|
Log-Analyse und Auswertung: TR/Delf.pgk infiziert ! Was tun?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
16.10.2009, 14:59 | #1 |
| TR/Delf.pgk infiziert ! Was tun? Habe festgestellt das sich AntiVir nicht mehr automatisch updatet, und deshalb ein manuelles Update durchgeführt. Hier die Logfile: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Freitag, 16. Oktober 2009 15:32 Es wird nach 1798903 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 2) [5.1.2600] Boot Modus : Normal gebootet Benutzername : Administrator Computername : THINKTANK Versionsinformationen: BUILD.DAT : 9.0.0.407 17961 Bytes 29.07.2009 10:29:00 AVSCAN.EXE : 9.0.3.7 466689 Bytes 21.07.2009 12:36:08 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 12:50:58 ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 12:50:58 ANTIVIR2.VDF : 7.1.6.112 4833792 Bytes 15.10.2009 10:47:24 ANTIVIR3.VDF : 7.1.6.115 16384 Bytes 16.10.2009 06:38:42 Engineversion : 8.2.1.35 AEVDF.DLL : 8.1.1.2 106867 Bytes 15.09.2009 14:58:02 AESCRIPT.DLL : 8.1.2.35 483707 Bytes 02.10.2009 21:15:50 AESCN.DLL : 8.1.2.5 127346 Bytes 03.09.2009 14:24:42 AERDL.DLL : 8.1.3.2 479604 Bytes 02.10.2009 21:15:48 AEPACK.DLL : 8.2.0.0 422261 Bytes 15.09.2009 14:58:00 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 17.06.2009 13:32:46 AEHEUR.DLL : 8.1.0.167 2011511 Bytes 07.10.2009 20:27:28 AEHELP.DLL : 8.1.7.0 237940 Bytes 03.09.2009 14:24:42 AEGEN.DLL : 8.1.1.67 364916 Bytes 02.10.2009 21:15:48 AEEMU.DLL : 8.1.1.0 393587 Bytes 02.10.2009 21:15:48 AECORE.DLL : 8.1.8.1 184693 Bytes 15.09.2009 14:57:58 AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 09:49:34 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56 AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55 AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17 RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12 Konfiguration für den aktuellen Suchlauf: Job Name..............................: ShlExt Konfigurationsdatei...................: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\004d2136.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: aus Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Intelligente Dateiauswahl Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Freitag, 16. Oktober 2009 15:32 Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\WINDOWS' C:\WINDOWS\fmswwfx.dat [FUND] Ist das Trojanische Pferd TR/Delf.pgk C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Desinfektion: C:\WINDOWS\fmswwfx.dat [FUND] Ist das Trojanische Pferd TR/Delf.pgk [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b4b78e0.qua' verschoben! Ende des Suchlaufs: Freitag, 16. Oktober 2009 15:43 Benötigte Zeit: 09:58 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 1976 Verzeichnisse wurden überprüft 81002 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 81000 Dateien ohne Befall 618 Archive wurden durchsucht 1 Warnungen 1 Hinweise ------------------------------------------------------------------------- Die betroffene File habe ich nach erfolgloser Recherche durch das Avira Lab analysieren lassen. Ergebnis: Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt: Datei ID Dateiname Größe (Byte) Ergebnis 25474636 fmswwfx.dat 18 KB MALWARE Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt: Dateiname Ergebnis fmswwfx.dat MALWARE Die Datei 'fmswwfx.dat' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben dieser Bedrohung den Namen TR/Delf.pgk gegeben. Bei der Bezeichnung "TR/" handelt es sich um ein Trojanisches Pferd, dass in der Lage ist, ihre Daten auszuspähen, Ihre Privatsphäre zu verletzen und nicht erwünschte Änderungen am System vornehmen kann.Ein Erkennungsmuster ist mit Version 7.01.06.108 der Virendefinitionsdatei (VDF) hinzugefügt. ------------------------------------------------------------------------ VirusTotal hat nachstehendes Ergebnis ausgespuckt: h**p://www.virustotal.com/de/analisis/fef94338a28553572b4d6211f8f8b2dd005b255d2e0d2359f099f267f8273579-1255697627 ----------------------------------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:56:00, on 16.10.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe D:\Tobit ClipInc\Server\ClipInc-Server.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\QuickTime\QTTask.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Microsoft IntelliPoint\ipoint.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Java\jre6\bin\jucheck.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Avira\AntiVir Desktop\avscan.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=13166&l=dis R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q= R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q= R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com O1 - Hosts: 127.255.255.255 www.alcohol-soft.com O1 - Hosts: 127.255.255.255 images.alcohol-soft.com O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ClipIncSrvTray] "D:\Tobit ClipInc\Player\ClipIncTray.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Download video with Free Download Manager - file://C:\Programme\Free Download Manager\dlfvideo.htm O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Sothink SWF Catcher - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - https://account.maxdome.de/presentation/script/HWTest.CAB O17 - HKLM\System\CCS\Services\Tcpip\..\{E36DA06A-89C1-4832-BBD8-E6ED5A537BA5}: NameServer = 192.168.0.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: winmm.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - D:\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O24 - Desktop Component 1: Aqua Real 2 - AD0FABD2-7EAE-****-*****-****** -- End of file - 9073 bytes ---------------------------------------------------------------------- Ich bin für jeden Lösungsansatz dankbar. Beste Grüße squarehead |
16.10.2009, 21:29 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Delf.pgk infiziert ! Was tun? Hallo und
__________________Auf Deinen Windows XP Rechner fehlen einige wichtige Patches, dies nur erstmal vorweg, mehr dazu später. 1.) Lade dir Lop S&D herunter. Führe Lop S&D.exe per Doppelklick aus. Wähle die Sprache deiner Wahl und anschließend die Option 1. Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen). 2.) Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________ |
16.10.2009, 21:38 | #3 |
/// Helfer-Team | TR/Delf.pgk infiziert ! Was tun? Hallo und Herzlich Willkommen!
