009 13:03 126.102 ICQ.EXE-1B958E42.pf
22.09.2009 13:03 115.424 FIREFOX.EXE-1D57670A.pf
22.09.2009 13:03 49.664 SVCHOST.EXE-3530F672.pf
22.09.2009 13:03 18.628 ASHWEBSV.EXE-10609AF0.pf
22.09.2009 13:03 13.694 IPODSERVICE.EXE-233792DA.pf
22.09.2009 13:03 15.360 ALG.EXE-0F138680.pf
22.09.2009 13:03 39.308 ASHMAISV.EXE-1DFA1C18.pf
22.09.2009 13:03 22.952 RUNDLL32.EXE-35A483DA.pf
22.09.2009 13:03 17.400 IMAPI.EXE-0BF740A4.pf
22.09.2009 13:03 15.752 RUNDLL32.EXE-1619A94E.pf
22.09.2009 13:03 15.776 RUNDLL32.EXE-1857459C.pf
22.09.2009 08:29 97.772 VLC.EXE-2EF41CD6.pf
22.09.2009 08:26 12.146 RUNDLL32.EXE-451FC2C0.pf
22.09.2009 08:13 24.844 PNKBSTRB.EXE-21412697.pf
21.09.2009 23:15 19.100 LOGONUI.EXE-0AF22957.pf
21.09.2009 23:15 49.244 MSXML4-KB954430-ENU.EXE-1B3A5B48.pf
21.09.2009 23:15 63.626 MSIEXEC.EXE-2F8A8CAE.pf
21.09.2009 23:13 55.198 PNKBSTRA.EXE-188A67A9.pf
21.09.2009 23:13 11.208 LCDMEDIA.EXE-178A8013.pf
21.09.2009 23:13 12.564 ICQ SERVICE.EXE-3676B715.pf
21.09.2009 23:13 11.200 READER_SL.EXE-09C94729.pf
21.09.2009 23:13 28.644 RUNDLL32.EXE-1340EF7F.pf
21.09.2009 23:13 18.786 LCDCLOCK.EXE-1155CDC3.pf
21.09.2009 23:13 42.786 LCDMON.EXE-17AD6AB6.pf
21.09.2009 23:13 34.382 GOOGLEUPDATE.EXE-187AE91D.pf
21.09.2009 23:13 17.314 GOOGLEUPDATERSERVICE.EXE-19F5FCF4.pf
21.09.2009 23:13 13.046 GOOGLECRASHHANDLER.EXE-2EEBA74C.pf
21.09.2009 23:13 15.504 ACS.EXE-1EF9EBAD.pf
21.09.2009 23:13 5.430 LGDCORE.EXE-060280CC.pf
21.09.2009 23:13 15.096 MDNSRESPONDER.EXE-1134CDC4.pf
21.09.2009 23:13 7.454 NWIZ.EXE-2D0F9FBC.pf
21.09.2009 23:13 21.598 ASHDISP.EXE-022E2A3A.pf
21.09.2009 23:13 10.868 RUNDLL32.EXE-415F88EC.pf
21.09.2009 23:13 17.040 JMRAIDSETUP.EXE-18B658CC.pf
21.09.2009 23:13 14.310 USERINIT.EXE-30B18140.pf
21.09.2009 23:13 10.670 JMINSIDE.EXE-17ECA7F4.pf
21.09.2009 23:13 28.842 LSASS.EXE-20DB6D1B.pf
21.09.2009 23:13 16.800 SERVICES.EXE-2F433351.pf
21.09.2009 23:13 11.908 WINLOGON.EXE-32C57D49.pf
21.09.2009 23:13 31.536 CSRSS.EXE-12B63473.pf
21.09.2009 22:23 93.500 ASHAVAST.EXE-07DE8872.pf
21.09.2009 22:11 113.338 IEXPLORE.EXE-2CA9778D.pf
21.09.2009 22:04 13.174 MBAM-DOR.EXE-05145661.pf
21.09.2009 22:03 14.554 REGEDIT.EXE-1B606482.pf
21.09.2009 21:44 111.814 ASHSIMPL.EXE-07B4321F.pf
21.09.2009 21:41 59.512 ASHCHEST.EXE-04D5D623.pf
21.09.2009 21:41 108.072 TASKMGR.EXE-20256C55.pf
21.09.2009 21:19 61.256 HIJACKTHIS.EXE-3477D747.pf
21.09.2009 21:19 107.158 HJTINSTALL.EXE-16888597.pf
21.09.2009 21:19 12.232 HIJACKTHIS.EXE-39024128.pf
21.09.2009 21:16 27.762 DRWTSN32.EXE-2B4B52AC.pf
21.09.2009 21:16 84.328 DWWIN.EXE-30875ADC.pf
21.09.2009 21:16 64.110 RUNDLL32.EXE-35DA6B84.pf
21.09.2009 21:16 16.152 DUMPREP.EXE-1B46F901.pf
21.09.2009 21:11 63.470 WMPLAYER.EXE-09969338.pf
21.09.2009 21:05 41.702 MBAM.EXE-11D8BBD8.pf
21.09.2009 20:04 51.298 LOGON.SCR-151EFAEA.pf
21.09.2009 19:52 46.462 DFRGNTFS.EXE-269967DF.pf
21.09.2009 19:52 17.066 DEFRAG.EXE-273F131E.pf
21.09.2009 19:52 237.324 Layout.ini
21.09.2009 19:00 19.378 MSB.EXE-1B32DC30.pf
21.09.2009 16:14 0 _IU14D2N.TMP-01CB4506.pf
21.09.2009 16:14 25.274 REGSVR32.EXE-25EEFE2F.pf
21.09.2009 15:51 7.838 JAVA.EXE-2167859B.pf
21.09.2009 15:47 18.444 WMIAPSRV.EXE-1E2270A5.pf
21.09.2009 07:08 37.996 NVSVC32.EXE-1F9EED18.pf
13.09.2009 14:57 21.430 RUNDLL32.EXE-2E5AF1D7.p
80 Datei(en) 4.157.404 Bytes
0 Verzeichnis(se), 4.681.408.512 Bytes frei
----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B0E1-7AF9
Verzeichnis von C:\WINDOWS\tasks
22.09.2009 13:02 1.044 Google Software Updater.job
22.09.2009 13:02 1.084 GoogleUpdateTaskMachineCore.job
22.09.2009 13:02 6 SA.DAT
21.09.2009 21:57 1.088 GoogleUpdateTaskMachineUA.job
11.09.2009 17:22 276 AppleSoftwareUpdate.job
6 Datei(en) 3.563 Bytes
0 Verzeichnis(se), 4.681.408.512 Bytes frei
----- Windows/Temp -----------------------
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B0E1-7AF9
Verzeichnis von C:\WINDOWS\Temp
22.09.2009 13:02 16.384 Perflib_Perfdata_5b0.dat
21.09.2009 15:46 16.384 Perflib_Perfdata_590.dat
21.09.2009 00:04 313.126 _FbMsiLog.txt
18.08.2009 13:06 1.056.920 mgxfonts.exe
6 Datei(en) 1.736.463 Bytes
0 Verzeichnis(se), 4.681.408.512 Bytes frei
----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B0E1-7AF9
Verzeichnis von C:\DOKUME~1\COOLMO~1\LOKALE~1\Temp
22.09.2009 13:02 16.384 Perflib_Perfdata_44c.dat
21.09.2009 22:23 28.228 a.dat
21.09.2009 19:49 49.152 ~DFD666.tmp
21.09.2009 16:20 562 MSIa9fce.LOG
21.09.2009 16:20 258 MSIa9fcd.LOG
21.09.2009 16:20 512 MSI59.tmp
21.09.2009 16:20 512 MSI58.tmp
21.09.2009 16:20 512 MSI57.tmp
21.09.2009 16:15 201.944 unwise.exe
21.09.2009 16:15 21.562 java_install_reg.log
21.09.2009 16:14 98.157 jusched.log
21.09.2009 16:14 358 MSIa9fcb.LOG
21.09.2009 00:11 32 27B2D97.dmp
20.09.2009 19:30 68.068 amt.log
20.09.2009 19:25 55.241 alm.log
20.09.2009 19:25 697 TWAIN.LOG
20.09.2009 19:25 4 Twain001.Mtx
20.09.2009 19:25 156 Twunk001.MTX
20.09.2009 13:29 0 is91.tmp
20.09.2009 13:28 0 is85.tmp
15.07.2009 16:03 25.753 German.bin
22 Datei(en) 675.604 Bytes
0 Verzeichnis(se), 4.681.404.416 Bytes frei
CCleaner Install-List Code:
ATTFilter Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Media Player
Adobe Photoshop CS3
Adobe Photoshop CS4
Adobe Reader 9.1.2 - Deutsch
ANNO 1404
Apple Software Update
Ask Toolbar
Assassin's Creed
Aufstieg des Hexenkönigs™
avast! Antivirus
Bionic Commando
Bonjour
CCleaner (remove only)
CDBurnerXP
Company of Heroes
Counter-Strike: Source
DAEMON Tools Toolbar
Dark Sector
Die Schlacht um Mittelerde™ II
Die*Sims™*3
E.V.O.L.U.T.I.O.N. Patch 2009 1.00
F.E.A.R. 2 - Project Origin v1.0 R-E
Favorit
Free WMA to MP3 Converter 1.16
Free YouTube to Mp3 Converter version 3.1
G15_TeamSpeak (NSIS)
Gears of War
Google Earth
Google Earth Plugin
Google Updater
Grand Theft Auto IV
Hamachi 1.0.3.0
HijackThis 2.0.2
Hitman Blood Money
HLSW v1.3.1
ICQ Toolbar
ICQ6.5
iTunes
JMB36X Raid Configurer
kikin Plugin (NO23 Edition) 1.11
Logitech G-series Keyboard Software
Malwarebytes' Anti-Malware
MapBuilder
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 German Language Pack
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Games for Windows - LIVE Redistributable
Microsoft Office XP Professional
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft WSE 3.0 Runtime
Mirror's Edge
Mozilla Firefox (3.0.14)
MSXML 4.0 SP2 (KB954430)
MSXML 6.0 Parser (KB925673)
NETGEAR WPN311 Wireless Adapter
No23 Recorder
NVIDIA Drivers
NVIDIA PhysX
OpenAL
PAF CS Source Map Pack 1
