Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/Delf.pgk infiziert ! Was tun?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 16.10.2009, 14:59   #1
squarehead
 
TR/Delf.pgk infiziert ! Was tun? - Standard

TR/Delf.pgk infiziert ! Was tun?



Habe festgestellt das sich AntiVir nicht mehr automatisch updatet, und deshalb ein manuelles Update durchgeführt.


Hier die Logfile:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 16. Oktober 2009 15:32

Es wird nach 1798903 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Administrator
Computername : THINKTANK

Versionsinformationen:
BUILD.DAT : 9.0.0.407 17961 Bytes 29.07.2009 10:29:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 21.07.2009 12:36:08
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 12:50:58
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 12:50:58
ANTIVIR2.VDF : 7.1.6.112 4833792 Bytes 15.10.2009 10:47:24
ANTIVIR3.VDF : 7.1.6.115 16384 Bytes 16.10.2009 06:38:42
Engineversion : 8.2.1.35
AEVDF.DLL : 8.1.1.2 106867 Bytes 15.09.2009 14:58:02
AESCRIPT.DLL : 8.1.2.35 483707 Bytes 02.10.2009 21:15:50
AESCN.DLL : 8.1.2.5 127346 Bytes 03.09.2009 14:24:42
AERDL.DLL : 8.1.3.2 479604 Bytes 02.10.2009 21:15:48
AEPACK.DLL : 8.2.0.0 422261 Bytes 15.09.2009 14:58:00
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 17.06.2009 13:32:46
AEHEUR.DLL : 8.1.0.167 2011511 Bytes 07.10.2009 20:27:28
AEHELP.DLL : 8.1.7.0 237940 Bytes 03.09.2009 14:24:42
AEGEN.DLL : 8.1.1.67 364916 Bytes 02.10.2009 21:15:48
AEEMU.DLL : 8.1.1.0 393587 Bytes 02.10.2009 21:15:48
AECORE.DLL : 8.1.8.1 184693 Bytes 15.09.2009 14:57:58
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 09:49:34
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\004d2136.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Freitag, 16. Oktober 2009 15:32

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\WINDOWS'
C:\WINDOWS\fmswwfx.dat
[FUND] Ist das Trojanische Pferd TR/Delf.pgk
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Beginne mit der Desinfektion:
C:\WINDOWS\fmswwfx.dat
[FUND] Ist das Trojanische Pferd TR/Delf.pgk
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b4b78e0.qua' verschoben!


Ende des Suchlaufs: Freitag, 16. Oktober 2009 15:43
Benötigte Zeit: 09:58 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

1976 Verzeichnisse wurden überprüft
81002 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
81000 Dateien ohne Befall
618 Archive wurden durchsucht
1 Warnungen
1 Hinweise

-------------------------------------------------------------------------
Die betroffene File habe ich nach erfolgloser Recherche durch das Avira Lab analysieren lassen.

Ergebnis:
Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
25474636 fmswwfx.dat 18 KB MALWARE


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
fmswwfx.dat MALWARE

Die Datei 'fmswwfx.dat' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben dieser Bedrohung den Namen TR/Delf.pgk gegeben. Bei der Bezeichnung "TR/" handelt es sich um ein Trojanisches Pferd, dass in der Lage ist, ihre Daten auszuspähen, Ihre Privatsphäre zu verletzen und nicht erwünschte Änderungen am System vornehmen kann.Ein Erkennungsmuster ist mit Version 7.01.06.108 der Virendefinitionsdatei (VDF) hinzugefügt.

------------------------------------------------------------------------

VirusTotal hat nachstehendes Ergebnis ausgespuckt:

h**p://www.virustotal.com/de/analisis/fef94338a28553572b4d6211f8f8b2dd005b255d2e0d2359f099f267f8273579-1255697627

-----------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:56:00, on 16.10.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
D:\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Java\jre6\bin\jucheck.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir Desktop\avscan.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=13166&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 www.alcohol-soft.com
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ClipIncSrvTray] "D:\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download video with Free Download Manager - file://C:\Programme\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Catcher - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - https://account.maxdome.de/presentation/script/HWTest.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{E36DA06A-89C1-4832-BBD8-E6ED5A537BA5}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: winmm.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - D:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O24 - Desktop Component 1: Aqua Real 2 - AD0FABD2-7EAE-****-*****-******

--
End of file - 9073 bytes

----------------------------------------------------------------------

Ich bin für jeden Lösungsansatz dankbar.

Beste Grüße

squarehead

Alt 16.10.2009, 21:29   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Delf.pgk infiziert ! Was tun? - Standard

TR/Delf.pgk infiziert ! Was tun?



Hallo und

Auf Deinen Windows XP Rechner fehlen einige wichtige Patches, dies nur erstmal vorweg, mehr dazu später.

1.) Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

2.) Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________

__________________

Alt 16.10.2009, 21:38   #3
kira
/// Helfer-Team
 
TR/Delf.pgk infiziert ! Was tun? - Standard

TR/Delf.pgk infiziert ! Was tun?



Hallo und Herzlich Willkommen!

In meinen Augen sieht nach nach eine Neuinstallation Deines kompletten Systems aus
Woher hast Du das Programm Alcohol 120%, weil es hier gerade ums Nachhause-telefonieren geht
und der Fund von Avira kann leicht auf einen Rootkit-Befall hinweisen
Ohne nachzudenken, ich würde schon mein System sofort formatieren und neu zu installieren!

gruß
Cf
__________________

Alt 16.10.2009, 22:22   #4
squarehead
 
TR/Delf.pgk infiziert ! Was tun? - Standard

TR/Delf.pgk infiziert ! Was tun?



Hallo!

@ Coverflow (woher Alcohol 120?)

--> von der offiziellen Website !

@cosinus

Habe die Liste abgearbeitet (ccl->malware bytes->etc.)

@ all

Was mich seit einiger Zeit wundert, ist das Ungleichgewicht von gesendeten und empfangenden Dateien. Hier steht es in etwa im Verhältnis 1:3.

------------------------------------------------------------------------------

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2971
Windows 5.1.2600 Service Pack 2

16.10.2009 19:48:44
mbam-log-2009-10-16 (19-48-37).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 224780
Laufzeit: 1 hour(s), 0 minute(s), 57 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{71F5A8C8-5853-4EAB-B85C-E89FC8F6D5A3}\RP437\A0104622.exe (Malware.Tool) -> No action taken.
C:\WINDOWS\PrayStation+001.dat (Trojan.Agent) -> No action taken.