__________________In meinen Augen sieht nach nach eine Neuinstallation Deines kompletten Systems aus Woher hast Du das Programm Alcohol 120%, weil es hier gerade ums Nachhause-telefonieren geht und der Fund von Avira kann leicht auf einen Rootkit-Befall hinweisen Ohne nachzudenken, ich würde schon mein System sofort formatieren und neu zu installieren! gruß Cf |
16.10.2009, 22:22 | #4 |
| TR/Delf.pgk infiziert ! Was tun? Hallo! @ Coverflow (woher Alcohol 120?) --> von der offiziellen Website ! @cosinus Habe die Liste abgearbeitet (ccl->malware bytes->etc.) @ all Was mich seit einiger Zeit wundert, ist das Ungleichgewicht von gesendeten und empfangenden Dateien. Hier steht es in etwa im Verhältnis 1:3. ------------------------------------------------------------------------------ Malwarebytes' Anti-Malware 1.41 Datenbank Version: 2971 Windows 5.1.2600 Service Pack 2 16.10.2009 19:48:44 mbam-log-2009-10-16 (19-48-37).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 224780 Laufzeit: 1 hour(s), 0 minute(s), 57 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{71F5A8C8-5853-4EAB-B85C-E89FC8F6D5A3}\RP437\A0104622.exe (Malware.Tool) -> No action taken. C:\WINDOWS\PrayStation+001.dat (Trojan.Agent) -> No action taken. ------------------------------------------------------------------------------- --------------------\\ Lop S&D 4.2.5-0 XP/Vista Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 2 X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 5000+ ) BIOS : Default System BIOS USER : Administrator ( Administrator ) BOOT : Normal boot Antivirus : AntiVir Desktop 9.0.1.32 (Activated) A:\ (USB) C:\ (Local Disk) - NTFS - Total:149 Go (Free:10 Go) D:\ (Local Disk) - NTFS - Total:232 Go (Free:147 Go) E:\ (CD or DVD) G:\ (CD or DVD) "C:\Lop SD" ( MAJ : 19-12-2008|23:40 ) Option : [1] ( 16.10.2009|23:06 ) --------------------\\ Ordner Verzeichnis unter ANWEND~1 [12.01.2009|18:23] C:\DOKUME~1\ADMINI~1\ANWEND~1\Adobe [25.06.2008|14:41] C:\DOKUME~1\ADMINI~1\ANWEND~1\Ahead [28.03.2009|17:04] C:\DOKUME~1\ADMINI~1\ANWEND~1\aicon [17.08.2009|12:35] C:\DOKUME~1\ADMINI~1\ANWEND~1\Anthropics [17.06.2008|12:32] C:\DOKUME~1\ADMINI~1\ANWEND~1\Apple Computer [24.06.2009|18:01] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bioshock [31.08.2008|19:15] C:\DOKUME~1\ADMINI~1\ANWEND~1\BOM [04.09.2009|16:14] C:\DOKUME~1\ADMINI~1\ANWEND~1\Broken Sword 2.5 [13.07.2009|15:05] C:\DOKUME~1\ADMINI~1\ANWEND~1\CD-LabelPrint [18.07.2008|20:52] C:\DOKUME~1\ADMINI~1\ANWEND~1\Command & Conquer 3 Tiberium Wars [01.08.2008|20:41] C:\DOKUME~1\ADMINI~1\ANWEND~1\Corel [17.06.2008|13:59] C:\DOKUME~1\ADMINI~1\ANWEND~1\COWON [20.06.2008|11:01] C:\DOKUME~1\ADMINI~1\ANWEND~1\CyberLink [09.11.2008|16:42] C:\DOKUME~1\ADMINI~1\ANWEND~1\DivX [14.10.2009|00:11] C:\DOKUME~1\ADMINI~1\ANWEND~1\Free Download Manager [06.07.2008|16:25] C:\DOKUME~1\ADMINI~1\ANWEND~1\Google [28.06.2008|13:12] C:\DOKUME~1\ADMINI~1\ANWEND~1\Help [21.08.2008|11:09] C:\DOKUME~1\ADMINI~1\ANWEND~1\ICQ [11.06.2008|17:41] C:\DOKUME~1\ADMINI~1\ANWEND~1\Identities [11.06.2008|17:46] C:\DOKUME~1\ADMINI~1\ANWEND~1\InstallShield [23.08.2008|17:32] C:\DOKUME~1\ADMINI~1\ANWEND~1\Macromedia [16.10.2009|17:59] C:\DOKUME~1\ADMINI~1\ANWEND~1\Malwarebytes [09.06.2009|19:24] C:\DOKUME~1\ADMINI~1\ANWEND~1\Microsoft [21.06.2008|12:41] C:\DOKUME~1\ADMINI~1\ANWEND~1\Mozilla [22.06.2008|20:07] C:\DOKUME~1\ADMINI~1\ANWEND~1\My Battle for Middle-earth(tm) II Files [15.10.2008|22:51] C:\DOKUME~1\ADMINI~1\ANWEND~1\Opera [18.09.2009|12:33] C:\DOKUME~1\ADMINI~1\ANWEND~1\Real [28.05.2009|12:43] C:\DOKUME~1\ADMINI~1\ANWEND~1\Resolume [28.05.2009|12:43] C:\DOKUME~1\ADMINI~1\ANWEND~1\Resolume Avenue 3 [13.08.2008|19:41] C:\DOKUME~1\ADMINI~1\ANWEND~1\SecuROM [06.10.2009|23:26] C:\DOKUME~1\ADMINI~1\ANWEND~1\Skype [06.10.2009|20:27] C:\DOKUME~1\ADMINI~1\ANWEND~1\skypePM [23.06.2008|19:34] C:\DOKUME~1\ADMINI~1\ANWEND~1\Sun [11.06.2008|18:34] C:\DOKUME~1\ADMINI~1\ANWEND~1\Talkback [11.01.2009|21:00] C:\DOKUME~1\ADMINI~1\ANWEND~1\TeamViewer [11.06.2008|18:34] C:\DOKUME~1\ADMINI~1\ANWEND~1\Thunderbird [25.09.2008|12:53] C:\DOKUME~1\ADMINI~1\ANWEND~1\Tobit [21.06.2008|13:25] C:\DOKUME~1\ADMINI~1\ANWEND~1\TuneUp Software [14.06.2008|20:19] C:\DOKUME~1\ADMINI~1\ANWEND~1\Ubisoft [25.07.2009|17:29] C:\DOKUME~1\ADMINI~1\ANWEND~1\vlc [19.06.2009|20:43] C:\DOKUME~1\ADMINI~1\ANWEND~1\Vodafone [0|Datei(en)] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes [43|Verzeichnis(se),] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes frei [25.03.2009|18:14] C:\DOKUME~1\ALLUSE~1\ANWEND~1\2DBoy [16.10.2009|13:47] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe [23.06.2008|11:13] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe Systems [17.06.2008|12:29] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple [17.06.2008|12:32] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple Computer [15.10.2009|18:53] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira [12.09.2008|16:17] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Codemasters [11.06.2008|18:12] C:\DOKUME~1\ALLUSE~1\ANWEND~1\CyberLink [08.09.2009|12:58] C:\DOKUME~1\ALLUSE~1\ANWEND~1\DVD Shrink [12.01.2009|18:21] C:\DOKUME~1\ALLUSE~1\ANWEND~1\FLEXnet [06.07.2008|16:24] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google [19.06.2009|20:43] C:\DOKUME~1\ALLUSE~1\ANWEND~1\InstallShield [16.10.2009|17:59] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes [15.04.2009|20:45] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft [23.06.2008|20:06] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft Corporation [12.08.2009|17:44] C:\DOKUME~1\ALLUSE~1\ANWEND~1\NOS [17.06.2008|13:43] C:\DOKUME~1\ALLUSE~1\ANWEND~1\nView_Profiles [17.06.2008|12:25] C:\DOKUME~1\ALLUSE~1\ANWEND~1\QuickTime [28.05.2009|12:43] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Resolume Avenue 3 [16.06.2008|12:02] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Skype [13.08.2009|17:52] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SlySoft [09.10.2009|15:21] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Soulseek [16.10.2009|17:54] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy [03.10.2008|19:01] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP [11.06.2008|17:40] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software [14.06.2008|20:13] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ubisoft [19.06.2009|20:42] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Vodafone [15.04.2009|20:56] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage [15.06.2008|20:10] C:\DOKUME~1\ALLUSE~1\ANWEND~1\WLInstaller [0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes [31|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei [11.06.2008|17:32] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft [0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes [3|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei [11.06.2009|18:16] C:\DOKUME~1\LOCALS~1\ANWEND~1\Adobe [11.06.2008|17:32] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft [19.06.2009|20:42] C:\DOKUME~1\LOCALS~1\ANWEND~1\Vodafone [0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes [5|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei [11.06.2008|17:32] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft [0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes [3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei --------------------\\ Geplante Aufgaben unter C:\WINDOWS\Tasks [14.05.2009 17:35][--ah-----] C:\WINDOWS\tasks\Microsoft_Hardware_Launch_IPoint_exe.job [16.10.2009 23:01][--a------] C:\WINDOWS\tasks\1-Klick-Wartung.job [16.10.2009 19:52][--ah-----] C:\WINDOWS\tasks\SA.DAT [10.10.2005 14:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini --------------------\\ Ordner Verzeichnis unter C:\Programme [13.08.2008|19:28] C:\Programme\2K Games [25.07.2009|18:16] C:\Programme\Aashima [08.07.2009|14:07] C:\Programme\Abandon Loader [16.10.2009|13:47] C:\Programme\Adobe [20.06.2008|11:22] C:\Programme\Ahead [28.03.2009|17:04] C:\Programme\aicon [13.06.2008|13:19] C:\Programme\Alcohol Soft [15.10.2009|18:29] C:\Programme\Alwil Software [03.09.2008|17:30] C:\Programme\AMD [17.06.2008|12:29] C:\Programme\Apple Software Update [22.06.2008|20:53] C:\Programme\AquaMark3 [26.05.2009|17:09] C:\Programme\AskSearch [15.10.2009|18:53] C:\Programme\Avira [29.06.2008|18:12] C:\Programme\Bethesda Softworks [15.08.2008|15:42] C:\Programme\Biet-O-Matic [04.09.2009|16:01] C:\Programme\Broken Sword 2.5 [04.10.2008|11:45] C:\Programme\CamStudio [23.06.2008|11:45] C:\Programme\Canon [16.10.2009|17:50] C:\Programme\CCleaner [31.07.2009|12:21] C:\Programme\Cheat Engine [16.09.2008|16:36] C:\Programme\Codemasters [18.08.2008|22:40] C:\Programme\ColorPic 4.1 [11.06.2008|17:29] C:\Programme\ComPlus Applications [03.08.2008|18:03] C:\Programme\Corel [22.06.2008|19:23] C:\Programme\Creative [02.08.2008|14:40] C:\Programme\CyberLink [05.10.2008|16:00] C:\Programme\DevalVR [25.07.2009|18:16] C:\Programme\directx [09.11.2008|14:50] C:\Programme\DivX [08.07.2009|13:24] C:\Programme\DOSBox-0.65 [20.06.2008|11:21] C:\Programme\DVD Shrink DE [11.06.2009|14:28] C:\Programme\EA Games [12.07.2008|18:30] C:\Programme\Elaborate Bytes [18.07.2008|20:45] C:\Programme\Electronic Arts [19.05.2009|14:15] C:\Programme\ElsterFormular [25.12.2008|16:07] C:\Programme\ffdshow [25.07.2009|22:15] C:\Programme\FLStudio4 [11.01.2009|20:10] C:\Programme\Formosoft [30.03.2009|21:09] C:\Programme\Free Download Manager [26.04.2009|16:02] C:\Programme\Full Tilt Poker [16.10.2009|13:45] C:\Programme\Gemeinsame Dateien [02.08.2008|16:26] C:\Programme\Google [11.06.2008|17:39] C:\Programme\HighMAT CD Writing Wizard [16.03.2009|21:01] C:\Programme\ICQ6 [07.07.2009|23:39] C:\Programme\Im Dschungel der kleinsten Teilchen [02.08.2008|14:54] C:\Programme\Image-Line [25.06.2009|18:28] C:\Programme\Infogrames [25.07.2009|18:16] C:\Programme\InstallShield Installation Information [04.09.2009|20:48] C:\Programme\Internet Explorer [29.07.2009|11:02] C:\Programme\Java [18.07.2009|15:21] C:\Programme\JetAudio [18.04.2009|13:47] C:\Programme\Last.fm [20.09.2008|16:34] C:\Programme\LucasArts [12.09.2008|16:16] C:\Programme\Magic Swf2Gif [16.10.2009|17:59] C:\Programme\Malwarebytes' Anti-Malware [04.09.2008|15:36] C:\Programme\Messenger [11.06.2008|17:35] C:\Programme\microsoft frontpage [14.05.2009|17:34] C:\Programme\Microsoft IntelliPoint [17.06.2008|21:14] C:\Programme\Microsoft Office [05.09.2008|10:28] C:\Programme\Movie Maker [16.10.2009|23:02] C:\Programme\Mozilla Firefox [16.10.2009|10:54] C:\Programme\Mozilla Thunderbird [21.06.2008|12:07] C:\Programme\msn [11.06.2008|17:35] C:\Programme\msn gaming zone [22.06.2008|23:31] C:\Programme\MSXML 4.0 [14.05.2009|16:48] C:\Programme\MSXML 6.0 [05.09.2008|10:28] C:\Programme\NetMeeting [12.08.2009|17:44] C:\Programme\NOS [22.06.2008|20:31] C:\Programme\NVIDIA Corporation [11.06.2008|17:31] C:\Programme\Online-Dienste [20.07.2008|16:01] C:\Programme\OpenAL [04.09.2009|20:47] C:\Programme\Outlook Express [25.06.2008|14:53] C:\Programme\Outsim [26.04.2009|16:02] C:\Programme\PartyGaming [12.08.2008|19:35] C:\Programme\PENDULO Studios [19.08.2009|15:33] C:\Programme\Portrait Professional Max 6 [06.08.2008|13:20] C:\Programme\Project64 v1.5 [17.06.2008|12:29] C:\Programme\QuickTime [11.06.2008|17:45] C:\Programme\Realtek [25.08.2008|20:11] C:\Programme\Rockstar Games [16.06.2008|12:02] C:\Programme\Skype [10.09.2009|17:55] C:\Programme\SlySoft [04.09.2009|13:15] C:\Programme\SmartCam [26.06.2008|12:30] C:\Programme\Snes9x [20.07.2008|12:56] C:\Programme\SoulseekNS [25.07.2009|17:07] C:\Programme\SourceTec [15.08.2009|12:02] C:\Programme\Spybot - Search & Destroy [15.07.2009|23:23] C:\Programme\SRWare Iron [16.06.2008|16:02] C:\Programme\TeamViewer3 [28.07.2008|16:38] C:\Programme\Temp [12.07.2008|18:33] C:\Programme\THQ [16.10.2009|15:12] C:\Programme\Trend Micro [15.10.2009|18:14] C:\Programme\TuneUp Utilities 2008 [25.12.2008|16:04] C:\Programme\TVersity [14.08.2009|14:53] C:\Programme\Ubisoft [11.06.2008|17:41] C:\Programme\Uninstall Information [02.09.2008|17:44] C:\Programme\Unreal Tournament 2004 [25.07.2009|17:23] C:\Programme\VideoLAN [23.05.2009|18:54] C:\Programme\Vivendi Universal Games [03.07.2009|12:18] C:\Programme\Vodei [25.07.2009|22:15] C:\Programme\VstPlugins [15.06.2008|20:17] C:\Programme\Windows Live [27.04.2009|15:28] C:\Programme\Windows Media Connect 2 [27.04.2009|15:29] C:\Programme\Windows Media Player [05.09.2008|10:28] C:\Programme\Windows NT [11.06.2008|17:31] C:\Programme\WindowsUpdate [22.09.2009|18:16] C:\Programme\WinRAR [29.03.2009|19:29] C:\Programme\WorldOfGoo [11.06.2008|17:35] C:\Programme\xerox [05.10.2008|15:37] C:\Programme\Zattoo [0|Datei(en)] C:\Programme\Bytes [112|Verzeichnis(se),] C:\Programme\Bytes frei --------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien [16.10.2009|13:46] C:\Programme\Gemeinsame Dateien\Adobe [23.06.2008|11:12] C:\Programme\Gemeinsame Dateien\Adobe Systems Shared [20.06.2008|11:22] C:\Programme\Gemeinsame Dateien\Ahead [22.08.2008|12:15] C:\Programme\Gemeinsame Dateien\COWON [17.06.2008|21:14] C:\Programme\Gemeinsame Dateien\DESIGNER [11.06.2008|17:30] C:\Programme\Gemeinsame Dateien\Dienste [19.06.2009|20:42] C:\Programme\Gemeinsame Dateien\InstallShield [21.06.2008|20:34] C:\Programme\Gemeinsame Dateien\Java [13.08.2008|19:41] C:\Programme\Gemeinsame Dateien\Microsoft Shared [11.06.2008|17:30] C:\Programme\Gemeinsame Dateien\MSSoap [11.06.2008|18:25] C:\Programme\Gemeinsame Dateien\ODBC [18.07.2009|16:34] C:\Programme\Gemeinsame Dateien\Real [16.06.2008|12:02] C:\Programme\Gemeinsame Dateien\Skype [25.07.2009|17:07] C:\Programme\Gemeinsame Dateien\SourceTec [11.06.2008|18:25] C:\Programme\Gemeinsame Dateien\SpeechEngines [05.09.2008|10:28] C:\Programme\Gemeinsame Dateien\System [25.09.2008|12:52] C:\Programme\Gemeinsame Dateien\Tobit [15.06.2008|20:17] C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller [12.09.2008|16:18] C:\Programme\Gemeinsame Dateien\Wise Installation Wizard [18.07.2009|16:34] C:\Programme\Gemeinsame Dateien\xing shared [0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes [22|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei --------------------\\ Process ( 45 Processes ) ... OK ! --------------------\\ Ueberpruefung mit S_Lop Kein Lop Ordner gefunden ! --------------------\\ Suche nach Lop Dateien - Ordnern Kein Lop Ordner gefunden ! --------------------\\ Suche innerhalb der Registry ..... OK ! --------------------\\ Ueberpruefung der Hosts Datei Hosts Datei SAUBER --------------------\\ Suche nach verborgenen Dateien mit Catchme catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2009-10-16 23:07:24 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden files: 0 --------------------\\ Suche nach anderen Infektionen --------------------\\ Cracks & Keygens .. C:\DOKUME~1\ADMINI~1\Eigene Dateien\Eigene Musik\Hudson Mohawke - Butter - 2009\16. Hudson Mohawke - Star Crackout.mp3 [F:100][D:15]-> C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp [F:1][D:0]-> C:\DOKUME~1\ADMINI~1\Cookies [F:6][D:4]-> C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\content.IE5 1 - "C:\Lop SD\LopR_1.txt" - 16.10.2009|23:08 - Option : [1] --------------------\\ Scan beendet um 23:08:22 Ich hoffe ich habe nichts vergessen ?! Danke schon mal im Voraus euch beiden :-) Gruß vom S. |
16.10.2009, 22:25 | #5 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Delf.pgk infiziert ! Was tun? RSIT hast Du vergessen und die Logfiles sollten eigentlich bei file-upload.net hochgeladen werden.
__________________ Logfiles bitte immer in CODE-Tags posten |
16.10.2009, 22:41 | #6 |
| TR/Delf.pgk infiziert ! Was tun? Sorry cosinus ! Ich hatte ja nun bereits ein Logfile aus HijackThis gepostet und dachte das die Infos aus dem File schon zur Auswertung genügen. Beim nächsten Mal werde ich die Files gleich bei einem "oneclickhoster" deponieren. Hier noch mal die Logfiles aus RSIT--> h**p://www.file-upload.net/download-1950283/rsit.zip.html Danke nochmals ;-) Hoffe doch mein System ist noch zu retten. Einfach mal eben "Platt" machen möchte ich mir eigentlich an dieser Stelle ersparen. |
16.10.2009, 22:55 | #7 | |
| TR/Delf.pgk infiziert ! Was tun?Zitat:
So sollte es stimmen |
17.10.2009, 16:47 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Delf.pgk infiziert ! Was tun? Bitte mal den Avenger anwenden Vorbereitungen: a) Deaktiviere den Hintergrundwächter vom Virenscanner. b) Stöpsele alle externen Datenträger vom Rechner ab. Danach: 1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop 2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code:
ATTFilter regisry values to delete: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | WinSys2 files to delete: C:\WINDOWS\system32\winsys2.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\oUltraf.sys drivers to delete: oUltraf 5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken.