PFPortChecker 1.0.28
Picasa 3
Pinnacle VideoSpin
Pro Evolution Soccer 2009
QuickTime
Railroad Tycoon 3
Realtek High Definition Audio Driver
Rockstar Games Social Club
Skype™ 4.0
TeamSpeak 2 RC2
TeamSpeak 2 Server RC2
Tom Clancy's H.A.W.X
Uninstall 1.0.0.1
VLC media player 0.9.9
Windows Media Format 11 runtime
Windows Media Player 11
Windows XP Service Pack 3
WinPcap 4.0
WinRAR
__________________ |
|
22.09.2009, 13:04
| #4 |
| | Win32:TrojanGen{other} hat msb.exe, msn.exe und b.exe infiziert :/ So hier gehts es weiter -> Gmer-Logfile Code:
ATTFilter GMER 1.0.15.15087 - http://www.gmer.net
Rootkit scan 2009-09-22 13:46:46
Windows 5.1.2600 Service Pack 3
Running: _gmer-unbenannt_.com; Driver: C:\DOKUME~1\COOLMO~1\LOKALE~1\Temp\kwldypod.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xAF55A6B8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xAF55A574]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xAF55AA52]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xAF55A14C]
SSDT sphu.sys ZwEnumerateKey [0xB9EC5CA4]
SSDT sphu.sys ZwEnumerateValueKey [0xB9EC6032]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xAF55A64E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xAF55A08C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xAF55A0F0]
SSDT sphu.sys ZwQueryKey [0xB9EC610A]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xAF55A76E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xAF55A72E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xAF55A8AE]
INT 0x62 ? 8A35CBF8
INT 0x63 ? 8A35FBF8
INT 0x73 ? 8A35FBF8
INT 0x73 ? 8A35FBF8
INT 0xA4 ? 8A18ABF8
INT 0xB4 ? 8A35FBF8
---- Kernel code sections - GMER 1.0.15 ----
? sphu.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B87DD8AC 5 Bytes JMP 8A18A1D8
.text arl2q28k.SYS B1D49386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text arl2q28k.SYS B1D493AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text arl2q28k.SYS B1D493C4 3 Bytes [00, 70, 02] {ADD [EAX+0x2], DH}
.text arl2q28k.SYS B1D493C9 1 Byte [30]
.text arl2q28k.SYS B1D493C9 11 Bytes [30, 00, 00, 00, 5C, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESP; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text ...
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9EA8042] sphu.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9EA813E] sphu.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9EA80C0] sphu.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9EA8800] sphu.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9EA86D6] sphu.sys
IAT \SystemRoot\System32\Drivers\arl2q28k.SYS[HAL.dll!KfAcquireSpinLock] 18C4830E
IAT \SystemRoot\System32\Drivers\arl2q28k.SYS[HAL.dll!READ_PORT_UCHAR] 1C8D9E88
IAT \SystemRoot\System32\Drivers\arl2q28k.SYS[HAL.dll!KeGetCurrentIrql] 9E880000
IAT \SystemRoot\System32\Drivers\arl2q28k.SYS[HAL.dll!KfRaiseIrql] 00001CA9
IAT \SystemRoot\System32\Drivers\arl2q28k.SYS[HAL.dll!KfLowerIrql] 0E798366
IAT \SystemRoot\System32\Drivers\arl2q28k.SYS[HAL.dll!HalGetInterruptVector] 74AAB000
IAT \SystemRoot\System32\Drivers\arl2q28k.SYS[HAL.dll!HalTranslateBusAddress] 8186C636
IAT \SystemRoot\System32\Drivers\arl2q28k.SYS[HAL.dll!KeStallExecutionProcessor] 1A00001C
IAT \SystemRoot\System32\Drivers\arl2q28k.SYS[HAL.dll!KfReleaseSpinLock] 1C8386C6
IAT \SystemRoot\System32\Drivers\arl2q28k.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] C6020000
IAT \SystemRoot\System32\Drivers\arl2q28k.SYS[HAL.dll!READ_PORT_USHORT] 001C8E86
IAT \SystemRoot\System32\Drivers\arl2q28k.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 86C60200
IAT \SystemRoot\System32\Drivers\arl2q28k.SYS[HAL.dll!WRITE_PORT_UCHAR] 00001CAA
IAT \SystemRoot\System32\Drivers\arl2q28k.SYS[WMILIB.SYS!WmiSystemControl] 8800001C
IAT \SystemRoot\System32\Drivers\arl2q28k.SYS[WMILIB.SYS!WmiCompleteRequest] 001CB19E
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\system32\services.exe[748] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00380002
IAT C:\WINDOWS\system32\services.exe[748] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00380000
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 8A3CA1F8
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
Device \Driver\NetBT \Device\NetBT_Tcpip_{02590EF7-1AE3-472A-B6EC-A45C46D3E71C} 8A088500
Device \Driver\PCI_PNP3182 \Device\00000050 sphu.sys
Device \Driver\NetBT \Device\NetBT_Tcpip_{4C4F6323-1227-476E-B1EF-B7FEBB0FF4E6} 8A088500
Device \Driver\usbohci \Device\USBPDO-0 8A1891F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A3CD1F8
Device \Driver\dmio \Device\DmControl\DmConfig 8A3CD1F8
Device \Driver\dmio \Device\DmControl\DmPnP 8A3CD1F8
Device \Driver\dmio \Device\DmControl\DmInfo 8A3CD1F8
Device \Driver\usbehci \Device\USBPDO-1 8A1881F8
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A35D1F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A35D1F8
Device \Driver\Cdrom \Device\CdRom0 8A1701F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 8A35D1F8
Device \Driver\Cdrom \Device\CdRom1 8A1701F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 8A088500
Device \Driver\NetBT \Device\NetbiosSmb 8A088500
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
Device \Driver\usbohci \Device\USBFDO-0 8A1891F8
Device \Driver\usbehci \Device\USBFDO-1 8A1881F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8A0F3500
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8A0F3500
Device \Driver\Ftdisk \Device\FtControl 8A35D1F8
Device \Driver\sptd \Device\444274432 sphu.sys
Device \Driver\arl2q28k \Device\Scsi\arl2q28k1Port5Path0Target0Lun0 8A086500
Device \Driver\arl2q28k \Device\Scsi\arl2q28k1 8A086500
Device \Driver\nvgts \Device\Scsi\nvgts1 8A3CB1F8
Device \Driver\nvgts \Device\Scsi\nvgts2 8A3CB1F8
Device \Driver\JRAID \Device\Scsi\JRAID1 8A35B1F8
Device \Driver\nvgts \Device\Scsi\nvgts1Port3Path0Target0Lun0 8A3CB1F8
Device \FileSystem\Cdfs \Cdfs 8A065500
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 E:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x98 0x3C 0x22 0xD2 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x58 0x96 0x50 0xDF ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xAD 0x0A 0x49 0x1F ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 E:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x98 0x3C 0x22 0xD2 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x58 0x96 0x50 0xDF ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xAD 0x0A 0x49 0x1F ...
