| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Backdoor.Win32.Bredavi.yjWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
09.10.2009, 20:51
| #1 |
| |  Backdoor.Win32.Bredavi.yj Hallo! Habe mir heute anscheinend einen Virus eingefangen, bzw. wurde er heute entdeckt... AntiVir hat mir einen Virus namens: Backdoor.Win32.Bredavi.yj angezeigt mit dem Vermerk, dass die Datei c:\WINDOWS\system32\kzpm.exe betroffen ist. Hab dann die Datei bei Jotti hochgeladen und folgendes unerfreuliches Ergebnis bekommen - hier der Link: http://virusscan.jotti.org/de/scanre...db7a26cf92f70b Lässt sich da noch irgendetwas machen? Hier auch mal mein HijackThis log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:29:17, on 09.10.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\TUProgSt.exe C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe C:\Programme\jeak.de\QIP 2005\qip.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\dllhost.exe C:\Programme\T-Online\T-Online_Software_6\Browser\browser.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h--p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h--p://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h--ps://webmail.uni-jena.de/imp/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h--p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h--p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h--p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h--p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1 O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe O4 - HKCU\..\Run: [QIP2005] C:\Programme\jeak.de\QIP 2005\qip.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: VPN Client.lnk = ? O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?5b9a9ddb7c6a4eee805b3029e3ff8bc4 O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?5b9a9ddb7c6a4eee805b3029e3ff8bc4 O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=h--p://www.msn.de O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h--p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1154349438879 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h--p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1154349548395 O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - h--p://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: Google Update Service (gupdate1c9a5b8a04f988a) (gupdate1c9a5b8a04f988a) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxLiveShare.exe O23 - Service: RoxMediaDB - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe O23 - Service: RoxUpnpRenderer (RoxUPnPRenderer) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCom\RoxUpnpRenderer.exe O23 - Service: RoxUpnpServer - Sonic Solutions - C:\Programme\Roxio\WinOnCD 8\Digital Home\RoxUpnpServer.exe O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP2\RpcAgentSrv.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe -- Als erstes war mir aufgefallen, dass sich Firefox nicht mehr öffnen lies bzw. mir wurde beim Start von Firefox gemeldet, dass Firefox abgestürzt und müsse geschlossen werden. Ich hatte dann die Wahl Firefox neu zu starten oder zu beenden. Klickte ich auf neu starten, kam die gleiche Meldung nochmal. Beim Internet Explorer gestaltete es sich ähnlich. Beim Start erschien die Meldung, dass der Internet Explorer aus Sicherheitsgründen geschlossen werden musste. Daraufhin lies ich AntiVir durchlaufen, allerdings hielt der Scan-Fortschritt immer an einer bestimmten Stelle an. Vielleicht kann mir ja jemand helfen... Vielen Dank jedenfalls schonmal im Voraus für die Bemühungen! Geändert von 410GFA (09.10.2009 um 21:07 Uhr) |
|
09.10.2009, 23:48
| #2 | |
| /// Helfer-Team    | Backdoor.Win32.Bredavi.yj Hallo und Herzlich Willkommen!