-------------------------------------------------------------------------------


--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 5000+ )
BIOS : Default System BIOS
USER : Administrator ( Administrator )
BOOT : Normal boot
Antivirus : AntiVir Desktop 9.0.1.32 (Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:149 Go (Free:10 Go)
D:\ (Local Disk) - NTFS - Total:232 Go (Free:147 Go)
E:\ (CD or DVD)
G:\ (CD or DVD)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [1] ( 16.10.2009|23:06 )

--------------------\\ Ordner Verzeichnis unter ANWEND~1

[12.01.2009|18:23] C:\DOKUME~1\ADMINI~1\ANWEND~1\Adobe
[25.06.2008|14:41] C:\DOKUME~1\ADMINI~1\ANWEND~1\Ahead
[28.03.2009|17:04] C:\DOKUME~1\ADMINI~1\ANWEND~1\aicon
[17.08.2009|12:35] C:\DOKUME~1\ADMINI~1\ANWEND~1\Anthropics
[17.06.2008|12:32] C:\DOKUME~1\ADMINI~1\ANWEND~1\Apple Computer
[24.06.2009|18:01] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bioshock
[31.08.2008|19:15] C:\DOKUME~1\ADMINI~1\ANWEND~1\BOM
[04.09.2009|16:14] C:\DOKUME~1\ADMINI~1\ANWEND~1\Broken Sword 2.5
[13.07.2009|15:05] C:\DOKUME~1\ADMINI~1\ANWEND~1\CD-LabelPrint
[18.07.2008|20:52] C:\DOKUME~1\ADMINI~1\ANWEND~1\Command & Conquer 3 Tiberium Wars
[01.08.2008|20:41] C:\DOKUME~1\ADMINI~1\ANWEND~1\Corel
[17.06.2008|13:59] C:\DOKUME~1\ADMINI~1\ANWEND~1\COWON
[20.06.2008|11:01] C:\DOKUME~1\ADMINI~1\ANWEND~1\CyberLink
[09.11.2008|16:42] C:\DOKUME~1\ADMINI~1\ANWEND~1\DivX
[14.10.2009|00:11] C:\DOKUME~1\ADMINI~1\ANWEND~1\Free Download Manager
[06.07.2008|16:25] C:\DOKUME~1\ADMINI~1\ANWEND~1\Google
[28.06.2008|13:12] C:\DOKUME~1\ADMINI~1\ANWEND~1\Help
[21.08.2008|11:09] C:\DOKUME~1\ADMINI~1\ANWEND~1\ICQ
[11.06.2008|17:41] C:\DOKUME~1\ADMINI~1\ANWEND~1\Identities
[11.06.2008|17:46] C:\DOKUME~1\ADMINI~1\ANWEND~1\InstallShield
[23.08.2008|17:32] C:\DOKUME~1\ADMINI~1\ANWEND~1\Macromedia
[16.10.2009|17:59] C:\DOKUME~1\ADMINI~1\ANWEND~1\Malwarebytes
[09.06.2009|19:24] C:\DOKUME~1\ADMINI~1\ANWEND~1\Microsoft
[21.06.2008|12:41] C:\DOKUME~1\ADMINI~1\ANWEND~1\Mozilla
[22.06.2008|20:07] C:\DOKUME~1\ADMINI~1\ANWEND~1\My Battle for Middle-earth(tm) II Files
[15.10.2008|22:51] C:\DOKUME~1\ADMINI~1\ANWEND~1\Opera
[18.09.2009|12:33] C:\DOKUME~1\ADMINI~1\ANWEND~1\Real
[28.05.2009|12:43] C:\DOKUME~1\ADMINI~1\ANWEND~1\Resolume
[28.05.2009|12:43] C:\DOKUME~1\ADMINI~1\ANWEND~1\Resolume Avenue 3
[13.08.2008|19:41] C:\DOKUME~1\ADMINI~1\ANWEND~1\SecuROM
[06.10.2009|23:26] C:\DOKUME~1\ADMINI~1\ANWEND~1\Skype
[06.10.2009|20:27] C:\DOKUME~1\ADMINI~1\ANWEND~1\skypePM
[23.06.2008|19:34] C:\DOKUME~1\ADMINI~1\ANWEND~1\Sun
[11.06.2008|18:34] C:\DOKUME~1\ADMINI~1\ANWEND~1\Talkback
[11.01.2009|21:00] C:\DOKUME~1\ADMINI~1\ANWEND~1\TeamViewer
[11.06.2008|18:34] C:\DOKUME~1\ADMINI~1\ANWEND~1\Thunderbird
[25.09.2008|12:53] C:\DOKUME~1\ADMINI~1\ANWEND~1\Tobit
[21.06.2008|13:25] C:\DOKUME~1\ADMINI~1\ANWEND~1\TuneUp Software
[14.06.2008|20:19] C:\DOKUME~1\ADMINI~1\ANWEND~1\Ubisoft
[25.07.2009|17:29] C:\DOKUME~1\ADMINI~1\ANWEND~1\vlc
[19.06.2009|20:43] C:\DOKUME~1\ADMINI~1\ANWEND~1\Vodafone
[0|Datei(en)] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes
[43|Verzeichnis(se),] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes frei

[25.03.2009|18:14] C:\DOKUME~1\ALLUSE~1\ANWEND~1\2DBoy
[16.10.2009|13:47] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
[23.06.2008|11:13] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe Systems
[17.06.2008|12:29] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple
[17.06.2008|12:32] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple Computer
[15.10.2009|18:53] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira
[12.09.2008|16:17] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Codemasters
[11.06.2008|18:12] C:\DOKUME~1\ALLUSE~1\ANWEND~1\CyberLink
[08.09.2009|12:58] C:\DOKUME~1\ALLUSE~1\ANWEND~1\DVD Shrink
[12.01.2009|18:21] C:\DOKUME~1\ALLUSE~1\ANWEND~1\FLEXnet
[06.07.2008|16:24] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google
[19.06.2009|20:43] C:\DOKUME~1\ALLUSE~1\ANWEND~1\InstallShield
[16.10.2009|17:59] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
[15.04.2009|20:45] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
[23.06.2008|20:06] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft Corporation
[12.08.2009|17:44] C:\DOKUME~1\ALLUSE~1\ANWEND~1\NOS
[17.06.2008|13:43] C:\DOKUME~1\ALLUSE~1\ANWEND~1\nView_Profiles
[17.06.2008|12:25] C:\DOKUME~1\ALLUSE~1\ANWEND~1\QuickTime
[28.05.2009|12:43] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Resolume Avenue 3
[16.06.2008|12:02] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Skype
[13.08.2009|17:52] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SlySoft
[09.10.2009|15:21] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Soulseek
[16.10.2009|17:54] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
[03.10.2008|19:01] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
[11.06.2008|17:40] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software
[14.06.2008|20:13] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ubisoft
[19.06.2009|20:42] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Vodafone
[15.04.2009|20:56] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
[15.06.2008|20:10] C:\DOKUME~1\ALLUSE~1\ANWEND~1\WLInstaller
[0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
[31|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