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b 0xC8 0x28 0x51 0xAF ...
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b 0x71 0x3B 0x04 0x66 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016 0xFF 0x7C 0x85 0xE0 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48 0x86 0x8C 0x21 0x01 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472 0xCD 0x44 0xCD 0xB9 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d 0xDF 0x20 0x58 0x62 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b 0x31 0x77 0xE1 0xBA ...
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d 0x01 0x3A 0x48 0xFC ...
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3 0x51 0xFA 0x6E 0x91 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b 0x3D 0xCE 0xEA 0x26 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6 0xF8 0x31 0x0F 0xA9 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2 0xFA 0xEA 0x66 0x7F ...
---- EOF - GMER 1.0.15 ----
__________________ Don't touch a running system! MfG Cool Modi |
|
22.09.2009, 13:05
| #5 |
| | Win32:TrojanGen{other} hat msb.exe, msn.exe und b.exe infiziert :/ Tadaa hier der letzte Teil Malwarebytes Anti- Malware 1.35 Logfile Code:
ATTFilter Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1927
Windows 5.1.2600 Service Pack 3
21.09.2009 22:03:44
mbam-log-2009-09-21 (22-03-44).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 255834
Laufzeit: 57 minute(s), 40 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 4
Infizierte Dateien: 5
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\xml.xml (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xml.xml.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\web-mediaplayer (Adware.EGDAccess) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\WebMediaPlayer (Rogue.Webmediaplayer) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
C:\Programme\WebMediaPlayer (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\resources (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\skins (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\updates (Adware.EGDAccess) -> Quarantined and deleted successfully.
Infizierte Dateien:
C:\Programme\WebMediaPlayer\sqlite3.dll (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\uninst.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\WebMediaPlayer.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\resources\wmp_translation_file.xml (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\skins\classic.skn (Adware.EGDAccess) -> Quarantined and deleted successfully.
__________________ Don't touch a running system! MfG Cool Modi |
|
22.09.2009, 19:13
| #6 |
| /// Helfer-Team | Win32:TrojanGen{other} hat msb.exe, msn.exe und b.exe infiziert :/ hi Malwarebytes' Anti-Malware - habe angeordnet? glaube nicht , aber gut ...dann ein frisches HijackThis-Lofile erstellen und posten |
|
23.09.2009, 12:05
| #7 |
| | Win32:TrojanGen{other} hat msb.exe, msn.exe und b.exe infiziert :/ Oh ich dachte ich hätte das auch gelesen. naja ist ja kein weltuntergang also hier noch das hijack logfile. Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:03:32, on 23.09.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Avast4\aswUpdSv.exe C:\Programme\Avast4\ashServ.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Avast4\ashDisp.exe C:\Programme\Logitech\G-series Software\LGDCore.exe C:\Programme\Logitech\G-series Software\LCDMon.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\acs.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe E:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe E:\Programme\CDBurnerXP\NMSAccessU.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\Programme\Avast4\ashMaiSv.exe C:\Programme\Avast4\ashWebSv.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe E:\Programme\HijackThis\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll R3 - URLSearchHook: (no name) - {EEE6C35D-6118-11DC-9C72-001320C79847} - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O2 - BHO: kikin Plugin - {E601996F-E400-41CA-804B-CD6373A7EEE2} - C:\Programme\kikin\ie_kikin.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adope Reader\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "E:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "E:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Office\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Programme\kikin\ie_kikin.dll O9 - Extra 'Tools' menuitem: My kikin - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Programme\kikin\ie_kikin.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Avast4\ashWebSv.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Update Service (gupdate1c9b49248e9df22) (gupdate1c9b49248e9df22) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NMSAccessU - Unknown owner - E:\Programme\CDBurnerXP\NMSAccessU.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O24 - Desktop Component 0: (no name) - D:\Bilder\LoVe\Kopie von bestes.JPG -- End of file - 7474 bytes
__________________ Don't touch a running system! MfG Cool Modi |
|
23.09.2009, 16:48
| #8 | |
| /// Helfer-Team | Win32:TrojanGen{other} hat msb.exe, msn.exe und b.exe infiziert :/ hi Irgendwie nimmst die Sache nicht richtig ernst oder? Ich stelle mir die Frage, warum verschwende meine Freizeit um Leuten zu helfen, die nicht mal die Mühe nehmen wollen? Unser Service hier eben gleich gratis...  1. deinstalliere: `Systemsteuerung -->Software -->Ändern/Entfernen...` Code:
ATTFilter Ask Toolbar - Adware-Toolbar
DAEMON Tools Toolbar - würd ich aus Sicherheitsgründen
Favorit - erzeugt vermutlich v. Adware Navipromo
starte HijackThis-->wähle unter "Open the Misc Tools section" den Button "Open Uninstall Manager"-->Eintrag auswählen "Favorit"--> "Delete this entry" 2. Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten): Zitat:
zur Nachkontrolle poste erneut: Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!! |
|
24.09.2009, 13:05
| #9 |
| | Win32:TrojanGen{other} hat msb.exe, msn.exe und b.exe infiziert :/Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:03:19, on 24.09.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Avast4\aswUpdSv.exe C:\Programme\Avast4\ashServ.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Avast4\ashDisp.exe C:\Programme\Logitech\G-series Software\LCDMon.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\acs.exe C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe E:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe E:\Programme\CDBurnerXP\NMSAccessU.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\msiexec.exe C:\WINDOWS\system32\wscntfy.exe E:\Programme\HijackThis\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O2 - BHO: kikin Plugin - {E601996F-E400-41CA-804B-CD6373A7EEE2} - C:\Programme\kikin\ie_kikin.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adope Reader\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "E:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Office\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Programme\kikin\ie_kikin.dll O9 - Extra 'Tools' menuitem: My kikin - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Programme\kikin\ie_kikin.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Avast4\ashWebSv.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Update Service (gupdate1c9b49248e9df22) (gupdate1c9b49248e9df22) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NMSAccessU - Unknown owner - E:\Programme\CDBurnerXP\NMSAccessU.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe -- End of file - 6869 bytes