__________________ - Die Datei "c:\WINDOWS\system32\kzpm.exe" wurde gelöscht? - Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
2. Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten): Code:
ATTFilter R3 - URLSearchHook: (no name) - - (no file)
Lade dir das Tool CCleaner herunter installieren ("Füge ...... Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
4. poste erneut: Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!! 5. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 6. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 7. Ich würde gerne noch all deine installierten Programme sehen: Ccleaner satrten→ klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein Zitat:
Coverflow |
|
10.10.2009, 13:32
| #3 | |
| | Backdoor.Win32.Bredavi.yj Hallo und danke für die schnelle Antwort! Ok, dann geh ich mal deine Liste durch - hier die Ergebnisse:
__________________Zitat:
Malwarebytes Anti-Malware log Log: Code:
ATTFilter Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2935
Windows 5.1.2600 Service Pack 3
10.10.2009 13:48:51
mbam-log-2009-10-10 (13-48-51).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 286385
Laufzeit: 1 hour(s), 3 minute(s), 35 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 6
Infizierte Dateien: 6
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Karin\Anwendungsdaten\DriveCleaner Free (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Karin\Anwendungsdaten\DriveCleaner Free\Logs (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Roland\Anwendungsdaten\DriveCleaner Free (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Roland\Anwendungsdaten\DriveCleaner Free\Logs (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Steffi\Anwendungsdaten\DriveCleaner Free (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Steffi\Anwendungsdaten\DriveCleaner Free\Logs (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
Infizierte Dateien:
C:\Dokumente und Einstellungen\Caro\Eigene Dateien\Downloads\Software\CryptLoad_1.0.4\router\FRITZ!Box\nc.exe (PUP.KeyLogger) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6CDEDBD2-CA47-41C3-B1F5-A55297EBFF68}\RP328\A0071938.exe (Trojan.Bebloh) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AB4ZQJWJ\1a23fr[1].exe (Trojan.Bebloh) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Karin\Anwendungsdaten\DriveCleaner Free\Logs\update.log (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Roland\Anwendungsdaten\DriveCleaner Free\Logs\update.log (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Steffi\Anwendungsdaten\DriveCleaner Free\Logs\update.log (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
Ccleaner wurde ausgeführt neues HijackThis log Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:10:34, on 10.10.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\TUProgSt.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\dllhost.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h--p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h--p://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h--ps://webmail.uni-jena.de/imp/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h--p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h--p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h--p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h--p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1 O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [QIP2005] C:\Programme\jeak.de\QIP 2005\qip.