| |
| |||||||
Log-Analyse und Auswertung: TR/ATRAPS.GEN - msacm32.drv und mehrWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
29.10.2009, 00:47
| #1 |
 |  TR/ATRAPS.GEN - msacm32.drv und mehr Hallo an alle, hier ist mal wieder ein neuer - wie wohl jeden Tag hier im Forum. Vor ein paar Stunden hats mich gebeutelt beim Surfen im Internet. Irgendwo im Hintergrund ist ne Seite aufgepoppt (konnte ich leider nicht mehr sehen was), da wurden bereits die ersten 10-15 Warnmeldungen (Avira Antivir Premium) des Virenscanners angezeigt. Ich konnte die gar nicht schnell genug wegklicken, da waren schon mehr auf als ich wegbekommen hab - also schnell PC aus (damit auch die Internetverbindung unterbrochen wurde). PC wieder hochgefahren, war etwas träge anschließend und es ging ab und an eine Warnmeldung auf mit dem Hinweis das sich in der Datei windows\msacm32.drv (obwohl diese in windows\system32\msacm32.drv liegt) der Trojaner TR/ATRAPS.GEN befinden würde. Virenscans haben nichts gebracht und ab und an ging das Warnfenster auf. Ich gesucht und bei Euch Informationen gefunden - was ein Glück. Habe HijackThis ausgeführt und nach dieser Anleitung http://www.trojaner-board.de/54192-a...tellungen.html den Virenscanner getunt und nach diesem Hinweis http://www.trojaner-board.de/51187-a...i-malware.html nach Malware. Und habe noch einige andere Links zu Rootkids etc. bei Euch gefunden - hab ich alles ausgeführt. Virenscanner hat dann eine Datei gefunden - cmdow.exe im system32 ordner (ist nun erst mal in Quarantäne) - und andere Scanner ein mal eine Sache und die Malware gleich 13 evtl. nicht so schlimm (hab ich auch noch nix gemacht) und etwas unsicher weil die rundll dabei ist. Während des Scannes ist es noch 2 mal zu Warnungen gekommen in ner Tempdatei, die ich gleich weggeklickt habe - seitdem nicht mehr und der PC läuft auch wieder soweit. Ich liste mal nacheinander alles auf und hoffe, das ich Euch damit nicht erschlage. Brauche meinen PC jeden Tag und da wäre Eure Hilfe sehr wichtig für mich. hijackthis Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:00:52, on 28.10.2009 Platform: Windows XP SP3, v.3264 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe F:\Sicherheit\Spyware\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\sched.exe F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\system32\crypserv.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\McAfee\SiteAdvisor\McSACore.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe F:\Tools\Brennen\CDBurnerXP\NMSAccessU.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\nvsvc32.exe E:\Sandboxie\SbieSvc.exe F:\System\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE C:\WINDOWS\system32\svchost.exe F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\avmailc.exe F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\AVWEBGRD.EXE C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe C:\WINDOWS\RTHDCPL.EXE F:\Sicherheit\Spyware\Windows Defender\MSASCui.exe F:\System\Dateien loeschen\Unlocker\UnlockerAssistant.exe F:\Internet\Spam\Spamihilator\spamihilator.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe F:\Sicherheit\Firewall\ZoneAlarm\ZoneAlarm\zlclient.exe F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\avgnt.exe E:\Sandboxie\SbieCtrl.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Logitech\SetPoint\SetPoint.exe F:\Tools\ISDN-Monitor\ISDNMon.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\WINDOWS\system32\wuauclt.exe F:\Sicherheit\HiJackThis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\SICHER~1\Spyware\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - F:\Tools\Download\Free Download Manager\iefdm2.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot O4 - HKLM\..\Run: [Windows Defender] "F:\Sicherheit\Spyware\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [UnlockerAssistant] "F:\System\Dateien loeschen\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [Spamihilator] "F:\Internet\Spam\Spamihilator\spamihilator.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe O4 - HKLM\..\Run: [QuickTime Task] "F:\Player\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Sicherheit\Firewall\ZoneAlarm\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [avgnt] "F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [SandboxieControl] "E:\Sandboxie\SbieCtrl.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot O4 - HKCU\..\Run: [WAB] C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\87b7a01419.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [WAB] C:\Dokumente und Einstellungen\Anwender\Anwendungsdaten\Macromedia\Common\87b7a01419.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - S-1-5-18 Startup: ISDN-Monitor.lnk = F:\Tools\ISDN-Monitor\ISDNMon.exe (User 'SYSTEM') O4 - .DEFAULT Startup: ISDN-Monitor.lnk = F:\Tools\ISDN-Monitor\ISDNMon.exe (User 'Default user') O4 - Startup: ISDN-Monitor.lnk = F:\Tools\ISDN-Monitor\ISDNMon.exe O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ? O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Alles mit FDM herunterladen - file://F:\Tools\Download\Free Download Manager\dlall.htm O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://F:\Tools\Download\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://F:\Tools\Download\Free Download Manager\dllink.htm O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Videos mit FDM herunterladen - file://F:\Tools\Download\Free Download Manager\dlfvideo.