__________________ Don't touch a running system! MfG Cool Modi |
|
02.10.2009, 21:42
| #10 |
| /// Helfer-Team | Win32:TrojanGen{other} hat msb.exe, msn.exe und b.exe infiziert :/ hi 1. Den kompletten Rechner zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "My Computer" aus: im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben - speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans 2. - Du Könntest Dein System ein wenig "flotter" machen (Empfehlungen/Vorschläge): Programme im Autostart sind Programme, die sich (mit oder ohne Zustimmung des Users) im Autostart eingetragen haben und sofort mit Windows hochfahren. Je mehr Programme hier aufgeführt sind, umso langsamer startet Windows! "Start→ ausführen→ "msconfig" (reinschreiben ohne ""→ OK" - it-academy.cc - pqtuning.de Einfach dort den Haken herausnehmen, dann die Programme starten nicht mehr automatisch. (oder mit HijackThis fixen) Du kannst aber jeder zeit manuell starten - (nach deinen Bedürfnissen anpassen, es ist immer Benutzerspezifisch,ein allgemein gültiges Rezept gibt es nicht) Wird noch nach dem nächsten Neustart wieder ein Hinweisfenster erscheinen, da ist ein Haken setzen : `Meldung nicht mehr anzeigen und dieses Programm beim Windows-Star nicht mehr starten` - auf keinen Fall Grafiktreibers, Sound, Firewall und Anti-Viren-Programmen abschalten!! Oder mit HJT fixen: alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen [code] Ausschaltkandidaten sind: Code:
ATTFilter O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adope Reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "E:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
- mit HJT fixen: alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen Code:
ATTFilter O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Office\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
- Überflüssige Dienste belasten nur den Prozessor und Arbeitsspeicher, daher solltest Du abschalten: Code:
ATTFilter O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c9b49248e9df22) (gupdate1c9b49248e9df22) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NMSAccessU - Unknown owner - E:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
mit der rechten Maustaste auf den Dienstnamen klicken→ wähle `Eigenschaften`→ `Starttyp`→ Manuell, damit wird der Dienst ruhiggestellt. Den Dienst erst dann nur starten, wenn ein Programm ihn benötigt. Geändert von kira (02.10.2009 um 22:06 Uhr) |
|
04.10.2009, 10:01
| #11 |
| | Win32:TrojanGen{other} hat msb.exe, msn.exe und b.exe infiziert :/ Alles erledigt. Danke. Hier ist das Logfile vom Scann. Code:
ATTFilter --------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: scan report
Sunday, October 4, 2009
Operating system: Microsoft Windows XP Professional Service Pack 3 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Saturday, October 03, 2009 23:05:50
Records in database: 2903694
--------------------------------------------------------------------------------
Scan settings:
scan using the following database: extended
Scan archives: yes
Scan e-mail databases: yes
Scan area - My Computer:
C:\
D:\
E:\
F:\
G:\
H:\
Scan statistics:
Objects scanned: 214101
Threats found: 3
Infected objects found: 3
Suspicious objects found: 0
Scan duration: 02:03:47
File name / Threat / Threats count
C:\WINDOWS\system32\drivers\etc\hosts Infected: Trojan.Win32.Qhost.lsc 1
E:\Games\Schlacht um Mittelerde II\ERWEITERUNG- Aufstieg des Hexenkönigs\eauninstall.exe Infected: Trojan-Downloader.Win32.Agent.cquu 1
E:\Programme\Cryptload\router\FRITZ!Box\nc.exe Infected: not-a-virus:RemoteAdmin.Win32.NetCat.a 1
Selected area has been scanned.
__________________ Don't touch a running system! MfG Cool Modi |
|
04.10.2009, 11:12
| #12 | ||
| /// Helfer-Team | Win32:TrojanGen{other} hat msb.exe, msn.exe und b.exe infiziert :/ hi 1. Lade dir HostsXpert auf dem Desktop speichern & und entpacken
Zitat:
127.0.0.1 Localhost drin sein! 3. Vor dem nächsten Schritt, also bevor wir weitermachen: Da jederzeit etwas passieren kann, wenn du wichtige Daten hast die Du sichern möchtest, empfehle ich Dir es jetzt machen (wie Bilder, Musik usw) Unabhängig von einem Befall (weil ja kann eine Festplatte auch kaputt gehen, oder es gibt andere technische Probleme ), sollte man regelmäßig Sicherung machen und an einem sicheren Ort bewahren, wie CD und DVD, aber besser auf externe Festplatten oder/und USB-Sticks Mache das jetzt bitte! 1. - Speichermedien wie Externe Festplatte/USB-Stick usw bitte anschließen - Halte aber beim einstecken des Sticks die Shift-Taste gedrückt! Dadurch wird der Autostart des Datenträgers deaktiviert. - Lade das Combofix von einem der folgenden Download Spiegel herunter: BleepingComputer - ForoSpyware - [u][b]Wichtig!: Wichtig!: Vor dem Speichern, benenne ComboFix.exe um in "cflauf.exe" - dann installiere auf den Desktop - Antiviren, - und andere Schutz/Spyprogramme bitte deaktivieren - Schließe jeder externe Datenträger (USB Stick und USB Festplatte etc) an dein Computer an - dabei die Shift-Taste bitte unbedingt gedrückt halten! - Per Doppelklick die ComboFix.exe starten und den Anweisungen folgen - Falls die Microsoft-Windows-Wiederherstellungskonsole auf dein Rechner nicht installiert ist, und wenn du direkt gefragt wirst, es zu ermöglichen stimme dem Lizenzvertrag zu. Danach erscheint ein Fenster zur Bestätigung, ansonsten wird ComboFix mit der Arbeit fortfahren - bestätige mit "ja", damit den Suchlauf automatisch beginnen kann Zitat:
** Eine bebilderte Anleitung findest Du hier: bleepingcomputer.com/combofix/Anleitung **Danach nicht vergessen die Schutzprogramme wieder aktivieren!! |
|
11.10.2009, 19:23
| #13 |
| | Win32:TrojanGen{other} hat msb.exe, msn.exe und b.exe infiziert :/ Hat etwas gedauert, da ich nicht zuhause war aber heute habe ich alles erledigt und hier ist das Ergebniss Code:
ATTFilter ComboFix 09-10-10.02 - Cool Modi 11.10.2009 20:11.1.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1461 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Cool Modi\Desktop\cflauf.exe
AV: avast! antivirus 4.8.1351 [VPS 091010-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\Installer\52fca.msi
c:\windows\system32\AVSredirect.dll
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_NPF
((((((((((((((((((((((( Dateien erstellt von 2009-09-11 bis 2009-10-11 ))))))))))))))))))))))))))))))
.