[11.06.2008|17:32] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

[11.06.2009|18:16] C:\DOKUME~1\LOCALS~1\ANWEND~1\Adobe
[11.06.2008|17:32] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
[19.06.2009|20:42] C:\DOKUME~1\LOCALS~1\ANWEND~1\Vodafone
[0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
[5|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

[11.06.2008|17:32] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei

--------------------\\ Geplante Aufgaben unter C:\WINDOWS\Tasks

[14.05.2009 17:35][--ah-----] C:\WINDOWS\tasks\Microsoft_Hardware_Launch_IPoint_exe.job
[16.10.2009 23:01][--a------] C:\WINDOWS\tasks\1-Klick-Wartung.job
[16.10.2009 19:52][--ah-----] C:\WINDOWS\tasks\SA.DAT
[10.10.2005 14:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Ordner Verzeichnis unter C:\Programme

[13.08.2008|19:28] C:\Programme\2K Games
[25.07.2009|18:16] C:\Programme\Aashima
[08.07.2009|14:07] C:\Programme\Abandon Loader
[16.10.2009|13:47] C:\Programme\Adobe
[20.06.2008|11:22] C:\Programme\Ahead
[28.03.2009|17:04] C:\Programme\aicon
[13.06.2008|13:19] C:\Programme\Alcohol Soft
[15.10.2009|18:29] C:\Programme\Alwil Software
[03.09.2008|17:30] C:\Programme\AMD
[17.06.2008|12:29] C:\Programme\Apple Software Update
[22.06.2008|20:53] C:\Programme\AquaMark3
[26.05.2009|17:09] C:\Programme\AskSearch
[15.10.2009|18:53] C:\Programme\Avira
[29.06.2008|18:12] C:\Programme\Bethesda Softworks
[15.08.2008|15:42] C:\Programme\Biet-O-Matic
[04.09.2009|16:01] C:\Programme\Broken Sword 2.5
[04.10.2008|11:45] C:\Programme\CamStudio
[23.06.2008|11:45] C:\Programme\Canon
[16.10.2009|17:50] C:\Programme\CCleaner
[31.07.2009|12:21] C:\Programme\Cheat Engine
[16.09.2008|16:36] C:\Programme\Codemasters
[18.08.2008|22:40] C:\Programme\ColorPic 4.1
[11.06.2008|17:29] C:\Programme\ComPlus Applications
[03.08.2008|18:03] C:\Programme\Corel
[22.06.2008|19:23] C:\Programme\Creative
[02.08.2008|14:40] C:\Programme\CyberLink
[05.10.2008|16:00] C:\Programme\DevalVR
[25.07.2009|18:16] C:\Programme\directx
[09.11.2008|14:50] C:\Programme\DivX
[08.07.2009|13:24] C:\Programme\DOSBox-0.65
[20.06.2008|11:21] C:\Programme\DVD Shrink DE
[11.06.2009|14:28] C:\Programme\EA Games
[12.07.2008|18:30] C:\Programme\Elaborate Bytes
[18.07.2008|20:45] C:\Programme\Electronic Arts
[19.05.2009|14:15] C:\Programme\ElsterFormular
[25.12.2008|16:07] C:\Programme\ffdshow
[25.07.2009|22:15] C:\Programme\FLStudio4
[11.01.2009|20:10] C:\Programme\Formosoft
[30.03.2009|21:09] C:\Programme\Free Download Manager
[26.04.2009|16:02] C:\Programme\Full Tilt Poker
[16.10.2009|13:45] C:\Programme\Gemeinsame Dateien
[02.08.2008|16:26] C:\Programme\Google
[11.06.2008|17:39] C:\Programme\HighMAT CD Writing Wizard
[16.03.2009|21:01] C:\Programme\ICQ6
[07.07.2009|23:39] C:\Programme\Im Dschungel der kleinsten Teilchen
[02.08.2008|14:54] C:\Programme\Image-Line
[25.06.2009|18:28] C:\Programme\Infogrames
[25.07.2009|18:16] C:\Programme\InstallShield Installation Information
[04.09.2009|20:48] C:\Programme\Internet Explorer
[29.07.2009|11:02] C:\Programme\Java
[18.07.2009|15:21] C:\Programme\JetAudio
[18.04.2009|13:47] C:\Programme\Last.fm
[20.09.2008|16:34] C:\Programme\LucasArts
[12.09.2008|16:16] C:\Programme\Magic Swf2Gif
[16.10.2009|17:59] C:\Programme\Malwarebytes' Anti-Malware
[04.09.2008|15:36] C:\Programme\Messenger
[11.06.2008|17:35] C:\Programme\microsoft frontpage
[14.05.2009|17:34] C:\Programme\Microsoft IntelliPoint
[17.06.2008|21:14] C:\Programme\Microsoft Office
[05.09.2008|10:28] C:\Programme\Movie Maker
[16.10.2009|23:02] C:\Programme\Mozilla Firefox
[16.10.2009|10:54] C:\Programme\Mozilla Thunderbird
[21.06.2008|12:07] C:\Programme\msn
[11.06.2008|17:35] C:\Programme\msn gaming zone
[22.06.2008|23:31] C:\Programme\MSXML 4.0
[14.05.2009|16:48] C:\Programme\MSXML 6.0
[05.09.2008|10:28] C:\Programme\NetMeeting
[12.08.2009|17:44] C:\Programme\NOS
[22.06.2008|20:31] C:\Programme\NVIDIA Corporation
[11.06.2008|17:31] C:\Programme\Online-Dienste
[20.07.2008|16:01] C:\Programme\OpenAL
[04.09.2009|20:47] C:\Programme\Outlook Express
[25.06.2008|14:53] C:\Programme\Outsim
[26.04.2009|16:02] C:\Programme\PartyGaming
[12.08.2008|19:35] C:\Programme\PENDULO Studios
[19.08.2009|15:33] C:\Programme\Portrait Professional Max 6
[06.08.2008|13:20] C:\Programme\Project64 v1.5
[17.06.2008|12:29] C:\Programme\QuickTime
[11.06.2008|17:45] C:\Programme\Realtek
[25.08.2008|20:11] C:\Programme\Rockstar Games
[16.06.2008|12:02] C:\Programme\Skype
[10.09.2009|17:55] C:\Programme\SlySoft
[04.09.2009|13:15] C:\Programme\SmartCam
[26.06.2008|12:30] C:\Programme\Snes9x
[20.07.2008|12:56] C:\Programme\SoulseekNS
[25.07.2009|17:07] C:\Programme\SourceTec
[15.08.2009|12:02] C:\Programme\Spybot - Search & Destroy
[15.07.2009|23:23] C:\Programme\SRWare Iron
[16.06.2008|16:02] C:\Programme\TeamViewer3
[28.07.2008|16:38] C:\Programme\Temp
[12.07.2008|18:33] C:\Programme\THQ
[16.10.2009|15:12] C:\Programme\Trend Micro
[15.10.2009|18:14] C:\Programme\TuneUp Utilities 2008
[25.12.2008|16:04] C:\Programme\TVersity
[14.08.2009|14:53] C:\Programme\Ubisoft
[11.06.2008|17:41] C:\Programme\Uninstall Information
[02.09.2008|17:44] C:\Programme\Unreal Tournament 2004
[25.07.2009|17:23] C:\Programme\VideoLAN
[23.05.2009|18:54] C:\Programme\Vivendi Universal Games
[03.07.2009|12:18] C:\Programme\Vodei
[25.07.2009|22:15] C:\Programme\VstPlugins
[15.06.2008|20:17] C:\Programme\Windows Live
[27.04.2009|15:28] C:\Programme\Windows Media Connect 2
[27.04.2009|15:29] C:\Programme\Windows Media Player
[05.09.2008|10:28] C:\Programme\Windows NT
[11.06.2008|17:31] C:\Programme\WindowsUpdate
[22.09.2009|18:16] C:\Programme\WinRAR
[29.03.2009|19:29] C:\Programme\WorldOfGoo
[11.06.2008|17:35] C:\Programme\xerox
[05.10.2008|15:37] C:\Programme\Zattoo
[0|Datei(en)] C:\Programme\Bytes
[112|Verzeichnis(se),] C:\Programme\Bytes frei