__________________ Logfiles bitte immer in CODE-Tags posten |
17.10.2009, 19:41 | #9 |
| TR/Delf.pgk infiziert ! Was tun? Hi cosinus ! Bin deinem Ansatz gefolgt und habe den Avenger durchlaufen lassen. h**p://www.file-upload.net/download-1951965/backup.zip.html ---------------------------------------------------------------- ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Platform: Windows XP (build 2600, Service Pack 2) Sat Oct 17 20:29:17 2009 20:29:17: Error: Invalid script. A valid script must begin with a command directive. Aborting execution! ////////////////////////////////////////// Logfile of The Avenger Version 2.0, (c) by Swandog46 h**p://swandog46.geekstogo.com]Swandog46's Public Anti-Malware Tools Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\WINDOWS\system32\winsys2.exe" deleted successfully. Error: file "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\oUltraf.sys" not found! Deletion of file "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\oUltraf.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Driver "oUltraf" deleted successfully. Registry value "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run|WinSys2" deleted successfully. Completed script processing. ******************* Finished! Terminate. ------------------------------------------------------------------------- Danke für im Voraus für deinen Einsatz. Super Forum ... ganz großen Respekt :-) Beste Grüße aus Berlin Geändert von squarehead (17.10.2009 um 19:57 Uhr) Grund: url links deaktiviert |
18.10.2009, 13:49 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Delf.pgk infiziert ! Was tun? Mach mal bitte einen Durchlauf mit Combofix: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
18.10.2009, 17:30 | #11 |
| TR/Delf.pgk infiziert ! Was tun? ComboFix ist durchgelaufen. Ich frage mich nur warum CF mich um einen nicht ganz unrelevanten Order beraubt hat. Hoffe doch das lässt sich wieder herstellen. ^^ -------------------------------------------------------------------------------------- ComboFix 09-10-17.01 - Administrator 18.10.2009 18:02.1.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.2047.1509 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . ADS - system32: deleted 40 bytes in 1 streams. ADS - WINDOWS: deleted 24 bytes in 1 streams. (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Images c:\programme\AskSearch\bin\DefaultSearch.dll c:\windows\system32\BReWErS.dll . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_OULTRAF ((((((((((((((((((((((( Dateien erstellt von 2009-09-18 bis 2009-10-18 )))))))))))))))))))))))))))))) . 2009-10-16 21:28 . 2009-10-16 21:28 -------- d-----w- C:\rsit 2009-10-16 21:05 . 2009-10-16 21:08 -------- d-----w- C:\Lop SD 2009-10-16 15:59 . 2009-10-16 15:59 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2009-10-16 15:59 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-10-16 15:59 . 2009-10-16 15:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-10-16 15:59 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-10-16 15:59 . 2009-10-16 15:59 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-10-16 15:50 . 2009-10-16 15:50 -------- d-----w- c:\programme\CCleaner 2009-10-16 13:12 . 2009-10-16 13:12 -------- d-----w- c:\programme\Trend Micro 2009-10-15 16:53 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys 2009-10-15 16:53 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys 2009-10-15 16:53 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys 2009-10-15 16:53 . 2009-10-15 16:53 -------- d-----w- c:\programme\Avira 2009-10-15 16:53 . 2009-10-15 16:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2009-10-15 16:29 . 2009-10-15 16:29 -------- d-----w- c:\programme\Alwil Software . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-10-16 15:54 . 2009-08-15 10:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-10-16 11:46 . 2008-06-21 11:46 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe 2009-10-16 08:54 . 2008-06-11 16:32 -------- d-----w- c:\programme\Mozilla Thunderbird 2009-10-15 16:14 . 2008-06-21 11:25 -------- d-----w- c:\programme\TuneUp Utilities 2008 2009-10-13 22:11 . 2008-06-12 12:23 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Free Download Manager 2009-10-09 13:21 . 2008-07-20 10:56 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Soulseek 2009-10-06 21:26 . 2008-06-16 10:03 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype 2009-10-06 18:27 . 2008-06-16 10:04 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\skypePM 2009-09-11 14:31 . 2005-10-10 12:00 133632 ----a-w- c:\windows\system32\msv1_0.dll 2009-09-10 15:55 . 2009-08-13 14:37 -------- d-----w- c:\programme\SlySoft 2009-09-08 10:58 . 2008-06-20 09:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink 2009-09-04 20:45 . 2005-10-10 12:00 58880 ----a-w- c:\windows\system32\msasn1.dll 2009-09-04 14:14 . 2009-09-04 14:01 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Broken Sword 2.5 2009-09-04 14:01 . 2009-09-04 14:00 -------- d-----w- c:\programme\Broken Sword 2.5 2009-09-04 11:15 . 2009-09-04 11:15 -------- d-----w- c:\programme\SmartCam 2009-08-26 08:14 . 2005-10-10 12:00 247326 ----a-w- c:\windows\system32\strmdll.dll 2009-08-05 09:05 . 2005-10-10 12:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll 2009-08-04 17:52 . 2009-08-04 17:52 1193832 ----a-w- c:\windows\system32\FM20.DLL 2009-08-04 17:03 . 2005-10-10 12:00 2138624 ----a-w- c:\windows\system32\ntoskrnl.exe 2009-08-04 17:03 . 2005-10-10 12:00 2018304 ----a-w- c:\windows\system32\ntkrnlpa.exe 2009-07-29 09:02 . 2009-07-29 09:02 410984 ----a-w- c:\windows\system32\deploytk.dll 2009-07-29 04:48 . 2005-10-10 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll 2009-07-29 04:48 . 2005-10-10 12:00 82432 ----a-w- c:\windows\system32\fontsub.dll 2009-07-28 14:33 . 2009-05-16 12:54 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2008-07-12 16:32 . 2008-07-12 16:32 0 --sh--w- c:\windows\SF253398A.tmp . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ClipIncSrvTray"="d:\tobit clipinc\Player\ClipIncTray.exe" [2009-03-16 668424] "SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-05-27 413696] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-29 148888] "VirtualCloneDrive"="c:\programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2006-04-29 94208] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016] "amd_dc_opt"="c:\programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2008-07-22 77824] "IntelliPoint"="c:\programme\Microsoft IntelliPoint\ipoint.exe" [2008-06-10 1406024] "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-07-18 198160] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] " Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080] "RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-10-30 16269312] "SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488] "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-05-03 1630208] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2005-10-10 15360] c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\ TransBar.lnk - c:\windows\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-6-1 65536] UberIcon.lnk - c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-5-21 180224] Y'z Shadow.lnk - c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-5-21 155648] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\THQ\\Company of Heroes\\RelicCOH.exe"= "c:\\Programme\\Snes9x\\Snes9XW.exe"= "c:\\Programme\\Unreal Tournament 2004\\System\\UT2004.exe"= "c:\\Team17\\Worms World Party\\wwp.exe"= "c:\\Programme\\Codemasters\\Worms 4 Mayhem\\WORMS 4 MAYHEM.EXE"= "c:\\Programme\\LucasArts\\Star Wars Battlefront II\\GameData\\BattlefrontII.exe"= "d:\\Tobit ClipInc\\Server\\ClipInc-Server.exe"= "d:\\Tobit ClipInc\\Player\\ClipInc-Player.exe"= "c:\\Programme\\Zattoo\\zattood.exe"= "c:\\Programme\\Zattoo\\Zattoo2.exe"= "c:\\Dokumente und Einstellungen\\Administrator\\Desktop\\Neuer Ordner (2)\\p2pNode.exe"= "c:\\Programme\\ICQ6\\ICQ.exe"= "c:\\Programme\\EA Games\\Battlefield 2\\BF2.exe"= "c:\\Programme\\SmartCam\\SmartCam.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.10.2009 18:53 108289] R2 ClipInc001;ClipInc 001;d:\tobit clipinc\Server\ClipInc-Server.exe 001 --> d:\tobit clipinc\Server\ClipInc-Server.exe 001 [?] S2 UDTTCAP;USBDTT - USB 1.1 DVB-T adapter Driver;c:\windows\system32\drivers\UDTTCAP.sys [28.06.2008 14:13 24646] S3 CCCP106;TRUST 120 SPACEC@M;c:\windows\system32\drivers\cccp106.sys [25.07.2009 18:16 227200] S3 gHidPnp;USB Device Enhanced Function Driver;c:\windows\system32\Drivers\gHidPnp.Sys --> c:\windows\system32\Drivers\gHidPnp.Sys [?] S3 gMouPS2;PS2 Scroll Mouse Device;c:\windows\system32\DRIVERS\gMouPS2.sys --> c:\windows\system32\DRIVERS\gMouPS2.sys [?] S3 gMouUsb;USB Mouse Device Drv;c:\windows\system32\DRIVERS\gMouUsb.sys --> c:\windows\system32\DRIVERS\gMouUsb.sys [?] S3 S6U12Scanner;MUSTEK 1200 CU Still Image Device Service;c:\windows\system32\drivers\UsbScan.sys [28.07.2008 16:38 15104] S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?] S3 UDTTLOAD;UDTTLOAD;c:\windows\system32\drivers\UDTTload.sys [28.06.2008 14:13 17754] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners 2009-10-18 c:\windows\Tasks\1-Klick-Wartung.job - c:\programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-11 16:47] 2009-05-14 c:\windows\Tasks\Microsoft_Hardware_Launch_IPoint_exe.job - c:\programme\Microsoft IntelliPoint\ipoint.exe [2008-06-10 19:56] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.ask.com/?o=13166&l=dis uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s IE: Download all with Free Download Manager - file://c:\programme\Free Download Manager\dlall.htm IE: Download selected with Free Download Manager - file://c:\programme\Free Download Manager\dlselected.htm IE: Download video with Free Download Manager - file://c:\programme\Free Download Manager\dlfvideo.htm IE: Download with Free Download Manager - file://c:\programme\Free Download Manager\dllink.htm IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: Sothink SWF Catcher - c:\programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm TCP: {E36DA06A-89C1-4832-BBD8-E6ED5A537BA5} = 192.168.0.1 DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} - hxxps://account.maxdome.de/presentation/script/HWTest.CAB FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ktx9lhpd.default\ FF - prefs.js: browser.search.selectedEngine - Google Deutschland - aus Deutschland FF - prefs.js: browser.startup.homepage - hxxp://209.85.135.147/ FF - component: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ktx9lhpd.default\extensions\piclens@cooliris.com\components\cooliris.dll FF - component: c:\programme\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll FF - plugin: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ktx9lhpd.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll FF - plugin: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ktx9lhpd.default\extensions\battlefieldheroespatcher@ea.com\platform\WINNT_x86-msvc\plugins\npBFHUpdater.dll FF - plugin: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ktx9lhpd.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2009-10-18 18:07 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-682003330-602609370-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Electronic Arts\C*o*m*m*a*n*d* *&* *C*o*n*q*u*e*r* *3* *T*i*b*e*r*i*u*m* *W*a*r*s*"!\Kundendienst] "Order"=hex:08,00,00,00,02,00,00,00,b8,02,00,00,01,00,00,00,04,00,00,00,de,00, 00,00,00,00,00,00,d0,00,00,00,41,75,67,4d,02,00,00,00,01,00,00,00,be,00,32,\ [HKEY_USERS\S-1-5-21-682003330-602609370-839522115-500\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:ec,fd,6b,5a,13,57,98,37,26,7f,ea,de,b3,80,fc,0b,65,0d,79,3b,6d,c5,81, ae,32,dd,d1,56,e0,2b,81,01,0c,1f,6e,e7,8d,cd,55,78,2b,27,15,1e,c2,17,9a,60,\ "??"=hex:cf,55,c7,95,2b,14,4d,f8,66,7b,0c,1b,19,52,fe,22 [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*] "5E7CEC10DF0760D4F8DAFB12FDC06CCD"="02:\\Software\\Adobe\\FeatureSubscriptions\\DVAAdobeDocMeta\\{01CEC7E5-70FD-4D06-8FAD-BF21DF0CC6DC}\\Registered" "7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(812) c:\windows\system32\sfc_os.dll - - - - - - - > 'explorer.exe'(2420) c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.dll d:\tobit clipinc\Player\ChargedByClipInc.dll c:\progra~1\WINDOW~2\wmpband.dll c:\windows\system32\NETSHELL.dll c:\windows\system32\credui.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Avira\AntiVir Desktop\avguard.exe d:\tobit clipinc\Server\ClipInc-Server.exe c:\programme\Java\jre6\bin\jqs.exe c:\windows\system32\nvsvc32.exe c:\windows\system32\PnkBstrA.exe c:\windows\system32\PnkBstrB.exe c:\combofix\CF4645.exe c:\windows\system32\rundll32.exe c:\programme\Java\jre6\bin\jucheck.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-10-18 18:12 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-10-18 16:12 Vor Suchlauf: 12 Verzeichnis(se), 10.946.093.056 Bytes frei Nach Suchlauf: 15 Verzeichnis(se), 10.903.973.888 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer 218 --- E O F --- 2009-10-17 14:57 --------------------------------------------------------------------------------- Ps: Natürlich habe ich auch Schritt 2. beherzigt. CC hat im Vorfeld seine Arbeit verrichtet. Grüße vom S. |