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: VPN Client.lnk = ? O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?5b9a9ddb7c6a4eee805b3029e3ff8bc4 O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?5b9a9ddb7c6a4eee805b3029e3ff8bc4 O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=h--p://www.msn.de O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h--p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1154349438879 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h--p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1154349548395 O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - h--p://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: Google Update Service (gupdate1c9a5b8a04f988a) (gupdate1c9a5b8a04f988a) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxLiveShare.exe O23 - Service: RoxMediaDB - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe O23 - Service: RoxUpnpRenderer (RoxUPnPRenderer) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCom\RoxUpnpRenderer.exe O23 - Service: RoxUpnpServer - Sonic Solutions - C:\Programme\Roxio\WinOnCD 8\Digital Home\RoxUpnpServer.exe O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP2\RpcAgentSrv.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe -- End of file - 8960 bytes |
|
10.10.2009, 13:33
| #4 |
| | Backdoor.Win32.Bredavi.yj und Teil 2: filelist log Code:
ATTFilter
----- Root -----------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 7095-E8C5
Verzeichnis von C:\
10.10.2009 14:14 43 filelist.txt
10.10.2009 14:08 1.610.612.736 pagefile.sys
10.10.2009 14:08 26.876 aaw7boot.log
27.09.2009 19:40 173 LxDasi.Log
21 Datei(en) 5.512.347.145 Bytes
0 Verzeichnis(se), 20.451.024.896 Bytes frei
----- Windows --------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 7095-E8C5
Verzeichnis von C:\WINDOWS
10.10.2009 14:09 1.267.481 WindowsUpdate.log
10.10.2009 14:09 0 0.log
10.10.2009 14:08 159 wiadebug.log
10.10.2009 14:08 50 wiaservc.log
10.10.2009 14:08 2.048 bootstat.dat
10.10.2009 14:07 32.576 SchedLgU.Txt
09.10.2009 21:22 7.680 Thumbs.db
27.09.2009 19:40 306 LFOInterChangeServer.INI
10.08.2009 22:31 155 NeroDigital.ini
07.06.2009 20:35 36.363 CSTBox.INI
----- System ---
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 7095-E8C5
Verzeichnis von C:\WINDOWS\system
25 Datei(en) 929.787 Bytes
0 Verzeichnis(se), 20.451.008.512 Bytes frei
----- System 32 (Achtung: Zeitfenster beachten!) ---
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 7095-E8C5
Verzeichnis von C:\WINDOWS\system32
10.10.2009 14:09 2.206 wpa.dbl
10.10.2009 14:08 51.048 nvapps.xml
10.10.2009 12:24 18.944 Thumbs.db
07.10.2009 20:06 848 KGyGaAvL.sys
02.10.2009 06:26 91.289 lakajrbbxcy
28.08.2009 23:38 24.689.600 MRT.exe
28.08.2009 08:36 838.600 TZLog.log
06.08.2009 19:24 209.632 wuweb.dll
06.08.2009 19:24 327.896 wucltui.dll
06.08.2009 19:24 18.144 wuaueng.dll.mui
06.08.2009 19:24 44.768 wups2.dll
06.08.2009 19:24 15.584 wuapi.dll.mui
06.08.2009 19:24 217.816 wuaucpl.cpl