--------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

[16.10.2009|13:46] C:\Programme\Gemeinsame Dateien\Adobe
[23.06.2008|11:12] C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
[20.06.2008|11:22] C:\Programme\Gemeinsame Dateien\Ahead
[22.08.2008|12:15] C:\Programme\Gemeinsame Dateien\COWON
[17.06.2008|21:14] C:\Programme\Gemeinsame Dateien\DESIGNER
[11.06.2008|17:30] C:\Programme\Gemeinsame Dateien\Dienste
[19.06.2009|20:42] C:\Programme\Gemeinsame Dateien\InstallShield
[21.06.2008|20:34] C:\Programme\Gemeinsame Dateien\Java
[13.08.2008|19:41] C:\Programme\Gemeinsame Dateien\Microsoft Shared
[11.06.2008|17:30] C:\Programme\Gemeinsame Dateien\MSSoap
[11.06.2008|18:25] C:\Programme\Gemeinsame Dateien\ODBC
[18.07.2009|16:34] C:\Programme\Gemeinsame Dateien\Real
[16.06.2008|12:02] C:\Programme\Gemeinsame Dateien\Skype
[25.07.2009|17:07] C:\Programme\Gemeinsame Dateien\SourceTec
[11.06.2008|18:25] C:\Programme\Gemeinsame Dateien\SpeechEngines
[05.09.2008|10:28] C:\Programme\Gemeinsame Dateien\System
[25.09.2008|12:52] C:\Programme\Gemeinsame Dateien\Tobit
[15.06.2008|20:17] C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
[12.09.2008|16:18] C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
[18.07.2009|16:34] C:\Programme\Gemeinsame Dateien\xing shared
[0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
[22|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

--------------------\\ Process

( 45 Processes )

... OK !

--------------------\\ Ueberpruefung mit S_Lop

Kein Lop Ordner gefunden !

--------------------\\ Suche nach Lop Dateien - Ordnern

Kein Lop Ordner gefunden !

--------------------\\ Suche innerhalb der Registry

..... OK !

--------------------\\ Ueberpruefung der Hosts Datei

Hosts Datei SAUBER


--------------------\\ Suche nach verborgenen Dateien mit Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2009-10-16 23:07:24
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Suche nach anderen Infektionen

--------------------\\ Cracks & Keygens ..

C:\DOKUME~1\ADMINI~1\Eigene Dateien\Eigene Musik\Hudson Mohawke - Butter - 2009\16. Hudson Mohawke - Star Crackout.mp3


[F:100][D:15]-> C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
[F:1][D:0]-> C:\DOKUME~1\ADMINI~1\Cookies
[F:6][D:4]-> C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 16.10.2009|23:08 - Option : [1]

--------------------\\ Scan beendet um 23:08:22


Ich hoffe ich habe nichts vergessen ?!

Danke schon mal im Voraus euch beiden :-)

Gruß vom S.

Alt 16.10.2009, 22:25   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Delf.pgk infiziert ! Was tun? - Standard

TR/Delf.pgk infiziert ! Was tun?



RSIT hast Du vergessen und die Logfiles sollten eigentlich bei file-upload.net hochgeladen werden.

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 16.10.2009, 22:41   #6
squarehead
 
TR/Delf.pgk infiziert ! Was tun? - Standard

TR/Delf.pgk infiziert ! Was tun?



Sorry cosinus !

Ich hatte ja nun bereits ein Logfile aus HijackThis gepostet und dachte das die Infos aus dem File schon zur Auswertung genügen.
Beim nächsten Mal werde ich die Files gleich bei einem "oneclickhoster" deponieren.

Hier noch mal die Logfiles aus RSIT-->

h**p://www.file-upload.net/download-1950283/rsit.zip.html

Danke nochmals ;-)

Hoffe doch mein System ist noch zu retten. Einfach mal eben "Platt" machen möchte ich mir eigentlich an dieser Stelle ersparen.

Alt 16.10.2009, 22:55   #7
squarehead
 
TR/Delf.pgk infiziert ! Was tun? - Standard

TR/Delf.pgk infiziert ! Was tun?



Zitat:
Zitat von squarehead Beitrag anzeigen
Hallo!
@ all

Was mich seit einiger Zeit wundert, ist das Ungleichgewicht von gesendeten und empfangenden Dateien. Hier steht es in etwa im Verhältnis 1:3.
Hier habe ich mich wohl falsch ausgedrückt. Ich wollte eigentlich sagen, das ich mehr Pakete sende als ich empfange.

So sollte es stimmen

Alt 17.10.2009, 16:47   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Delf.pgk infiziert ! Was tun? - Standard

TR/Delf.pgk infiziert ! Was tun?



Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
regisry values to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | WinSys2

files to delete:
C:\WINDOWS\system32\winsys2.exe 
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\oUltraf.sys

drivers to delete:
oUltraf
         
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 17.10.2009, 19:41   #9
squarehead
 
TR/Delf.pgk infiziert ! Was tun? - Standard

TR/Delf.pgk infiziert ! Was tun?



Hi cosinus !

Bin deinem Ansatz gefolgt und habe den Avenger durchlaufen lassen.

h**p://www.file-upload.net/download-1951965/backup.zip.html

----------------------------------------------------------------


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Sat Oct 17 20:29:17 2009

20:29:17: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
h**p://swandog46.geekstogo.com]Swandog46's Public Anti-Malware Tools
Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\winsys2.exe" deleted successfully.