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\SICHER~1\Spyware\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\SICHER~1\Spyware\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: ppctlcab - h**p://ppupdates.ca.com/downloads/scanner/ppctlcab.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - h**p://ppupdates.ca.com/downloads/scanner/axscanner.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://download.bitdefender.com/resources/scan8/oscan8.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{EB19C06C-F727-4B0E-959C-5F691DF94454}: NameServer = 192.168.120.252,192.168.120.253 O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\avmailc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\avguard.exe O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\AVWEBGRD.EXE O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programme\McAfee\SiteAdvisor\McSACore.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NMSAccessU - Unknown owner - F:\Tools\Brennen\CDBurnerXP\NMSAccessU.exe O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sandboxie Service (SbieSvc) - tzuk - E:\Sandboxie\SbieSvc.exe O23 - Service: Speed Disk service - Symantec Corporation - F:\System\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 13324 bytes Code:
ATTFilter
Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Mittwoch, 28. Oktober 2009 23:33
Es wird nach 1846740 Virenstämmen gesucht.
Lizenznehmer : xxxx Mustermann
Seriennummer : xxxxxxxx-xxxxxx-xxxxxxx
Plattform : Windows XP
Windowsversion : (Service Pack 3, v.3264) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Anwender
Computername : ANWENDER-xxxxxxx
Versionsinformationen:
BUILD.DAT : 9.0.0.447 21381 Bytes 26.08.2009 16:26:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 09.08.2009 16:46:56
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 13:02:58
ANTIVIR2.VDF : 7.1.6.160 5413376 Bytes 28.10.2009 17:49:19
ANTIVIR3.VDF : 7.1.6.162 10240 Bytes 28.10.2009 21:10:22
Engineversion : 8.2.1.50
AEVDF.DLL : 8.1.1.2 106867 Bytes 16.09.2009 16:56:48
AESCRIPT.DLL : 8.1.2.40 487804 Bytes 22.10.2009 18:36:44
AESCN.DLL : 8.1.2.5 127346 Bytes 03.09.2009 20:03:52
AERDL.DLL : 8.1.3.2 479604 Bytes 03.10.2009 09:51:25
AEPACK.DLL : 8.2.0.2 422263 Bytes 22.10.2009 18:36:42
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 18.06.2009 20:01:24
AEHEUR.DLL : 8.1.0.173 2064760 Bytes 28.10.2009 19:44:14
AEHELP.DLL : 8.1.7.0 237940 Bytes 03.09.2009 20:03:50
AEGEN.DLL : 8.1.1.70 364917 Bytes 28.10.2009 19:43:59
AEEMU.DLL : 8.1.1.0 393587 Bytes 03.10.2009 09:51:20
AECORE.DLL : 8.1.8.1 184693 Bytes 16.09.2009 16:56:37
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 08.09.2009 17:41:58
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.28 2623745 Bytes 09.06.2009 17:19:31
RCTEXT.DLL : 9.0.37.0 90881 Bytes 17.04.2009 08:41:38
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\DOKUME~1\Anwender\LOKALE~1\Temp\8cd494d3.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,
Beginn des Suchlaufs: Mittwoch, 28. Oktober 2009 23:33
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <System>
C:\WINDOWS\system32\cmdow.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232
Beginne mit der Desinfektion:
C:\WINDOWS\system32\cmdow.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b4ccaa9.qua' verschoben!
Ende des Suchlaufs: Mittwoch, 28. Oktober 2009 23:48
Benötigte Zeit: 11:36 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
5962 Verzeichnisse wurden überprüft
184112 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
184111 Dateien ohne Befall
1811 Archive wurden durchsucht
0 Warnungen
1 Hinweise
Code:
ATTFilter Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3049
Windows 5.1.2600 Service Pack 3, v.3264
28.10.2009 23:05:25
mbam-log-2009-10-28 (23-05-10).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 182317
Laufzeit: 25 minute(s), 29 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 10
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rundll32.exe (Trojan.Agent) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\87b7a0141.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\87b7a0141.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\87b7a0141.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\87b7a0141.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\87b7a0141.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\87b7a0141.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\87b7a0141.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\87b7a0141.dll) Good: (wdmaud.drv) -> No action taken.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\system32\cmdow.exe (Malware.Tool) -> No action taken.