06.08.2009 19:24 35.552 wups.dll
06.08.2009 19:24 53.472 wuauclt.exe
06.08.2009 19:24 96.480 cdm.dll
06.08.2009 19:24 15.584 wuaucpl.cpl.mui
06.08.2009 19:24 23.264 wucltui.dll.mui
06.08.2009 19:23 575.704 wuapi.dll
06.08.2009 19:23 274.288 mucltui.dll
06.08.2009 19:23 1.929.952 wuaueng.dll
06.08.2009 19:23 17.776 mucltui.dll.mui
06.08.2009 19:23 215.920 muweb.dll
05.08.2009 10:59 206.336 mswebdvd.dll
31.07.2009 15:17 604.488 TUProgSt.exe
31.07.2009 15:17 361.288 TuneUpDefragService.exe
31.07.2009 05:04 15.688 lsdelete.exe
31.07.2009 01:58 69.500 perfc009.dat
31.07.2009 01:58 436.180 perfh009.dat
31.07.2009 01:58 82.668 perfc007.dat
31.07.2009 01:58 453.494 perfh007.dat
19.07.2009 18:41 11.067.392 ieframe.dll
19.07.2009 15:11 5.937.152 mshtml.dll
18.07.2009 18:03 1.509.888 shdocvw.dll
17.07.2009 21:01 58.880 atl.dll
15.07.2009 11:48 29.000 uxtuneup.dll
14.07.2009 13:03 46.080 tzchange.exe
13.07.2009 23:43 10.841.088 wmp.dll
13.07.2009 23:43 286.208 wmpdxm.dll
03.07.2009 18:55 915.456 wininet.dll
03.07.2009 18:55 206.848 occache.dll
03.07.2009 18:55 1.208.832 urlmon.dll
03.07.2009 18:55 594.432 msfeeds.dll
03.07.2009 18:55 55.296 msfeedsbs.dll
03.07.2009 18:55 1.469.440 inetcpl.cpl
03.07.2009 18:55 25.600 jsproxy.dll
03.07.2009 18:55 1.985.536 iertutil.dll
03.07.2009 18:55 184.320 iepeers.dll
03.07.2009 18:55 386.048 iedkcs32.dll
03.07.2009 13:01 173.056 ie4uinit.exe
26.06.2009 18:49 81.920 ieencode.dll
25.06.2009 10:25 136.192 msv1_0.dll
25.06.2009 10:25 56.832 secur32.dll
25.06.2009 10:25 737.792 lsasrv.dll
25.06.2009 10:25 301.568 kerberos.dll
25.06.2009 10:25 54.272 wdigest.dll
25.06.2009 10:25 147.456 schannel.dll
22.06.2009 08:45 726.528 jscript.dll
16.06.2009 16:36 119.808 t2embed.dll
16.06.2009 16:36 81.920 fontsub.dll
15.06.2009 12:43 78.848 telnet.exe
15.06.2009 12:43 82.944 tlntsess.exe
11.06.2009 12:22 199.344 FNTCACHE.DAT
10.06.2009 16:13 85.504 avifil32.dll
10.06.2009 09:19 2.066.432 mstscax.dll
10.06.2009 08:14 132.096 wkssvc.dll
03.06.2009 21:09 1.296.896 quartz.dll
20.05.2009 04:56 2.458.112 WMVCore.dll
07.05.2009 17:32 348.160 localspl.dll
2580 Datei(en) 689.059.546 Bytes
0 Verzeichnis(se), 20.450.820.096 Bytes frei
----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 7095-E8C5
Verzeichnis von C:\WINDOWS\Prefetch
10.10.2009 14:14 11.342 FIND.EXE-0EC32F1E.pf
10.10.2009 14:14 11.272 CMD.EXE-087B4001.pf
10.10.2009 14:14 35.142 WINRAR.EXE-3588DFE8.pf
10.10.2009 14:14 45.808 DLMAN.EXE-0885EA3E.pf
10.10.2009 14:13 10.094 SC_WATCH.EXE-1BEDDA24.pf
10.10.2009 14:13 39.886 KERNEL.EXE-1D94E7A1.pf
10.10.2009 14:13 34.158 WSUSRMGR.EXE-28188A17.pf
10.10.2009 14:13 32.296 PROFIL~1.EXE-21BC5BDB.pf
10.10.2009 14:13 15.806 BROWSER.EXE-2ED051C5.pf
10.10.2009 14:13 15.456 VERCLSID.EXE-3667BD89.pf
10.10.2009 14:10 14.770 NOTEPAD.EXE-336351A9.pf
10.10.2009 14:10 22.722 HIJACKTHIS.EXE-39024128.pf
10.10.2009 14:09 71.822 WGATRAY.EXE-0ED38BED.pf
10.10.2009 14:09 52.522 AVWSC.EXE-24612965.pf
10.10.2009 14:09 140.356 WMIPRVSE.EXE-28F301A9.pf
10.10.2009 14:09 15.658 ALG.EXE-0F138680.pf
10.10.2009 14:09 14.256 AAWTRAY.EXE-31E33C30.pf
10.10.2009 14:09 35.342 DLLHOST.EXE-5353C76C.pf
10.10.2009 14:09 26.846 UNSECAPP.EXE-1A95A33B.pf
10.10.2009 14:09 17.154 RUNDLL32.EXE-35A483DA.pf