18.10.2009, 18:10 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Delf.pgk infiziert ! Was tun? Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter KILLALL:: RegNull:: [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*] File:: c:\windows\SF253398A.tmp 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die ComboFix.exe (oder eben cofi.exe), so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
18.10.2009, 18:42 | #13 |
| TR/Delf.pgk infiziert ! Was tun? Die combofix.txt habe ich nicht entdecken können. Ich Poste stattdessen die Logfile. Hoffe du meinst dieses Log. ------------------------------------------------------------------------- ComboFix 09-10-17.01 - Administrator 18.10.2009 19:23.2.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.2047.1582 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator\Desktop\CFScript.txt AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} FILE :: "c:\windows\SF253398A.tmp" . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\SF253398A.tmp . ((((((((((((((((((((((( Dateien erstellt von 2009-09-18 bis 2009-10-18 )))))))))))))))))))))))))))))) . 2009-10-16 21:28 . 2009-10-16 21:28 -------- d-----w- C:\rsit 2009-10-16 21:05 . 2009-10-16 21:08 -------- d-----w- C:\Lop SD 2009-10-16 15:59 . 2009-10-16 15:59 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2009-10-16 15:59 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-10-16 15:59 . 2009-10-16 15:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-10-16 15:59 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-10-16 15:59 . 2009-10-16 15:59 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-10-16 15:50 . 2009-10-16 15:50 -------- d-----w- c:\programme\CCleaner 2009-10-16 13:12 . 2009-10-16 13:12 -------- d-----w- c:\programme\Trend Micro 2009-10-15 16:53 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys 2009-10-15 16:53 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys 2009-10-15 16:53 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys 2009-10-15 16:53 . 2009-10-15 16:53 -------- d-----w- c:\programme\Avira 2009-10-15 16:53 . 2009-10-15 16:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2009-10-15 16:29 . 2009-10-15 16:29 -------- d-----w- c:\programme\Alwil Software . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-10-18 16:57 . 2008-06-11 16:02 19936 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-10-18 16:52 . 2008-06-11 16:32 -------- d-----w- c:\programme\Mozilla Thunderbird 2009-10-16 15:54 . 2009-08-15 10:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-10-16 11:46 . 2008-06-21 11:46 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe 2009-10-15 16:14 . 2008-06-21 11:25 -------- d-----w- c:\programme\TuneUp Utilities 2008 2009-10-13 22:11 . 2008-06-12 12:23 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Free Download Manager 2009-10-09 13:21 . 2008-07-20 10:56 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Soulseek 2009-10-06 21:26 . 2008-06-16 10:03 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype 2009-10-06 18:27 . 2008-06-16 10:04 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\skypePM 2009-09-11 14:31 . 2005-10-10 12:00 133632 ----a-w- c:\windows\system32\msv1_0.dll 2009-09-10 15:55 . 2009-08-13 14:37 -------- d-----w- c:\programme\SlySoft 2009-09-08 10:58 . 2008-06-20 09:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink 2009-09-04 20:45 . 2005-10-10 12:00 58880 ----a-w- c:\windows\system32\msasn1.dll 2009-09-04 14:14 . 2009-09-04 14:01 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Broken Sword 2.5 2009-09-04 14:01 . 2009-09-04 14:00 -------- d-----w- c:\programme\Broken Sword 2.5 2009-09-04 11:15 . 2009-09-04 11:15 -------- d-----w- c:\programme\SmartCam 2009-08-26 08:14 . 2005-10-10 12:00 247326 ----a-w- c:\windows\system32\strmdll.dll 2009-08-05 09:05 . 2005-10-10 12:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll 2009-08-04 17:52 . 2009-08-04 17:52 1193832 ----a-w- c:\windows\system32\FM20.DLL 2009-08-04 17:03 . 2005-10-10 12:00 2138624 ----a-w- c:\windows\system32\ntoskrnl.exe 2009-08-04 17:03 . 2005-10-10 12:00 2018304 ----a-w- c:\windows\system32\ntkrnlpa.exe 2009-07-29 09:02 . 2009-07-29 09:02 410984 ----a-w- c:\windows\system32\deploytk.dll 2009-07-29 04:48 . 2005-10-10 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll 2009-07-29 04:48 . 2005-10-10 12:00 82432 ----a-w- c:\windows\system32\fontsub.dll 2009-07-28 14:33 . 2009-05-16 12:54 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys . ((((((((((((((((((((((((((((( SnapShot@2009-10-18_16.07.45 ))))))))))))))))))))))))))))))))))))))))) . + 2009-10-18 17:28 . 2009-10-18 17:28 16384 c:\windows\temp\Perflib_Perfdata_180.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ClipIncSrvTray"="d:\tobit clipinc\Player\ClipIncTray.exe" [2009-03-16 668424] "SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-05-27 413696] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-29 148888] "VirtualCloneDrive"="c:\programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2006-04-29 94208] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016] "amd_dc_opt"="c:\programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2008-07-22 77824] "IntelliPoint"="c:\programme\Microsoft IntelliPoint\ipoint.exe" [2008-06-10 1406024] "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-07-18 198160] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] " Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080] "RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-10-30 16269312] "SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488] "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-05-03 1630208] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2005-10-10 15360] c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\ TransBar.lnk - c:\windows\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-6-1 65536] UberIcon.lnk - c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-5-21 180224] Y'z Shadow.lnk - c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-5-21 155648] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\THQ\\Company of Heroes\\RelicCOH.exe"= "c:\\Programme\\Snes9x\\Snes9XW.exe"= "c:\\Programme\\Unreal Tournament 2004\\System\\UT2004.exe"= "c:\\Team17\\Worms World Party\\wwp.exe"= "c:\\Programme\\Codemasters\\Worms 4 Mayhem\\WORMS 4 MAYHEM.EXE"= "c:\\Programme\\LucasArts\\Star Wars Battlefront II\\GameData\\BattlefrontII.exe"= "d:\\Tobit ClipInc\\Server\\ClipInc-Server.exe"= "d:\\Tobit ClipInc\\Player\\ClipInc-Player.exe"= "c:\\Programme\\Zattoo\\zattood.exe"= "c:\\Programme\\Zattoo\\Zattoo2.exe"= "c:\\Dokumente und Einstellungen\\Administrator\\Desktop\\Neuer Ordner (2)\\p2pNode.exe"= "c:\\Programme\\ICQ6\\ICQ.exe"= "c:\\Programme\\EA Games\\Battlefield 2\\BF2.exe"= "c:\\Programme\\SmartCam\\SmartCam.