2009-10-05 15:08 . 2008-04-13 22:15 60032 -c--a-w- c:\windows\system32\dllcache\usbaudio.sys
2009-10-05 15:08 . 2008-04-13 22:15 60032 ----a-w- c:\windows\system32\drivers\USBAUDIO.sys
2009-10-03 21:08 . 2007-05-17 15:30 318976 ----a-w- c:\windows\system32\avisynth.dll
2009-10-03 21:08 . 2004-02-22 08:11 719872 ----a-w- c:\windows\system32\devil.dll
2009-10-03 21:08 . 2009-10-03 21:08 -------- d-----w- c:\programme\AviSynth 2.5
2009-10-03 21:08 . 2004-01-24 22:00 70656 ----a-w- c:\windows\system32\yv12vfw.dll
2009-10-03 21:08 . 2004-01-24 22:00 70656 ----a-w- c:\windows\system32\i420vfw.dll
2009-10-03 21:07 . 2008-03-16 12:30 216064 --sh--r- c:\windows\system32\nbDX.dll
2009-10-03 21:07 . 2007-02-21 10:47 31232 --sh--r- c:\windows\system32\msfDX.dll
2009-10-03 21:07 . 2006-05-03 09:06 163328 --sh--r- c:\windows\system32\flvDX.dll
2009-09-28 16:11 . 2009-09-28 16:11 1 ----a-w- c:\dokumente und einstellungen\Cool Modi\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-09-28 16:10 . 2009-09-28 16:10 -------- d-----w- c:\dokumente und einstellungen\Cool Modi\Anwendungsdaten\OpenOffice.org
2009-09-28 16:00 . 2009-09-28 16:00 -------- d-----w- c:\programme\JRE
2009-09-28 15:47 . 2009-09-28 16:00 -------- d-----w- c:\programme\OpenOffice.org 3
2009-09-23 20:29 . 2009-09-23 20:29 -------- d-----w- c:\dokumente und einstellungen\Cool Modi\Programs
2009-09-23 11:59 . 2009-10-11 17:58 -------- d-----w- c:\windows\system32\NtmsData
2009-09-23 11:58 . 2009-09-23 11:58 -------- d--h--w- c:\windows\system32\GroupPolicy
2009-09-21 21:15 . 2009-09-21 21:15 -------- d-----w- c:\programme\MSXML 4.0
2009-09-21 19:18 . 2009-09-21 19:18 -------- d-----w- c:\programme\Trend Micro
2009-09-20 22:04 . 2009-09-20 22:04 -------- d-----w- c:\dokumente und einstellungen\Cool Modi\Anwendungsdaten\MAGIX
2009-09-20 22:02 . 2009-09-21 14:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MAGIX
2009-09-20 22:01 . 2009-09-21 14:15 -------- d-----w- c:\programme\MAGIX
2009-09-20 22:01 . 2007-04-27 08:43 120200 ------w- c:\windows\system32\DLLDEV32i.dll
2009-09-20 22:01 . 2009-09-20 22:14 -------- d-----w- c:\programme\Gemeinsame Dateien\MAGIX Services
2009-09-20 19:30 . 2009-09-20 19:30 -------- d-----w- c:\dokumente und einstellungen\Cool Modi\Anwendungsdaten\AVS4YOU
2009-09-20 19:30 . 2009-09-20 19:30 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU
2009-09-20 19:30 . 2009-09-20 22:15 -------- d-----w- c:\programme\Gemeinsame Dateien\AVSMedia
2009-09-20 19:30 . 2008-08-13 09:22 1700352 ------w- c:\windows\system32\GdiPlus.dll
2009-09-20 19:30 . 2008-08-13 09:22 24576 ------w- c:\windows\system32\msxml3a.dll
2009-09-20 19:04 . 2009-09-20 19:05 -------- d-----w- c:\dokumente und einstellungen\Cool Modi\Anwendungsdaten\avidemux
2009-09-20 19:00 . 2009-09-20 21:39 -------- d-----w- c:\dokumente und einstellungen\Cool Modi\Lokale Einstellungen\Anwendungsdaten\WMTools Downloaded Files
2009-09-20 11:30 . 2009-09-20 11:30 -------- d-----w- c:\programme\Gemeinsame Dateien\Yahoo!
2009-09-20 11:30 . 2009-09-20 11:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Pinnacle VideoSpin
2009-09-20 11:30 . 2009-09-20 11:30 -------- d-----w- c:\programme\Pinnacle
2009-09-20 11:29 . 2009-09-20 11:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Pinnacle
2009-09-20 11:28 . 2009-09-20 11:28 -------- d-----w- c:\dokumente und einstellungen\Cool Modi\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
2009-09-19 02:15 . 2009-09-19 02:15 -------- d-----w- c:\programme\www.freewordexcelpassword.com
2009-09-19 00:15 . 2009-09-19 02:19 -------- d-----w- c:\programme\Word Password Recovery Master
2009-09-18 23:37 . 2009-09-20 22:14 -------- d-----w- c:\programme\ElcomSoft
2009-09-18 17:52 . 2009-09-18 17:52 -------- d-----w- c:\dokumente und einstellungen\Cool Modi\Anwendungsdaten\Password Solutions
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-10 20:40 . 2009-04-25 23:09 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-10-05 21:06 . 2009-04-29 12:48 -------- d-----w- c:\dokumente und einstellungen\Cool Modi\Anwendungsdaten\dvdcss
2009-10-03 15:16 . 2009-04-23 16:06 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-10-03 15:16 . 2009-04-23 16:06 -------- d-----w- c:\programme\AGEIA Technologies
2009-10-03 11:01 . 2009-04-18 16:35 -------- d-----w- c:\dokumente und einstellungen\Cool Modi\Anwendungsdaten\Skype
2009-10-03 10:43 . 2009-04-18 16:37 -------- d-----w- c:\dokumente und einstellungen\Cool Modi\Anwendungsdaten\skypePM
2009-10-01 11:45 . 2009-04-01 15:42 -------- d-----w- c:\dokumente und einstellungen\Cool Modi\Anwendungsdaten\HLSW
2009-10-01 11:45 . 2009-04-01 13:24 190144 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-10-01 11:25 . 2009-04-01 13:24 138808 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2009-09-29 07:00 . 2009-03-31 21:48 45808 ----a-w- c:\dokumente und einstellungen\Cool Modi\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-09-28 15:47 . 2009-06-16 12:44 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-09-26 20:51 . 2009-04-01 10:24 -------- d-----w- c:\dokumente und einstellungen\Cool Modi\Anwendungsdaten\ICQ
2009-09-25 11:32 . 2009-09-06 13:28 -------- d-----w- c:\dokumente und einstellungen\Cool Modi\Anwendungsdaten\Meine Der Herr der Ringe™, Aufstieg des Hexenkönigs™-Dateien
2009-09-24 11:57 . 2009-04-03 19:27 -------- d-----w- c:\programme\Google
2009-09-21 14:07 . 2009-05-12 12:55 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2009-09-20 22:03 . 2009-09-20 22:03 -------- d-----w- c:\programme\Gemeinsame Dateien\MAGIX Shared
2009-09-19 00:48 . 2009-04-11 11:16 -------- d-----w- c:\dokumente und einstellungen\Cool Modi\Anwendungsdaten\uTorrent
2009-09-12 08:41 . 2009-05-06 14:07 8 ------w- c:\windows\system32\nvModes.dat
2009-09-10 16:05 . 2009-05-27 19:08 -------- d-----w- c:\dokumente und einstellungen\Cool Modi\Anwendungsdaten\Move Networks
2009-09-01 06:28 . 2009-03-31 21:13 -------- d-----w- c:\programme\Avast4
2009-08-30 10:53 . 2009-08-30 10:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\BC
2009-08-30 10:30 . 2009-08-30 10:30 418480 ------w- c:\windows\system32\wrap_oal.dll
2009-08-30 10:30 . 2009-08-30 10:30 115432 ------w- c:\windows\system32\OpenAL32.dll
2009-08-30 10:30 . 2009-08-30 10:30 -------- d-----w- c:\programme\OpenAL
2009-08-30 10:23 . 2009-03-31 22:05 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-08-26 06:15 . 2009-08-26 06:15 -------- d-----w- c:\programme\iPod
2009-08-26 06:14 . 2009-08-26 06:14 -------- d-----w- c:\programme\QuickTime
2009-08-21 14:51 . 2001-08-23 12:00 79910 ----a-w- c:\windows\system32\perfc007.dat
2009-08-21 14:51 . 2001-08-23 12:00 448470 ----a-w- c:\windows\system32\perfh007.dat
2009-08-19 19:34 . 2009-04-01 10:38 -------- d-----w- c:\dokumente und einstellungen\Cool Modi\Anwendungsdaten\teamspeak2