10.10.2009 14:09 1.542.328 NTOSBOOT-B00DFAAD.pf
10.10.2009 14:05 23.128 CCLEANER.EXE-065E2F3F.pf
10.10.2009 14:05 60.004 WUAUCLT.EXE-399A8E72.pf
10.10.2009 14:05 27.198 CCSETUP224_SLIM.EXE-2A88A394.pf
10.10.2009 14:05 27.800 MSNTBUP.EXE-0FE4C519.pf
10.10.2009 14:03 32.726 AAWSERVICE.EXE-1E1DE6D1.pf
10.10.2009 14:03 49.450 TEATIMER.EXE-38E505A8.pf
10.10.2009 14:03 14.640 CTFMON.EXE-0E17969B.pf
10.10.2009 14:03 64.048 QIP.EXE-008F047F.pf
10.10.2009 14:03 37.726 HDECK.EXE-05814362.pf
10.10.2009 14:03 19.202 VPNGUI.EXE-10986A0F.pf
10.10.2009 14:03 61.092 AVGNT.EXE-39CD89BF.pf
10.10.2009 14:03 67.904 MBAM.EXE-11D8BBD8.pf
10.10.2009 14:03 107.708 EXPLORER.EXE-082F38A9.pf
10.10.2009 14:03 51.940 USERINIT.EXE-30B18140.pf
10.10.2009 14:03 36.168 GOOGLEUPDATE.EXE-187AE91D.pf
10.10.2009 14:03 11.552 NWIZ.EXE-2D0F9FBC.pf
10.10.2009 14:03 18.242 RUNDLL32.EXE-415F88EC.pf
10.10.2009 14:03 98.994 ONECLICKSTARTER.EXE-25A6E9E3.pf
10.10.2009 14:02 13.920 GOOGLECRASHHANDLER.EXE-2EEBA74C.pf
10.10.2009 13:55 15.832 TOCONNKI.EXE-1883B2A7.pf
10.10.2009 13:52 8.130 MBAMGUI.EXE-1E06AB95.pf
10.10.2009 13:49 18.154 LOGONUI.EXE-0AF22957.pf
10.10.2009 13:48 14.476 REGEDIT.EXE-1B606482.pf
10.10.2009 13:48 17.018 GUARDGUI.EXE-147E0160.pf
10.10.2009 12:37 22.352 REGSVR32.EXE-25EEFE2F.pf
10.10.2009 12:36 22.722 MBAM-SETUP.TMP-2C97F44E.pf
10.10.2009 12:36 15.572 MBAM-SETUP.EXE-290ED79D.pf
10.10.2009 12:25 23.086 CRASHREPORTER.EXE-38DC7BD9.pf
10.10.2009 12:25 72.858 FIREFOX.EXE-1D57670A.pf
10.10.2009 12:24 54.674 ACRORD32INFO.EXE-19B1D743.pf
10.10.2009 12:19 37.296 KZPM.EXE-35EC4E3F.pf
10.10.2009 12:15 67.112 HELPSVC.EXE-2878DDA2.pf
10.10.2009 12:12 95.802 DFRGNTFS.EXE-269967DF.pf
10.10.2009 12:12 16.446 DEFRAG.EXE-273F131E.pf
10.10.2009 12:12 457.964 Layout.ini
10.10.2009 12:07 6.776 LOGON.SCR-151EFAEA.pf
10.10.2009 11:59 58.972 UPDATE.EXE-3398FCD6.pf
09.10.2009 21:29 15.504 HJTINSTALL202.EXE-39B34B76.pf
09.10.2009 21:16 19.944 TASKMGR.EXE-20256C55.pf
09.10.2009 21:14 36.454 DWWIN.EXE-30875ADC.pf
09.10.2009 21:14 71.812 DUMPREP.EXE-1B46F901.pf
09.10.2009 20:56 57.298 AVNOTIFY.EXE-31D7686A.pf
09.10.2009 20:54 68.798 SPYBOTSD.EXE-1D495A65.pf
09.10.2009 20:46 48.500 AVSCAN.EXE-25724B6E.pf
09.10.2009 20:11 19.434 DRWTSN32.EXE-2B4B52AC.pf
09.10.2009 20:11 16.474 RUNDLL32.EXE-2CA89FC1.pf
09.10.2009 20:11 109.834 IEXPLORE.EXE-2CA9778D.pf
09.10.2009 20:07 17.734 THREATWORK.EXE-2CC668FF.pf
09.10.2009 20:07 14.700 AD-AWAREADMIN.EXE-1618EEEB.pf
09.10.2009 18:34 52.390 AD-AWARE.EXE-2B8B58D1.pf
09.10.2009 18:25 68.570 AVCONFIG.EXE-18FA6095.pf
09.10.2009 18:20 55.830 AVCENTER.EXE-1D2DB8A2.pf
09.10.2009 18:10 29.844 RUNDLL32.EXE-44A0B4BC.pf
09.10.2009 18:09 46.214 TUNEUPDEFRAGSERVICE.EXE-24FF2B48.pf
09.10.2009 18:08 75.094 HELPCTR.EXE-3862B6F5.pf
09.10.2009 18:08 71.162 REGISTRYCLEANER.EXE-13F9F4AD.pf
09.10.2009 18:07 67.948 ONECLICK.EXE-12ADE2F2.pf
09.10.2009 12:48 62.444 WMPLAYER.EXE-0996933A.pf
09.10.2009 12:46 40.304 NOTIFIER.EXE-1927A6E9.pf
09.10.2009 12:46 28.478 IMAPI.EXE-0BF740A4.pf
09.10.2009 12:44 38.788 CONFIG.EXE-2E5DF16F.pf
09.10.2009 11:46 23.176 CONTROL.EXE-013DBFB5.pf
09.10.2009 11:46 26.708 RUNDLL32.EXE-223B4F7E.pf
09.10.2009 07:00 30.210 WMPNSCFG.EXE-094B04CE.pf
08.10.2009 16:09 30.742 WMPNETWK.EXE-1EDAFEC2.pf