Error: file "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\oUltraf.sys" not found!
Deletion of file "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\oUltraf.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Driver "oUltraf" deleted successfully.
Registry value "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run|WinSys2" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
-------------------------------------------------------------------------

Danke für im Voraus für deinen Einsatz.

Super Forum ... ganz großen Respekt :-)

Beste Grüße aus Berlin

Geändert von squarehead (17.10.2009 um 19:57 Uhr) Grund: url links deaktiviert

Alt 18.10.2009, 13:49   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Delf.pgk infiziert ! Was tun? - Standard

TR/Delf.pgk infiziert ! Was tun?



Mach mal bitte einen Durchlauf mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 18.10.2009, 17:30   #11
squarehead
 
TR/Delf.pgk infiziert ! Was tun? - Standard

TR/Delf.pgk infiziert ! Was tun?



ComboFix ist durchgelaufen. Ich frage mich nur warum CF mich um einen nicht ganz unrelevanten Order beraubt hat. Hoffe doch das lässt sich wieder herstellen. ^^

--------------------------------------------------------------------------------------
ComboFix 09-10-17.01 - Administrator 18.10.2009 18:02.1.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.2047.1509 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
ADS - system32: deleted 40 bytes in 1 streams.
ADS - WINDOWS: deleted 24 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Images
c:\programme\AskSearch\bin\DefaultSearch.dll
c:\windows\system32\BReWErS.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_OULTRAF


((((((((((((((((((((((( Dateien erstellt von 2009-09-18 bis 2009-10-18 ))))))))))))))))))))))))))))))
.

2009-10-16 21:28 . 2009-10-16 21:28 -------- d-----w- C:\rsit
2009-10-16 21:05 . 2009-10-16 21:08 -------- d-----w- C:\Lop SD
2009-10-16 15:59 . 2009-10-16 15:59 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-10-16 15:59 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-16 15:59 . 2009-10-16 15:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-10-16 15:59 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-16 15:59 . 2009-10-16 15:59 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-10-16 15:50 . 2009-10-16 15:50 -------- d-----w- c:\programme\CCleaner
2009-10-16 13:12 . 2009-10-16 13:12 -------- d-----w- c:\programme\Trend Micro
2009-10-15 16:53 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-10-15 16:53 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-10-15 16:53 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-10-15 16:53 . 2009-10-15 16:53 -------- d-----w- c:\programme\Avira
2009-10-15 16:53 . 2009-10-15 16:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-10-15 16:29 . 2009-10-15 16:29 -------- d-----w- c:\programme\Alwil Software

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-16 15:54 . 2009-08-15 10:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-10-16 11:46 . 2008-06-21 11:46 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-10-16 08:54 . 2008-06-11 16:32 -------- d-----w- c:\programme\Mozilla Thunderbird
2009-10-15 16:14 . 2008-06-21 11:25 -------- d-----w- c:\programme\TuneUp Utilities 2008
2009-10-13 22:11 . 2008-06-12 12:23 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Free Download Manager
2009-10-09 13:21 . 2008-07-20 10:56 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Soulseek
2009-10-06 21:26 . 2008-06-16 10:03 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype
2009-10-06 18:27 . 2008-06-16 10:04 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\skypePM
2009-09-11 14:31 . 2005-10-10 12:00 133632 ----a-w- c:\windows\system32\msv1_0.dll
2009-09-10 15:55 . 2009-08-13 14:37 -------- d-----w- c:\programme\SlySoft
2009-09-08 10:58 . 2008-06-20 09:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink
2009-09-04 20:45 . 2005-10-10 12:00 58880 ----a-w- c:\windows\system32\msasn1.dll
2009-09-04 14:14 . 2009-09-04 14:01 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Broken Sword 2.5
2009-09-04 14:01 . 2009-09-04 14:00 -------- d-----w- c:\programme\Broken Sword 2.5
2009-09-04 11:15 . 2009-09-04 11:15 -------- d-----w- c:\programme\SmartCam
2009-08-26 08:14 . 2005-10-10 12:00 247326 ----a-w- c:\windows\system32\strmdll.dll
2009-08-05 09:05 . 2005-10-10 12:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-08-04 17:52 . 2009-08-04 17:52 1193832 ----a-w- c:\windows\system32\FM20.DLL
2009-08-04 17:03 . 2005-10-10 12:00 2138624 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-08-04 17:03 . 2005-10-10 12:00 2018304 ----a-w- c:\windows\system32\ntkrnlpa.exe
2009-07-29 09:02 . 2009-07-29 09:02 410984 ----a-w- c:\windows\system32\deploytk.dll
2009-07-29 04:48 . 2005-10-10 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-07-29 04:48 . 2005-10-10 12:00 82432 ----a-w- c:\windows\system32\fontsub.dll
2009-07-28 14:33 . 2009-05-16 12:54 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2008-07-12 16:32 . 2008-07-12 16:32 0 --sh--w- c:\windows\SF253398A.tmp
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ClipIncSrvTray"="d:\tobit clipinc\Player\ClipIncTray.exe" [2009-03-16 668424]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-29 148888]
"VirtualCloneDrive"="c:\programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2006-04-29 94208]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016]
"amd_dc_opt"="c:\programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2008-07-22 77824]
"IntelliPoint"="c:\programme\Microsoft IntelliPoint\ipoint.exe" [2008-06-10 1406024]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-07-18 198160]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
" Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-10-30 16269312]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-05-03 1630208]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2005-10-10 15360]