C:\WINDOWS\wuasirvy.dll (Trojan.Banker) -> No action taken.
Code:
ATTFilter Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, h**p://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Code:
ATTFilter catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-28 23:20:25
Windows 5.1.2600 Service Pack 3, v.3264 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
war leider nicht genug Platz - Teil2 im nächsten Thread http://www.trojaner-board.de/78924-t...ehr-teil2.html
__________________ Bitte langsam schreiben, bin schon etwas älter. Aber noch zu jung, um den Problemen aus dem Weg zu gehen, die ich ohne PC gar nicht hätte. Geändert von emet (29.10.2009 um 00:52 Uhr) |
|
29.10.2009, 00:51
| #2 |
| | TR/ATRAPS.GEN - msacm32.drv und mehr Teil2 Hier noch die anderen Scans ...
__________________sophos (der hat noch was gefunden) Code:
ATTFilter Area: Windows registry
Description: Hidden registry key
Location: \HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012008011820080119
Removable: No
Notes: (no more detail available)
und zu guter letzt gmer Code:
ATTFilter GMER 1.0.15.15163 - http://www.gmer.net
Rootkit scan 2009-10-28 23:33:04
Windows 5.1.2600 Service Pack 3, v.3264
Running: gmer.exe; Driver: C:\DOKUME~1\Anwender\LOKALE~1\Temp\awxdqpod.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwConnectPort [0xB73D8040]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateFile [0xB73D4930]
SSDT BAEFB8BE ZwCreateKey
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreatePort [0xB73D8510]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcess [0xB73DE870]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcessEx [0xB73DEAA0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateSection [0xB73E1FD0]
SSDT BAEFB8B4 ZwCreateThread
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateWaitablePort [0xB73D8600]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteFile [0xB73D4F20]
SSDT BAEFB8C3 ZwDeleteKey
SSDT BAEFB8CD ZwDeleteValueKey
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDuplicateObject [0xB73DE580]
SSDT BAEFB8D2 ZwLoadKey
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenFile [0xB73D4D70]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenProcess [0xB73DE350]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenThread [0xB73DE150]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRenameKey [0xB73E1250]
SSDT BAEFB8DC ZwReplaceKey
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRequestWaitReplyPort [0xB73D7C00]
SSDT BAEFB8D7 ZwRestoreKey
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSecureConnectPort [0xB73D8220]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetInformationFile [0xB73D5120]
SSDT BAEFB8C8 ZwSetValueKey
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwTerminateProcess [0xB73DECD0]
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwCallbackReturn + 2C7C 80504500 12 Bytes [10, 85, 3D, B7, 70, E8, 3D, ...]
? srescan.sys Das System kann die angegebene Datei nicht finden. !
.text win32k.sys!FONTOBJ_pxoGetXform + 4D52 BF866A97 5 Bytes JMP 89398610
.text win32k.sys!EngGradientFill + 189B BF8B9815 5 Bytes JMP 89398750
.text win32k.sys!PATHOBJ_bCloseFigure + 19D0 BF8ED9FB 5 Bytes JMP 893987F0
? C:\WINDOWS\system32\2E.tmp Das System kann die angegebene Datei nicht finden. !
? C:\DOKUME~1\Anwender\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. !