08.10.2009 16:09 30.268 NETSH.EXE-085CFFDE.pf
07.10.2009 20:06 59.664 PRWIN13.EXE-2B8AB900.pf
05.10.2009 10:19 25.488 DAVINCI.SCR-28BEDC30.pf
05.10.2009 10:19 16.632 RUNDLL32.EXE-2E5AF1D7.pf
03.10.2009 12:24 47.286 ADOBE_UPDATER.EXE-059F58EC.pf
03.10.2009 12:20 56.588 SKYPEPM.EXE-03F1BFBD.pf
02.10.2009 21:57 75.946 ICQ.EXE-15A4C655.pf
02.10.2009 21:48 62.636 SKYPE.EXE-21F19BC8.pf
02.10.2009 11:06 23.914 ROXUPNPSERVER.EXE-08416DB2.pf
02.10.2009 06:26 12.112 TEMP_8901245.EXE-3AFFBAEA.pf
02.10.2009 06:25 10.230 SC_WATCH.EXE-105B9A9E.pf
02.10.2009 06:25 34.100 KERNEL.EXE-02A660F3.pf
30.09.2009 17:24 13.086 RUNDLL32.EXE-451FC2C0.pf
99 Datei(en) 5.766.058 Bytes
0 Verzeichnis(se), 20.450.869.248 Bytes frei
----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 7095-E8C5
Verzeichnis von C:\WINDOWS\tasks
10.10.2009 14:09 490 1-Klick-Wartung.job
10.10.2009 14:08 1.084 GoogleUpdateTaskMachineCore.job
10.10.2009 14:08 6 SA.DAT
10.10.2009 14:05 248 Auf Updates fr Windows Live Toolbar prfen.job
10.10.2009 13:27 1.088 GoogleUpdateTaskMachineUA.job
6 Datei(en) 2.981 Bytes
0 Verzeichnis(se), 20.450.873.344 Bytes frei
----- Windows/Temp -----------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 7095-E8C5
Verzeichnis von C:\WINDOWS\Temp
10.10.2009 14:09 409 WGANotify.settings
10.10.2009 14:08 255 WGAErrLog.txt
10.10.2009 13:56 7.168 etilqs_zgLET7CiWJ8oYp7QWm99
10.10.2009 13:56 1.028 etilqs_XEqcv0JOn6u7yy9XaT94
10.10.2009 13:56 512 etilqs_vYVHgy6cAj1LC6Hop1aM
09.10.2009 18:19 0 T30DebugLogFile.txt
6 Datei(en) 9.372 Bytes
0 Verzeichnis(se), 20.450.873.344 Bytes frei
----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 7095-E8C5
Verzeichnis von C:\DOKUME~1\Caro\LOKALE~1\Temp
10.10.2009 12:25 96 TOB_ILP.xml
09.10.2009 18:08 798.234 IMT11.xml
09.10.2009 18:08 426 IMT10.xml
09.10.2009 18:08 2.036 IMTF.xml
21.09.2009 12:10 3.744 java_install_reg.log
16.08.2009 15:35 406 CacheTable.xml
13.08.2009 17:53 29.662 TWAIN.LOG
13.08.2009 17:51 326.976 CNQ1213.shd
13.08.2009 17:51 4 Twain001.Mtx
13.08.2009 17:51 156 Twunk001.MTX
10.08.2009 22:28 0 CacheInfo.dnl
31.07.2009 15:23 798.234 IMTF7.xml
31.07.2009 15:23 426 IMTF6.xml
31.07.2009 15:23 2.036 IMTF5.xml
31.07.2009 15:23 798.234 IMTF4.xml
31.07.2009 15:23 426 IMTF3.xml
31.07.2009 15:23 2.036 IMTF2.xml
31.07.2009 15:23 798.234 IMTF1.xml
31.07.2009 15:23 426 IMTF0.xml
31.07.2009 15:23 2.036 IMTEF.xml
31.07.2009 02:06 11.422 dd_vcredistUI17AD.txt
31.07.2009 02:06 518.548 dd_vcredistMSI17AD.txt
31.07.2009 01:58 29.178 InoSetup.log
30.07.2009 23:56 1.172 PCULog3.txt
30.07.2009 23:52 1.396 wmplog02.sqm
30.07.2009 23:51 1.396 wmplog01.sqm
30.07.2009 22:28 11.792 dd_ATL80SP1_KB973923UI70AC.txt
30.07.2009 22:28 802.604 dd_ATL80SP1_KB973923MSI70AC.txt
29.05.2009 19:06 1.384 wmplog00.sqm
02.05.2009 19:26 2.533 Discopier8.log
106 Datei(en) 52.652.245 Bytes
0 Verzeichnis(se), 20.450.861.056 Bytes frei
Code:
ATTFilter Ad-Aware
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Reader 9.1.3 - Deutsch
Adobe Shockwave Player
ArcSoft PhotoStudio 5.5
Avira AntiVir Personal - Free Antivirus
Big Pizza Ski Challenge 2009
Blender (remove only)
Canon CanoScan Toolbox 4.9
Canon ScanGear Starter
CCleaner (remove only)
Cisco Systems VPN Client 5.0.02.0090
CleanUp!