c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
TransBar.lnk - c:\windows\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-6-1 65536]
UberIcon.lnk - c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-5-21 180224]
Y'z Shadow.lnk - c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-5-21 155648]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\THQ\\Company of Heroes\\RelicCOH.exe"=
"c:\\Programme\\Snes9x\\Snes9XW.exe"=
"c:\\Programme\\Unreal Tournament 2004\\System\\UT2004.exe"=
"c:\\Team17\\Worms World Party\\wwp.exe"=
"c:\\Programme\\Codemasters\\Worms 4 Mayhem\\WORMS 4 MAYHEM.EXE"=
"c:\\Programme\\LucasArts\\Star Wars Battlefront II\\GameData\\BattlefrontII.exe"=
"d:\\Tobit ClipInc\\Server\\ClipInc-Server.exe"=
"d:\\Tobit ClipInc\\Player\\ClipInc-Player.exe"=
"c:\\Programme\\Zattoo\\zattood.exe"=
"c:\\Programme\\Zattoo\\Zattoo2.exe"=
"c:\\Dokumente und Einstellungen\\Administrator\\Desktop\\Neuer Ordner (2)\\p2pNode.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\EA Games\\Battlefield 2\\BF2.exe"=
"c:\\Programme\\SmartCam\\SmartCam.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.10.2009 18:53 108289]
R2 ClipInc001;ClipInc 001;d:\tobit clipinc\Server\ClipInc-Server.exe 001 --> d:\tobit clipinc\Server\ClipInc-Server.exe 001 [?]
S2 UDTTCAP;USBDTT - USB 1.1 DVB-T adapter Driver;c:\windows\system32\drivers\UDTTCAP.sys [28.06.2008 14:13 24646]
S3 CCCP106;TRUST 120 SPACEC@M;c:\windows\system32\drivers\cccp106.sys [25.07.2009 18:16 227200]
S3 gHidPnp;USB Device Enhanced Function Driver;c:\windows\system32\Drivers\gHidPnp.Sys --> c:\windows\system32\Drivers\gHidPnp.Sys [?]
S3 gMouPS2;PS2 Scroll Mouse Device;c:\windows\system32\DRIVERS\gMouPS2.sys --> c:\windows\system32\DRIVERS\gMouPS2.sys [?]
S3 gMouUsb;USB Mouse Device Drv;c:\windows\system32\DRIVERS\gMouUsb.sys --> c:\windows\system32\DRIVERS\gMouUsb.sys [?]
S3 S6U12Scanner;MUSTEK 1200 CU Still Image Device Service;c:\windows\system32\drivers\UsbScan.sys [28.07.2008 16:38 15104]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]
S3 UDTTLOAD;UDTTLOAD;c:\windows\system32\drivers\UDTTload.sys [28.06.2008 14:13 17754]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-10-18 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-11 16:47]

2009-05-14 c:\windows\Tasks\Microsoft_Hardware_Launch_IPoint_exe.job
- c:\programme\Microsoft IntelliPoint\ipoint.exe [2008-06-10 19:56]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.ask.com/?o=13166&l=dis
uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s
IE: Download all with Free Download Manager - file://c:\programme\Free Download Manager\dlall.htm
IE: Download selected with Free Download Manager - file://c:\programme\Free Download Manager\dlselected.htm
IE: Download video with Free Download Manager - file://c:\programme\Free Download Manager\dlfvideo.htm
IE: Download with Free Download Manager - file://c:\programme\Free Download Manager\dllink.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Sothink SWF Catcher - c:\programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
TCP: {E36DA06A-89C1-4832-BBD8-E6ED5A537BA5} = 192.168.0.1
DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} - hxxps://account.maxdome.de/presentation/script/HWTest.CAB
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ktx9lhpd.default\
FF - prefs.js: browser.search.selectedEngine - Google Deutschland - aus Deutschland
FF - prefs.js: browser.startup.homepage - hxxp://209.85.135.147/
FF - component: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ktx9lhpd.default\extensions\piclens@cooliris.com\components\cooliris.dll
FF - component: c:\programme\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll
FF - plugin: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ktx9lhpd.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
FF - plugin: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ktx9lhpd.default\extensions\battlefieldheroespatcher@ea.com\platform\WINNT_x86-msvc\plugins\npBFHUpdater.dll
FF - plugin: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ktx9lhpd.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2009-10-18 18:07
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-682003330-602609370-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Electronic Arts\C*o*m*m*a*n*d* *&* *C*o*n*q*u*e*r* *3* *T*i*b*e*r*i*u*m* *W*a*r*s*"!\Kundendienst]
"Order"=hex:08,00,00,00,02,00,00,00,b8,02,00,00,01,00,00,00,04,00,00,00,de,00,
00,00,00,00,00,00,d0,00,00,00,41,75,67,4d,02,00,00,00,01,00,00,00,be,00,32,\

[HKEY_USERS\S-1-5-21-682003330-602609370-839522115-500\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:ec,fd,6b,5a,13,57,98,37,26,7f,ea,de,b3,80,fc,0b,65,0d,79,3b,6d,c5,81,
ae,32,dd,d1,56,e0,2b,81,01,0c,1f,6e,e7,8d,cd,55,78,2b,27,15,1e,c2,17,9a,60,\
"??"=hex:cf,55,c7,95,2b,14,4d,f8,66,7b,0c,1b,19,52,fe,22

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"5E7CEC10DF0760D4F8DAFB12FDC06CCD"="02:\\Software\\Adobe\\FeatureSubscriptions\\DVAAdobeDocMeta\\{01CEC7E5-70FD-4D06-8FAD-BF21DF0CC6DC}\\Registered"
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(812)
c:\windows\system32\sfc_os.dll

- - - - - - - > 'explorer.exe'(2420)
c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.dll
d:\tobit clipinc\Player\ChargedByClipInc.dll
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
d:\tobit clipinc\Server\ClipInc-Server.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\combofix\CF4645.exe
c:\windows\system32\rundll32.exe
c:\programme\Java\jre6\bin\jucheck.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-10-18 18:12 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-10-18 16:12

Vor Suchlauf: 12 Verzeichnis(se), 10.946.093.056 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 10.903.973.888 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer

218 --- E O F --- 2009-10-17 14:57

---------------------------------------------------------------------------------

Ps: Natürlich habe ich auch Schritt 2. beherzigt. CC hat im Vorfeld seine Arbeit verrichtet.

Grüße vom S.

Alt 18.10.2009, 18:10   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Delf.pgk infiziert ! Was tun? - Standard

TR/Delf.pgk infiziert ! Was tun?



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.
Code:
ATTFilter
KILLALL::

RegNull::
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]

File::
c:\windows\SF253398A.tmp
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe (oder eben cofi.exe), so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 18.10.2009, 18:42   #13
squarehead
 
TR/Delf.pgk infiziert ! Was tun? - Standard

TR/Delf.pgk infiziert ! Was tun?



Die combofix.txt habe ich nicht entdecken können. Ich Poste stattdessen die Logfile.
Hoffe du meinst dieses Log.

-------------------------------------------------------------------------


ComboFix 09-10-17.01 - Administrator 18.10.2009 19:23.2.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.2047.1582 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\windows\SF253398A.tmp"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\SF253398A.tmp

.
((((((((((((((((((((((( Dateien erstellt von 2009-09-18 bis 2009-10-18 ))))))))))))))))))))))))))))))
.