2009-08-17 16:10 . 2009-03-31 21:13 1279456 ------w- c:\windows\system32\aswBoot.exe
2009-08-17 16:06 . 2009-03-31 21:13 93392 ------w- c:\windows\system32\drivers\aswmon.sys
2009-08-17 16:06 . 2009-03-31 21:13 94160 ------w- c:\windows\system32\drivers\aswmon2.sys
2009-08-17 16:05 . 2009-03-31 21:13 114768 ------w- c:\windows\system32\drivers\aswSP.sys
2009-08-17 16:05 . 2009-08-21 10:20 20560 ------w- c:\windows\system32\drivers\aswFsBlk.sys
2009-08-17 16:04 . 2009-03-31 21:13 51376 ------w- c:\windows\system32\drivers\aswTdi.sys
2009-08-17 16:04 . 2009-03-31 21:13 23152 ------w- c:\windows\system32\drivers\aswRdr.sys
2009-08-17 16:03 . 2009-03-31 21:13 26944 ------w- c:\windows\system32\drivers\aavmker4.sys
2009-08-17 16:02 . 2009-03-31 21:13 97480 ------w- c:\windows\system32\AvastSS.scr
2009-08-05 08:59 . 2002-08-29 10:43 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-08-05 07:38 . 2009-08-05 07:38 152576 ------w- c:\dokumente und einstellungen\Cool Modi\Anwendungsdaten\Sun\Java\jre1.6.0_15\lzma.dll
2009-07-25 20:24 . 2009-07-22 11:40 281760 ------w- c:\windows\system32\drivers\atksgt.sys
2009-07-22 13:06 . 2009-09-20 22:03 724992 ------w- c:\windows\system32\DLLAV32.dll
2009-07-22 13:05 . 2009-09-20 22:03 212992 ------w- c:\windows\system32\DLLDEV32.dll
2009-07-22 13:05 . 2009-09-20 22:03 147456 ------w- c:\windows\system32\DLLCPY32.dll
2009-07-22 13:05 . 2009-09-20 22:03 90112 ------w- c:\windows\system32\DLLPRF32.dll
2009-07-22 13:05 . 2009-09-20 22:03 77824 ------w- c:\windows\system32\DLLPNT32.dll
2009-07-22 13:05 . 2009-09-20 22:03 221184 ------w- c:\windows\system32\DLLDRV32.dll
2009-07-22 13:05 . 2009-09-20 22:03 94208 ------w- c:\windows\system32\DLLIO32.dll
2009-07-22 13:05 . 2009-09-20 22:03 278528 ------w- c:\windows\system32\DLLRES32.dll
2009-07-22 13:05 . 2009-09-20 22:03 65536 ------w- c:\windows\system32\STRING32.dll
2009-07-22 11:46 . 2009-07-22 11:40 25888 ------w- c:\windows\system32\drivers\lirsgt.sys
2009-07-20 07:34 . 2009-07-20 07:34 70936 ----a-w- c:\windows\system32\PhysXLoader.dll
2009-07-17 19:01 . 2002-08-29 10:43 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 21:43 . 2009-03-31 21:43 286208 ------w- c:\windows\system32\wmpdxm.dll
2006-05-03 09:06 . 2009-10-03 21:07 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2009-10-03 21:07 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2009-10-03 21:07 216064 --sh--r- c:\windows\system32\nbDX.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E601996F-E400-41CA-804B-CD6373A7EEE2}]
2009-06-15 10:47 429272 ------w- c:\programme\kikin\ie_kikin.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="e:\programme\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\Avast4\ashDisp.exe" [2009-08-17 81000]
"JMB36X IDE Setup"="c:\windows\JM\JMInsIDE.exe" [2006-10-30 36864]
"JMB36X Configure"="c:\windows\system32\JMRaidSetup.exe" [2006-10-30 1953792]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-03-27 13684736]
"Launch LGDCore"="c:\programme\Logitech\G-series Software\LGDCore.exe" [2006-03-06 1122304]
"Launch LCDMon"="c:\programme\Logitech\G-series Software\LCDMon.exe" [2006-03-06 497152]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-03-27 86016]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-09-28 149280]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-11-14 16270848]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-03-27 1657376]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0sprecovr \SystemRoot\sprecovr.txt
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Cool Modi^Startmenü^Programme^Autostart^OpenOffice.org 3.1.lnk]
path=c:\dokumente und einstellungen\Cool Modi\Startmenü\Programme\Autostart\OpenOffice.org 3.1.lnk
backup=c:\windows\pss\OpenOffice.org 3.1.lnkStartup
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"e:\\Programme\\ICQ6.5\\ICQ.exe"=
"e:\\Games\\CoD4\\Cod4 1.7 (Original).exe"=
"e:\\Games\\Battlefront 2\\Aphex.exe"=
"e:\\Programme\\Torrent\\uTorrent.exe"=
"e:\\Programme\\PFPortChecker\\PFPortChecker.exe"=
"e:\\Games\\CoD4\\CoD4 über Hamachi.exe"=
"e:\\Games\\GTA IV\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"e:\\Games\\GTA IV\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"e:\\Games\\GTA IV\\Grand Theft Auto IV\\GTAIV.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\KONAMI\\Pro Evolution Soccer 2009\\pes2009.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Microsoft Games\\Gears of War\\Binaries\\WarGame-G4WLive.exe"=
"e:\\Games\\Counter-Strike Source\\hl2.exe"=
"e:\\Games\\Assasins Creed\\AssassinsCreed_Dx9.exe"=
"e:\\Games\\Assasins Creed\\AssassinsCreed_Dx10.exe"=
"e:\\Games\\Assasins Creed\\AssassinsCreed_Launcher.exe"=
"e:\\Games\\Dark Sector\\DS.exe"=
"e:\\Programme\\HLSW-Server\\HLSW\\hlsw.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"e:\\Games\\CoD4\\iw3mp.exe"=
"e:\\Games\\H.A.W.X\\HAWX.exe"=
"e:\\Games\\Anno 1404\\Anno4.exe"=
"e:\\Games\\Anno 1404\\tools\\Anno4Web.exe"=
"e:\\Programme\\iTunes\\iTunes.exe"=
"e:\\Games\\Bionic Commando\\Bionic Commando\\bionic_commando.exe"=
"e:\\Games\\Bionic Commando\\Bionic Commando\\Support\\CAP1-0101.exe"=
"e:\\Games\\Schlacht um Mittelerde II\\game.dat"=
"e:\\Games\\Schlacht um Mittelerde II\\ERWEITERUNG- Aufstieg des Hexenkönigs\\game.dat"=
"e:\\Programme\\Videobearbeitung\\Programs\\RM.exe"=
"e:\\Programme\\Videobearbeitung\\Programs\\umi.exe"=
"e:\\Programme\\Videobearbeitung\\Programs\\VideoSpin.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Programme\\Download\\Cryptload\\RouterClient.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6112:UDP"= 6112:UDP:CoH1
"9112:UDP"= 9112:UDP:CoH2
"30275:UDP"= 30275:UDP:CoH3
"30260:UDP"= 30260:UDP:CoH4
"80:UDP"= 80:UDP:GTA IV 2
"3074:TCP"= 3074:TCP:GTA IV 3
"3074:UDP"= 3074:UDP:GTA IV 4
"5353:TCP"= 5353:TCP:Adobe CSI CS4
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [31.03.2009 23:13 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [21.08.2009 12:20 20560]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [01.04.2009 12:24 222456]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [15.07.2009 15:06 1684736]
S3 gupdate1c9b49248e9df22;Google Update Service (gupdate1c9b49248e9df22);c:\programme\Google\Update\GoogleUpdate.exe [03.04.2009 21:27 133104]
S3 jfdcd;jfdcd;\??\c:\dokume~1\COOLMO~1\LOKALE~1\Temp\jfdcd.sys --> c:\dokume~1\COOLMO~1\LOKALE~1\Temp\jfdcd.sys [?]
.
Inhalt des "geplante Tasks" Ordners
2009-10-02 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
2009-10-11 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-25 23:09]
2009-10-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-04-03 19:27]
2009-10-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-04-03 19:27]
.
.
------- Zusätzlicher Suchlauf -------
.