CloneCD
dakota.ag
Die Sims Deluxe
DivX Codec
DivX Converter
DivX Player
DivX Web Player
DVD Shrink 3.2
eMule
eTrust Registration
GemMaster Mystic
Google Earth
GTR 2
Guitar Pro 5.0
Hama Black Force Pad
Haufe Formular-Manager
HaufeReader
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
ICQ6.5
Informationen über Ihren PC
J2SE Runtime Environment 5.0 Update 7
K-Lite Mega Codec Pack 4.7.0
Learn2 Player (Uninstall Only)
Lexware Elster
Lexware financial office 2009
Lexware Info Service
Lexware know how buchhaltung mini
Malwarebytes' Anti-Malware
Manual CanoScan LiDE 25
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Windows-Journal-Viewer
Microsoft Word 97
Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket
Mozilla Firefox (3.5.2)
MSN
MSXML 4.0 SP2 (KB925672)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
Nero Media Player
Nero OEM
NeroVision Express 2
NVIDIA Drivers
Otto
PowerDVD
QIP 2005 8094 Jeak-Edition
QIP 2005 8095 Jeak-Edition
QuickTime
Rappelz_USA
RealPlayer
RENESIS® Player Browser Plugins
Roxio Content 8
Roxio WinOnCD 8
SAMSUNG Mobile Composite Device Software
SAMSUNG Mobile Modem Driver Set
Samsung Mobile phone USB driver Software
SAMSUNG Mobile USB Modem 1.0 Software
SAMSUNG Mobile USB Modem Software
Samsung PC Studio 3
Samsung PC Studio 3 USB Driver Installer
ScanSoft OmniPage SE 4.0
SCHLECKER Foto-Digital-Service
Silver
SiSoftware Sandra Lite 2009.SP2
Skype™ 3.2
Spybot - Search & Destroy
STAMPIT
sv.net
T-Online 6.0
TeamSpeak 2 RC2
toolboxx Lexware minijobs
TuneUp Utilities 2009
VIA Platform Device Manager
Viewpoint Media Player
VLC media player 1.0.1
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 8
Windows Live Toolbar
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player Firefox Plugin
Windows XP Media Center Edition Screen Saver Screen Saver
Windows XP Service Pack 3
Windows-Sicherungsprogramm
WinRAR
WordPerfect Office X3
|
|
10.10.2009, 20:16
| #5 | |
| /// Helfer-Team | Backdoor.Win32.Bredavi.yj hi Was hast Du gefixt? "HijackThis-Log"  Ich meinte fixe die Eintrag unter Punkt 2. - aus Codebox -> http://www.trojaner-board.de/78260-b...tml#post472125 1. Code:
ATTFilter eMule
Zitat:
 2. starte HijackThis--> wähle: "config -> misc tools --> delete a file on reboot"--> wähle die zu löschende datei - sehe der Inhalt dieser Code-Box (Text kopieren und einfügen, oder "Durchsuchen"), die frage zum neustart mit JA beantworten Code:
ATTFilter
C:\WINDOWS\system32\lakajrbbxcy
Alte Java-Versionen entfernen: - Lade Dir JavaRa von prm753 herunter - auf dem Desktop entpacken - die JavaRa.exe per Doppelklick starten - wähle "Remove Older Versions" und klicke auf "Yes - wird ein Log erstellt, kannst Du speichern (posten nicht nötig) 4. Installiere die Offline-Version von Java Java Runtime Environment (JRE) 6 Update aktuelle Version ) von http://www.trojaner-board.de/105213-java-update-einstellungen.html]SUN[/url] 5. - den Quarantäne Ordner überall leeren (Funde löschen) - Antivirus bzw Anti-Spy-Programm usw - das Malwarebytes deinstallieren 6. alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren **Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
7. reinige dein System mit Ccleaner:
8.
9. Den kompletten Rechner zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "My Computer" aus: im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben - speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans 10. poste erneut: Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!! ** Dein Rechner ist sonst in Ordnung? |
|
| Themen zu Backdoor.Win32.Bredavi.yj |
| ad-aware, ad-watch, adobe, antivir, antivir guard, aus sicherheitsgründen, avira, bho, browser, components, desktop, explorer, firefox, firefox neu, gupdate, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, internet, internet explorer, log, neu starten, nicht mehr öffnen, nvidia, programme, rundll, server, sicherheitsgründe, sicherheitsgründen, software, starten, system, tuneup.defrag, virus, virus eingefangen, windows, windows xp |
Linear-Darstellung