2009-10-16 21:28 . 2009-10-16 21:28 -------- d-----w- C:\rsit
2009-10-16 21:05 . 2009-10-16 21:08 -------- d-----w- C:\Lop SD
2009-10-16 15:59 . 2009-10-16 15:59 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-10-16 15:59 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-16 15:59 . 2009-10-16 15:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-10-16 15:59 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-16 15:59 . 2009-10-16 15:59 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-10-16 15:50 . 2009-10-16 15:50 -------- d-----w- c:\programme\CCleaner
2009-10-16 13:12 . 2009-10-16 13:12 -------- d-----w- c:\programme\Trend Micro
2009-10-15 16:53 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-10-15 16:53 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-10-15 16:53 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-10-15 16:53 . 2009-10-15 16:53 -------- d-----w- c:\programme\Avira
2009-10-15 16:53 . 2009-10-15 16:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-10-15 16:29 . 2009-10-15 16:29 -------- d-----w- c:\programme\Alwil Software

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-18 16:57 . 2008-06-11 16:02 19936 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-10-18 16:52 . 2008-06-11 16:32 -------- d-----w- c:\programme\Mozilla Thunderbird
2009-10-16 15:54 . 2009-08-15 10:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-10-16 11:46 . 2008-06-21 11:46 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-10-15 16:14 . 2008-06-21 11:25 -------- d-----w- c:\programme\TuneUp Utilities 2008
2009-10-13 22:11 . 2008-06-12 12:23 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Free Download Manager
2009-10-09 13:21 . 2008-07-20 10:56 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Soulseek
2009-10-06 21:26 . 2008-06-16 10:03 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype
2009-10-06 18:27 . 2008-06-16 10:04 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\skypePM
2009-09-11 14:31 . 2005-10-10 12:00 133632 ----a-w- c:\windows\system32\msv1_0.dll
2009-09-10 15:55 . 2009-08-13 14:37 -------- d-----w- c:\programme\SlySoft
2009-09-08 10:58 . 2008-06-20 09:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink
2009-09-04 20:45 . 2005-10-10 12:00 58880 ----a-w- c:\windows\system32\msasn1.dll
2009-09-04 14:14 . 2009-09-04 14:01 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Broken Sword 2.5
2009-09-04 14:01 . 2009-09-04 14:00 -------- d-----w- c:\programme\Broken Sword 2.5
2009-09-04 11:15 . 2009-09-04 11:15 -------- d-----w- c:\programme\SmartCam
2009-08-26 08:14 . 2005-10-10 12:00 247326 ----a-w- c:\windows\system32\strmdll.dll
2009-08-05 09:05 . 2005-10-10 12:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-08-04 17:52 . 2009-08-04 17:52 1193832 ----a-w- c:\windows\system32\FM20.DLL
2009-08-04 17:03 . 2005-10-10 12:00 2138624 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-08-04 17:03 . 2005-10-10 12:00 2018304 ----a-w- c:\windows\system32\ntkrnlpa.exe
2009-07-29 09:02 . 2009-07-29 09:02 410984 ----a-w- c:\windows\system32\deploytk.dll
2009-07-29 04:48 . 2005-10-10 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-07-29 04:48 . 2005-10-10 12:00 82432 ----a-w- c:\windows\system32\fontsub.dll
2009-07-28 14:33 . 2009-05-16 12:54 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
.

((((((((((((((((((((((((((((( SnapShot@2009-10-18_16.07.45 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-10-18 17:28 . 2009-10-18 17:28 16384 c:\windows\temp\Perflib_Perfdata_180.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ClipIncSrvTray"="d:\tobit clipinc\Player\ClipIncTray.exe" [2009-03-16 668424]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-29 148888]
"VirtualCloneDrive"="c:\programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2006-04-29 94208]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016]
"amd_dc_opt"="c:\programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2008-07-22 77824]
"IntelliPoint"="c:\programme\Microsoft IntelliPoint\ipoint.exe" [2008-06-10 1406024]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-07-18 198160]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
" Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-10-30 16269312]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-05-03 1630208]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2005-10-10 15360]

c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
TransBar.lnk - c:\windows\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-6-1 65536]
UberIcon.lnk - c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-5-21 180224]
Y'z Shadow.lnk - c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-5-21 155648]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\THQ\\Company of Heroes\\RelicCOH.exe"=
"c:\\Programme\\Snes9x\\Snes9XW.exe"=
"c:\\Programme\\Unreal Tournament 2004\\System\\UT2004.exe"=
"c:\\Team17\\Worms World Party\\wwp.exe"=
"c:\\Programme\\Codemasters\\Worms 4 Mayhem\\WORMS 4 MAYHEM.EXE"=
"c:\\Programme\\LucasArts\\Star Wars Battlefront II\\GameData\\BattlefrontII.exe"=
"d:\\Tobit ClipInc\\Server\\ClipInc-Server.exe"=
"d:\\Tobit ClipInc\\Player\\ClipInc-Player.exe"=
"c:\\Programme\\Zattoo\\zattood.exe"=
"c:\\Programme\\Zattoo\\Zattoo2.exe"=
"c:\\Dokumente und Einstellungen\\Administrator\\Desktop\\Neuer Ordner (2)\\p2pNode.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\EA Games\\Battlefield 2\\BF2.exe"=
"c:\\Programme\\SmartCam\\SmartCam.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.10.2009 18:53 108289]
R2 ClipInc001;ClipInc 001;d:\tobit clipinc\Server\ClipInc-Server.exe 001 --> d:\tobit clipinc\Server\ClipInc-Server.exe 001 [?]
S2 UDTTCAP;USBDTT - USB 1.1 DVB-T adapter Driver;c:\windows\system32\drivers\UDTTCAP.sys [28.06.2008 14:13 24646]
S3 CCCP106;TRUST 120 SPACEC@M;c:\windows\system32\drivers\cccp106.sys [25.07.2009 18:16 227200]
S3 gHidPnp;USB Device Enhanced Function Driver;c:\windows\system32\Drivers\gHidPnp.Sys --> c:\windows\system32\Drivers\gHidPnp.Sys [?]
S3 gMouPS2;PS2 Scroll Mouse Device;c:\windows\system32\DRIVERS\gMouPS2.sys --> c:\windows\system32\DRIVERS\gMouPS2.sys [?]
S3 gMouUsb;USB Mouse Device Drv;c:\windows\system32\DRIVERS\gMouUsb.sys --> c:\windows\system32\DRIVERS\gMouUsb.sys [?]
S3 S6U12Scanner;MUSTEK 1200 CU Still Image Device Service;c:\windows\system32\drivers\UsbScan.sys [28.07.2008 16:38 15104]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]
S3 UDTTLOAD;UDTTLOAD;c:\windows\system32\drivers\UDTTload.sys [28.06.2008 14:13 17754]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-10-18 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-11 16:47]