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.10.2009 18:53 108289] R2 ClipInc001;ClipInc 001;d:\tobit clipinc\Server\ClipInc-Server.exe 001 --> d:\tobit clipinc\Server\ClipInc-Server.exe 001 [?] S2 UDTTCAP;USBDTT - USB 1.1 DVB-T adapter Driver;c:\windows\system32\drivers\UDTTCAP.sys [28.06.2008 14:13 24646] S3 CCCP106;TRUST 120 SPACEC@M;c:\windows\system32\drivers\cccp106.sys [25.07.2009 18:16 227200] S3 gHidPnp;USB Device Enhanced Function Driver;c:\windows\system32\Drivers\gHidPnp.Sys --> c:\windows\system32\Drivers\gHidPnp.Sys [?] S3 gMouPS2;PS2 Scroll Mouse Device;c:\windows\system32\DRIVERS\gMouPS2.sys --> c:\windows\system32\DRIVERS\gMouPS2.sys [?] S3 gMouUsb;USB Mouse Device Drv;c:\windows\system32\DRIVERS\gMouUsb.sys --> c:\windows\system32\DRIVERS\gMouUsb.sys [?] S3 S6U12Scanner;MUSTEK 1200 CU Still Image Device Service;c:\windows\system32\drivers\UsbScan.sys [28.07.2008 16:38 15104] S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?] S3 UDTTLOAD;UDTTLOAD;c:\windows\system32\drivers\UDTTload.sys [28.06.2008 14:13 17754] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners 2009-10-18 c:\windows\Tasks\1-Klick-Wartung.job - c:\programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-11 16:47] 2009-05-14 c:\windows\Tasks\Microsoft_Hardware_Launch_IPoint_exe.job - c:\programme\Microsoft IntelliPoint\ipoint.exe [2008-06-10 19:56] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.ask.com/?o=13166&l=dis uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s IE: Download all with Free Download Manager - file://c:\programme\Free Download Manager\dlall.htm IE: Download selected with Free Download Manager - file://c:\programme\Free Download Manager\dlselected.htm IE: Download video with Free Download Manager - file://c:\programme\Free Download Manager\dlfvideo.htm IE: Download with Free Download Manager - file://c:\programme\Free Download Manager\dllink.htm IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: Sothink SWF Catcher - c:\programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm TCP: {E36DA06A-89C1-4832-BBD8-E6ED5A537BA5} = 192.168.0.1 DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} - hxxps://account.maxdome.de/presentation/script/HWTest.CAB FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ktx9lhpd.default\ FF - prefs.js: browser.search.selectedEngine - Google Deutschland - aus Deutschland FF - prefs.js: browser.startup.homepage - hxxp://209.85.135.147/ FF - component: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ktx9lhpd.default\extensions\piclens@cooliris.com\components\cooliris.dll FF - component: c:\programme\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll FF - plugin: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ktx9lhpd.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll FF - plugin: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ktx9lhpd.default\extensions\battlefieldheroespatcher@ea.com\platform\WINNT_x86-msvc\plugins\npBFHUpdater.dll FF - plugin: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ktx9lhpd.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-10-18 19:29 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-682003330-602609370-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Electronic Arts\C*o*m*m*a*n*d* *&* *C*o*n*q*u*e*r* *3* *T*i*b*e*r*i*u*m* *W*a*r*s*"!\Kundendienst] "Order"=hex:08,00,00,00,02,00,00,00,b8,02,00,00,01,00,00,00,04,00,00,00,de,00, 00,00,00,00,00,00,d0,00,00,00,41,75,67,4d,02,00,00,00,01,00,00,00,be,00,32,\ [HKEY_USERS\S-1-5-21-682003330-602609370-839522115-500\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:ec,fd,6b,5a,13,57,98,37,26,7f,ea,de,b3,80,fc,0b,65,0d,79,3b,6d,c5,81, ae,32,dd,d1,56,e0,2b,81,01,0c,1f,6e,e7,8d,cd,55,78,2b,27,15,1e,c2,17,9a,60,\ "??"=hex:cf,55,c7,95,2b,14,4d,f8,66,7b,0c,1b,19,52,fe,22 [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*] "5E7CEC10DF0760D4F8DAFB12FDC06CCD"="02:\\Software\\Adobe\\FeatureSubscriptions\\DVAAdobeDocMeta\\{01CEC7E5-70FD-4D06-8FAD-BF21DF0CC6DC}\\Registered" "7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(812) c:\windows\system32\sfc_os.dll - - - - - - - > 'explorer.exe'(2388) c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.dll c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon.dll d:\tobit clipinc\Player\ChargedByClipInc.dll c:\progra~1\WINDOW~2\wmpband.dll c:\windows\system32\NETSHELL.dll c:\windows\system32\credui.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Avira\AntiVir Desktop\avguard.exe d:\tobit clipinc\Server\ClipInc-Server.exe c:\programme\Java\jre6\bin\jqs.exe c:\windows\system32\nvsvc32.exe c:\windows\system32\PnkBstrA.exe c:\windows\system32\PnkBstrB.exe c:\combofix\CF1636.exe c:\windows\system32\rundll32.exe c:\programme\Java\jre6\bin\jucheck.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-10-18 19:35 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-10-18 17:35 ComboFix2.txt 2009-10-18 16:12 Vor Suchlauf: 13 Verzeichnis(se), 10.896.539.648 Bytes frei Nach Suchlauf: 15 Verzeichnis(se), 10.882.699.264 Bytes frei 213 --- E O F --- 2009-10-17 14:57 |
18.10.2009, 18:59 | #14 |
| TR/Delf.pgk infiziert ! Was tun? Nur nochmal nebenbei. Warum wurde im eigentlich im Zuge des ComboFix durchlaufs C:\Images gelöscht? Ich bin mir zwar nicht unbedingt sicher was genau darin enthalten war, jedoch denke ich gerade an die ein oder andere Sicherheitskopie die jetzt verschwunden sein könnte. |
18.10.2009, 20:05 | #15 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Delf.pgk infiziert ! Was tun? Dieser Pfad scheint wohl in der "Blacklist" von CF zu stehen. Eine Sicherheitskopie findest Du in c:\Qoobox.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu TR/Delf.pgk infiziert ! Was tun? |
.dll, 0 bytes, adobe, antivir, antivir guard, bho, desktop, excel, explorer, firefox, free download, hijack, hijackthis, hkus\s-1-5-18, infiziert, internet, internet explorer, mozilla, nt.dll, nvidia, plug-in, rundll, server, software, suchlauf, temp, tr/delf.pgk, trojanisches pferd, tuneup.defrag, vista, warnung, was tun, windows |