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Cool Modi\Anwendungsdaten\Mozilla\Firefox\Profiles\t23efqo1.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.sweetim.com/search.asp?src=2&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - google.de
FF - prefs.js: keyword.URL - hxxp://search.sweetim.com/search.asp?src=2&q=
FF - component: c:\dokumente und einstellungen\Cool Modi\Anwendungsdaten\Mozilla\Firefox\Profiles\t23efqo1.default\extensions\{AA994882-F391-4d2e-806F-8908DA4814ED}\components\kikin.dll
FF - plugin: c:\dokumente und einstellungen\Cool Modi\Anwendungsdaten\Mozilla\Firefox\Profiles\t23efqo1.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Google\Update\1.2.183.7\npGoogleOneClick8.dll
FF - plugin: e:\programme\Adope Reader\Reader\browser\nppdf32.dll
FF - plugin: e:\programme\Collage\Picasa3\npPicasa3.dll
FF - plugin: e:\programme\iTunes\Mozilla Plugins\npitunes.dll
FF - plugin: e:\programme\VLC\npvlc.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
AddRemove-Company of Heroes - e:\games\Company of Heros\Tales of Valor\Uninstall_German.exe
AddRemove-G15_TeamSpeak - c:\programme\Logitech\G-series Software\G15_TeamSpeak\uninstall.exe
AddRemove-Hamachi - e:\games\Hamachi\uninstall.exe
AddRemove-HLSW_is1 - e:\programme\HLSW\unins000.exe
AddRemove-Teamspeak 2 RC2_is1 - e:\teamspeak2_rc2\unins000.exe
AddRemove-TeamSpeak 2 Server_is1 - e:\teamspeak2_rc2\Teamspeak2_RC2\Lan Version\unins000.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-11 20:14
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1606980848-1935655697-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:5a,cf,f2,d5,4c,ef,9a,c0,39,27,dc,84,34,a0,f1,45,6a,88,54,63,ff,
be,d1,b7,c9,19,56,ff,c4,bb,33,8d,0f,04,90,b4,ca,e4,7d,ce,91,b1,c7,41,87,a3,\
"rkeysecu"=hex:d1,c2,31,0e,27,3d,88,f0,09,3d,d5,62,e8,3f,30,6b
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(708)
c:\programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
- - - - - - - > 'explorer.exe'(3280)
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avast4\aswUpdSv.exe
c:\programme\Avast4\ashServ.exe
c:\windows\system32\rundll32.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Logitech\G-series Software\Applets\LCDMedia.exe
c:\programme\Logitech\G-series Software\Applets\LCDClock.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Avast4\ashMaiSv.exe
c:\programme\Avast4\ashWebSv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-10-11 20:19 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-10-11 18:19
Vor Suchlauf: 7.415.980.032 Bytes frei
Nach Suchlauf: 7.440.359.424 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
297 --- E O F --- 2009-09-21 21:15
__________________ Don't touch a running system! MfG Cool Modi |
|
11.10.2009, 19:52
| #14 |
| /// Helfer-Team | Win32:TrojanGen{other} hat msb.exe, msn.exe und b.exe infiziert :/ hi wir werden uns noch "eine zweite Meinung" einholen: → besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren: → Tipps für die Suche nach Dateien Code:
ATTFilter E:\Games\Schlacht um Mittelerde II\ERWEITERUNG- Aufstieg des Hexenkönigs\eauninstall.exe
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox) → "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist → das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1) Gibt es Probleme noch mit dem Rechner? |
|
11.10.2009, 20:40
| #15 |
| | Win32:TrojanGen{other} hat msb.exe, msn.exe und b.exe infiziert :/ Nein momentan läuft alles wieder einwandfrei und flüssig. Also soweit alles gut nach dieser Prozedur ist gerade am durchlaufen. Danach poste ich das Ergebnis sofort Und hier ist der Scanbericht Code:
ATTFilter Datei eauninstall.exe empfangen 2009.10.11 19:46:35 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 7/41 (17.08%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.10.11 -
AhnLab-V3 5.0.0.2 2009.10.10 -
AntiVir 7.9.1.35 2009.10.09 -
Antiy-AVL 2.0.3.7 2009.10.10 Trojan/Win32.Agent.gen
Authentium 5.1.2.4 2009.10.11 -
Avast 4.8.1351.0 2009.10.11 -
AVG 8.5.0.420 2009.10.04 -
BitDefender 7.2 2009.10.11 -
CAT-QuickHeal 10.00 2009.10.10 -
ClamAV 0.94.1 2009.10.10 Trojan.Downloader-73617
Comodo 2574 2009.10.11 -
DrWeb 5.0.0.12182 2009.10.11 -
eSafe 7.0.17.0 2009.10.08 -
eTrust-Vet 35.1.7060 2009.10.09 -
F-Prot 4.5.1.85 2009.10.11 -
F-Secure 8.0.14470.0 2009.10.11 -
Fortinet 3.120.0.0 2009.10.11 W32/Agent.CQUU!tr.dldr
GData 19 2009.10.11 -
Ikarus T3.1.1.72.0 2009.10.11 -
Jiangmin 11.0.800 2009.10.08 -
K7AntiVirus 7.10.867 2009.10.10 -
Kaspersky 7.0.0.125 2009.10.11 -
McAfee 5768 2009.10.11 -
McAfee+Artemis 5768 2009.10.11 Artemis!95BC6816734E
McAfee-GW-Edition 6.8.5 2009.10.11 -
Microsoft 1.5101 2009.10.11 -
NOD32 4498 2009.10.11 -
Norman 6.01.09 2009.10.11 W32/Agent.RQCX
nProtect 2009.1.8.0 2009.10.11 -
Panda 10.0.2.2 2009.10.11 -
PCTools 4.4.2.0 2009.10.11 -
Prevx 3.0 2009.10.11 -
Rising 21.50.60.00 2009.10.11 -
Sophos 4.45.0 2009.10.11 -
Sunbelt 3.2.1858.2 2009.10.11 -
Symantec 1.4.4.12 2009.10.11 -
TheHacker 6.5.0.2.037 2009.10.11 Trojan/Downloader.Agent.chwi
TrendMicro 8.950.0.1094 2009.10.11 -
VBA32 3.12.10.11 2009.10.10 Trojan-Downloader.Win32.Agent.cquu
ViRobot 2009.10.9.1978 2009.10.09 -
VirusBuster 4.6.5.0 2009.10.11 -
weitere Informationen
File size: 253952 bytes
MD5...: 95bc6816734e48308305a76483cf808e
SHA1..: aa3ef01a4649a983e1d065faf32a4e91b2fe179d
SHA256: abf9a041c8a613f6ba3cd9f902a7888d42e8da4d1cbc20c62422d4831110663a
ssdeep: 3072:5HuDKT2ojrjOVf7u5zjeNHik+b2UoEBoEPohAlcU3KfzgxGRifj3XTaSZu0
OsODW:YDWNfqqzUUxFt3
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x432f
timedatestamp.....: 0x452d802f (Wed Oct 11 23:37:19 2006)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1ac94 0x1b000 6.54 8fc15a0ccec9741a0002108d242354f9
.rdata 0x1c000 0x7d80 0x8000 4.96 d062117bdeae054afba2959710819116
.data 0x24000 0x5414 0x2000 3.64 5504ee156e5367e93fdcdccab4fed188
.rsrc 0x2a000 0x17868 0x18000 3.55 16c440ad06dfed2a6ebff08a6c17a8b6
( 10 imports )