2009-05-14 c:\windows\Tasks\Microsoft_Hardware_Launch_IPoint_exe.job
- c:\programme\Microsoft IntelliPoint\ipoint.exe [2008-06-10 19:56]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.ask.com/?o=13166&l=dis
uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s
IE: Download all with Free Download Manager - file://c:\programme\Free Download Manager\dlall.htm
IE: Download selected with Free Download Manager - file://c:\programme\Free Download Manager\dlselected.htm
IE: Download video with Free Download Manager - file://c:\programme\Free Download Manager\dlfvideo.htm
IE: Download with Free Download Manager - file://c:\programme\Free Download Manager\dllink.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Sothink SWF Catcher - c:\programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
TCP: {E36DA06A-89C1-4832-BBD8-E6ED5A537BA5} = 192.168.0.1
DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} - hxxps://account.maxdome.de/presentation/script/HWTest.CAB
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ktx9lhpd.default\
FF - prefs.js: browser.search.selectedEngine - Google Deutschland - aus Deutschland
FF - prefs.js: browser.startup.homepage - hxxp://209.85.135.147/
FF - component: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ktx9lhpd.default\extensions\piclens@cooliris.com\components\cooliris.dll
FF - component: c:\programme\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll
FF - plugin: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ktx9lhpd.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
FF - plugin: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ktx9lhpd.default\extensions\battlefieldheroespatcher@ea.com\platform\WINNT_x86-msvc\plugins\npBFHUpdater.dll
FF - plugin: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ktx9lhpd.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-18 19:29
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-682003330-602609370-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Electronic Arts\C*o*m*m*a*n*d* *&* *C*o*n*q*u*e*r* *3* *T*i*b*e*r*i*u*m* *W*a*r*s*"!\Kundendienst]
"Order"=hex:08,00,00,00,02,00,00,00,b8,02,00,00,01,00,00,00,04,00,00,00,de,00,
00,00,00,00,00,00,d0,00,00,00,41,75,67,4d,02,00,00,00,01,00,00,00,be,00,32,\

[HKEY_USERS\S-1-5-21-682003330-602609370-839522115-500\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:ec,fd,6b,5a,13,57,98,37,26,7f,ea,de,b3,80,fc,0b,65,0d,79,3b,6d,c5,81,
ae,32,dd,d1,56,e0,2b,81,01,0c,1f,6e,e7,8d,cd,55,78,2b,27,15,1e,c2,17,9a,60,\
"??"=hex:cf,55,c7,95,2b,14,4d,f8,66,7b,0c,1b,19,52,fe,22

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"5E7CEC10DF0760D4F8DAFB12FDC06CCD"="02:\\Software\\Adobe\\FeatureSubscriptions\\DVAAdobeDocMeta\\{01CEC7E5-70FD-4D06-8FAD-BF21DF0CC6DC}\\Registered"
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(812)
c:\windows\system32\sfc_os.dll

- - - - - - - > 'explorer.exe'(2388)
c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.dll
c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon.dll
d:\tobit clipinc\Player\ChargedByClipInc.dll
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
d:\tobit clipinc\Server\ClipInc-Server.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\combofix\CF1636.exe
c:\windows\system32\rundll32.exe
c:\programme\Java\jre6\bin\jucheck.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-10-18 19:35 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-10-18 17:35
ComboFix2.txt 2009-10-18 16:12

Vor Suchlauf: 13 Verzeichnis(se), 10.896.539.648 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 10.882.699.264 Bytes frei

213 --- E O F --- 2009-10-17 14:57

Alt 18.10.2009, 18:59   #14
squarehead
 
TR/Delf.pgk infiziert ! Was tun? - Standard

TR/Delf.pgk infiziert ! Was tun?



Nur nochmal nebenbei.

Warum wurde im eigentlich im Zuge des ComboFix durchlaufs C:\Images gelöscht?

Ich bin mir zwar nicht unbedingt sicher was genau darin enthalten war, jedoch denke ich gerade an die ein oder andere Sicherheitskopie die jetzt verschwunden sein könnte.

Alt 18.10.2009, 20:05   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Delf.pgk infiziert ! Was tun? - Icon32

TR/Delf.pgk infiziert ! Was tun?



Dieser Pfad scheint wohl in der "Blacklist" von CF zu stehen. Eine Sicherheitskopie findest Du in c:\Qoobox.
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu TR/Delf.pgk infiziert ! Was tun?
.dll, 0 bytes, adobe, antivir, antivir guard, bho, desktop, excel, explorer, firefox, free download, hijack, hijackthis, hkus\s-1-5-18, infiziert, internet, internet explorer, mozilla, nt.dll, nvidia, plug-in, rundll, server, software, suchlauf, temp, tr/delf.pgk, trojanisches pferd, tuneup.defrag, vista, warnung, was tun, windows




Ähnliche Themen: TR/Delf.pgk infiziert ! Was tun?


  1. System infiziert. USB-Stick und Datensicherung auch infiziert?
    Plagegeister aller Art und deren Bekämpfung - 05.07.2011 (2)
  2. TR/PSW.Delf.est
    Plagegeister aller Art und deren Bekämpfung - 24.03.2010 (1)
  3. Delf.NHC
    Log-Analyse und Auswertung - 01.06.2009 (0)
  4. TR/PSW.Delf.AB
    Plagegeister aller Art und deren Bekämpfung - 15.04.2009 (1)
  5. TR/PSW.Delf.AB
    Log-Analyse und Auswertung - 15.04.2009 (1)
  6. BDS/Delf.oex
    Log-Analyse und Auswertung - 17.03.2009 (14)
  7. TR/Drop.Delf.cip; TR/Drop.Delf.cio; BkCln.Unknown
    Plagegeister aller Art und deren Bekämpfung - 17.01.2009 (13)
  8. Trojanerbefall (TR/PSW.Delf.BBF.1)
    Plagegeister aller Art und deren Bekämpfung - 15.10.2008 (1)
  9. TR/Spy.Delf.cdp
    Plagegeister aller Art und deren Bekämpfung - 09.06.2008 (9)
  10. TR/Spy.Delf.cfr - was ist das?
    Plagegeister aller Art und deren Bekämpfung - 26.05.2008 (0)
  11. BDS/Delf.DHU.1
    Mülltonne - 03.04.2008 (0)
  12. Spy.Delf.ago.1
    Log-Analyse und Auswertung - 27.09.2007 (12)
  13. drj/delf
    Mülltonne - 10.06.2006 (1)
  14. TR/Delf.PX.1 ???
    Plagegeister aller Art und deren Bekämpfung - 02.05.2006 (6)
  15. TR/Delf.PE.1 - Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 31.12.2005 (3)
  16. TR/Click.Delf.AL
    Log-Analyse und Auswertung - 03.11.2004 (3)
  17. TR/delf.DY
    Plagegeister aller Art und deren Bekämpfung - 13.09.2004 (21)

Zum Thema TR/Delf.pgk infiziert ! Was tun? - Habe festgestellt das sich AntiVir nicht mehr automatisch updatet, und deshalb ein manuelles Update durchgeführt. Hier die Logfile: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Freitag, 16. Oktober 2009 15:32 Es - TR/Delf.pgk infiziert ! Was tun?...
Archiv
Du betrachtest: TR/Delf.pgk infiziert ! Was tun? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.