> EAInstall.dll: __0CEAUninstall@@QAE@XZ, _setDebug@CEAUninstall@@QAEX_N@Z, _EAINSTALL_forceLanguage@@YA_NH@Z, _EAINSTALL_getString@@YAGPAUHINSTANCE__@@IPADH@Z, _prepareForUninstallation@CEAUninstall@@QAE_NPBD0@Z, _EAINSTALL_isThisProgramRunning@@YA_NPADH@Z, _EAINSTALL_isAdministrator@@YA_NXZ, _cancelInstallation@CEAUninstall@@QAE_NPBD00PAMPAHH@Z, __1CEAUninstall@@QAE@XZ, _EAINSTALL_getStringFromDLLorEXE@@YA_NHPADH@Z
> KERNEL32.dll: RtlUnwind, ExitProcess, TerminateProcess, GetStartupInfoA, GetCommandLineA, HeapReAlloc, HeapSize, HeapDestroy, HeapCreate, VirtualFree, IsBadWritePtr, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, GetStdHandle, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, SetUnhandledExceptionFilter, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, IsBadReadPtr, IsBadCodePtr, VirtualQuery, SetStdHandle, InterlockedExchange, MultiByteToWideChar, WideCharToMultiByte, GetLastError, GetVersion, lstrcmpiA, lstrlenA, GetModuleHandleA, GetACP, GetLocaleInfoA, GetThreadLocale, GetVersionExA, GetProcAddress, lstrcpynA, lstrcmpW, lstrcatA, FreeLibrary, LoadLibraryA, GlobalDeleteAtom, GlobalFindAtomA, GlobalAddAtomA, GlobalGetAtomNameA, GetCurrentThreadId, FreeResource, LockResource, LoadResource, FindResourceA, LocalFree, FormatMessageA, GlobalUnlock, GetSystemInfo, VirtualAlloc, VirtualProtect, HeapFree, HeapAlloc, SetErrorMode, GetCurrentProcess, FlushFileBuffers, SetFilePointer, WriteFile, ReadFile, RaiseException, GetOEMCP, GetCPInfo, InterlockedIncrement, GlobalFlags, InterlockedDecrement, TlsFree, DeleteCriticalSection, LocalReAlloc, TlsSetValue, TlsAlloc, InitializeCriticalSection, TlsGetValue, EnterCriticalSection, GlobalHandle, GlobalReAlloc, LeaveCriticalSection, LocalAlloc, WritePrivateProfileStringA, GlobalLock, CloseHandle, GetCurrentThread, lstrcmpA, GetModuleFileNameA, ConvertDefaultLocale, EnumResourceLanguagesA, lstrcpyA, SetLastError, GlobalFree, SizeofResource, MulDiv, GlobalAlloc
> USER32.dll: GetSysColorBrush, GetMenuItemInfoA, InflateRect, LoadMenuA, DestroyMenu, UnpackDDElParam, ReuseDDElParam, ReleaseCapture, LoadAcceleratorsA, InvalidateRect, InsertMenuItemA, CreatePopupMenu, SetRectEmpty, BringWindowToTop, SetMenu, TranslateAcceleratorA, wsprintfA, GetMessageA, TranslateMessage, GetCursorPos, ValidateRect, ShowOwnedPopups, SetCursor, PostQuitMessage, GetDesktopWindow, GetActiveWindow, CreateDialogIndirectParamA, GetNextDlgTabItem, EndDialog, EndPaint, BeginPaint, GetWindowDC, ReleaseDC, GetDC, ClientToScreen, GrayStringA, DrawTextExA, DrawTextA, TabbedTextOutA, FillRect, SetMenuItemBitmaps, ModifyMenuA, EnableMenuItem, CheckMenuItem, GetMenuCheckMarkDimensions, LoadBitmapA, IsWindowEnabled, ShowWindow, SetWindowTextA, IsDialogMessageA, GetMenuState, RegisterWindowMessageA, WinHelpA, GetCapture, CreateWindowExA, SetWindowsHookExA, CallNextHookEx, GetClassLongA, GetClassInfoExA, GetClassNameA, SetPropA, GetPropA, RemovePropA, SendDlgItemMessageA, GetFocus, IsWindow, SetFocus, GetWindowTextA, GetForegroundWindow, GetLastActivePopup, SetActiveWindow, DispatchMessageA, BeginDeferWindowPos, EndDeferWindowPos, EnableWindow, LoadCursorA, SetTimer, SendMessageA, BroadcastSystemMessageA, MessageBoxA, GetWindow, PtInRect, CopyRect, GetDlgItem, GetTopWindow, DestroyWindow, UnhookWindowsHookEx, GetMessageTime, GetMessagePos, LoadIconA, PeekMessageA, MapWindowPoints, TrackPopupMenu, GetKeyState, SetForegroundWindow, IsWindowVisible, UpdateWindow, GetClientRect, GetMenu, PostMessageA, GetSubMenu, GetMenuItemID, GetMenuItemCount, GetSystemMetrics, GetWindowRect, GetWindowPlacement, IsIconic, SystemParametersInfoA, IntersectRect, OffsetRect, SetWindowPos, SetWindowLongA, GetWindowLongA, CallWindowProcA, DefWindowProcA, GetDlgCtrlID, UnregisterClassA, RegisterClassA, GetClassInfoA, GetSysColor, AdjustWindowRectEx, GetParent, ScreenToClient, EqualRect, DeferWindowPos
> GDI32.dll: BitBlt, GetPixel, PtVisible, RectVisible, TextOutA, ExtTextOutA, Escape, SelectObject, SetViewportOrgEx, OffsetViewportOrgEx, SetViewportExtEx, ScaleViewportExtEx, SetWindowExtEx, ScaleWindowExtEx, DeleteObject, DeleteDC, CreatePatternBrush, CreateCompatibleDC, GetStockObject, CreateSolidBrush, CreateCompatibleBitmap, CreateFontIndirectA, GetTextExtentPoint32A, SetMapMode, SetBkMode, RestoreDC, SaveDC, CreateBitmap, GetDeviceCaps, GetObjectA, SetBkColor, SetTextColor, GetClipBox
> WINSPOOL.DRV: OpenPrinterA, DocumentPropertiesA, ClosePrinter
> ADVAPI32.dll: RegCloseKey, RegOpenKeyA, RegQueryValueExA, RegOpenKeyExA, RegDeleteKeyA, RegEnumKeyA, RegQueryValueA, RegCreateKeyExA, RegSetValueExA
> SHELL32.dll: DragQueryFileA, DragFinish
> COMCTL32.dll: ImageList_GetImageInfo, ImageList_Draw, -, ImageList_Destroy
> SHLWAPI.dll: PathFindFileNameA, PathFindExtensionA
> OLEAUT32.dll: -, -, -
( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (75.0%)
Win32 Executable Generic (16.9%)
Generic Win/DOS Executable (3.9%)
DOS Executable Generic (3.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Electronic Arts Inc.
copyright....: (c) 2004-2005 Electronic Arts Inc.
product......: EA Uninstall
description..: Uninstall
original name: eauninstall7.exe
internal name: eauninstall7.exe
file version.: 1.00.00.000
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
ACHTUNG ACHTUNG: VirusTotal ist ein kostenloser Dienst bereitgestellt von Hispasec Sistemas. Es gibt keine Garantie zur Verfügbarkeit sowie Fortbestehen der Dienstleistung. Obwohl die Erkennungsrate mehrerer Antivirus-Engines besser ist als nur durch ein Produkt, garantieren die Ergebnisse des Scans nicht die Harmlosigkeit einer Datei. Gegenwärtig gibt es keine Lösung, welche eine Erkennungsrate aller Viren und Malware zu 100% bietet.
__________________ Don't touch a running system! MfG Cool Modi Geändert von Cool Modi (11.10.2009 um 20:50 Uhr) |
|
| Themen zu Win32:TrojanGen{other} hat msb.exe, msn.exe und b.exe infiziert :/ |
| adobe, antivirus, ask toolbar, askbar, auslastung, avast, avast!, bho, bonjour, cdburnerxp, cpu, desktop, einstellungen, excel, google, gupdate, hijack, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, launch, logfile, malwarebytes' anti-malware, mozilla, neu aufsetzen, rundll, software, system, temp, virus, werbefenster, windows, windows xp |
Linear-Darstellung