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\Explorer.EXE[580] SHELL32.dll!SHFileOperationW 7E7207EC 5 Bytes JMP 00CB1102 F:\System\Dateien loeschen\Unlocker\UnlockerHook.dll
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [B73DCCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [B73DD1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [B73DD320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [B73DCE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [B73DCE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [B73DCCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [B73DD1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [B73DD320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [B73DCCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [B73DCE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [B73DD320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [B73DD1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [B73DD320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [B73DD1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [B73DCCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [B73DCE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [B73DCCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [B73DD1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [B73DD320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter] [B73DD320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter] [B73DD1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol] [B73DCE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol] [B73DCCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [B73DCCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [B73DCE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [B73DD320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [B73DD1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
---- User IAT/EAT - GMER 1.0.15 ----
IAT F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryA] [01797376] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryA] [01797376] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!LoadLibraryA] [01797376] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!LoadLibraryA] [01797376] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!LoadLibraryA] [01797376] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!LoadLibraryA] [01797376] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryA] [01797376] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryA] [01797376] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA] [01797376] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryA] [01797376] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryA] [01797376] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\SAMLIB.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\NETAPI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\NETAPI32.dll [KERNEL32.dll!LoadLibraryA] [01797376] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryA] [01797376] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\CRYPT32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\USERENV.dll [KERNEL32.dll!LoadLibraryA] [01797376] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\USERENV.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\iphlpapi.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\iphlpapi.dll [KERNEL32.dll!LoadLibraryA] [01797376] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!LoadLibraryA] [01797376] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
---- Devices - GMER 1.0.15 ----
Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 hotcore3.sys (Hotbackup helper driver/Paragon Software Group)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 hotcore3.sys (Hotbackup helper driver/Paragon Software Group)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 hotcore3.sys (Hotbackup helper driver/Paragon Software Group)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume4 hotcore3.sys (Hotbackup helper driver/Paragon Software Group)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume5 hotcore3.sys (Hotbackup helper driver/Paragon Software Group)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume6 hotcore3.sys (Hotbackup helper driver/Paragon Software Group)
Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- EOF - GMER 1.0.15 ----
Ich hoffe natürlich das bereits das schlimmste behoben ist, aber bei der Malware und so, da bin ich mir nicht so sicher. Viele Grüße Ernst
__________________ |
|
29.10.2009, 10:48
| #3 |
| | TR/ATRAPS.GEN - msacm32.drv und mehr Sorry, hatte gestern Nacht schon keine Nerven mehr und anstatt das ganze auf 2 Posts aufzuteilen, hab ich 2 Themen daraus gemacht.
__________________Seit bitte so lieb und fügt dieses als 2. Post unter TR/ATRAPS.GEN - msacm32.drv und mehr Teil1 ein, dann kann man diesen Thread wieder löschen. War wohl gestern Nacht schon leicht verwirrt. Viele Grüße Ernst
__________________ |
|
29.10.2009, 14:40
| #4 | |
| /// AVZ-Toolkit Guru   | TR/ATRAPS.GEN - msacm32.drv und mehr Moin Ernst. Lasse Malwarebytes nocheinmal über den Rechner gucken und lösche alles was gefunden wird! Gleiches gilt für Avira mit aggresiven Einstellungen! Danach lässt du SuperAntiSpyware über das System gucken und ebenfalls alles löschen was gefunden wird! Danach geht es mit Panda weiter: Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation Danach noch Kasperksy: AVP-Tool
Der Scan beginnt in einem neuen Fenster. Er kann je nach Datenvolumen und Leistungsindex des Computers mehrere Stunden dauern. Nach Abschluss des Scans wirst du über gefundene Objekte informiert. Folge den empfohlenen Maßnahmen! Zuerst wird Kaspersky versuchen die schädliche Datei zu desinfizieren. Ist das nicht möglich wird sie unter Quarantäne gestellt oder gelöscht. Dabei wird immer ein Backup angelegt! Zögere also nicht die Funde löschen zu lassen. In besonderen Fällen wird Kaspersky eine Desinfektions-Routine einleiten die einen Neustart des PCs beinhaltet. Folge auch hier einfach den Anweisungen. Nachdem alle Funde gelöscht wurden klicke auf den "Report"-Button und kopiere den kompletten Bericht. Füge ihn bitte in deinen nächsten Beitrag hier am Forum ein. Dieser Bericht ist für weitere Analysen sehr wichtig und sollte unbedingt gepostet werden! Dateien Online überprüfen lassen: * Lasse dir auch die versteckten Dateien anzeigen! * Rufe die Seite Virustotal auf. * Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch. Zitat:
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren! * Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. Poste alle logs.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
29.10.2009, 18:57
| #5 | ||||
| | TR/ATRAPS.GEN - msacm32.drv und mehr Hallo und danke erst mal für die Hilfe. Ich fang jetzt noch an, doch den Scan mit AVP-Tool werd ich erst am Wochenende schaffen - muss wohl nochmal 1-2 Tage weg. Zitat:
Zitat:
Zitat:
Und bitte nicht mit dem cCleaner - der verträgt sich absolut nicht mit meinem PC - der hat mir schon alles irgendwie zerschossen. Oder ist die neueste Version endlich sicher. Ansonsten benutz ich was anderes. Zitat:
So, ich fang jetzt gleich an. Bis dann und Danke erst mal. Gruß Ernst
__________________ Bitte langsam schreiben, bin schon etwas älter. Aber noch zu jung, um den Problemen aus dem Weg zu gehen, die ich ohne PC gar nicht hätte. |
|
29.10.2009, 19:46
| #6 | |
| /// AVZ-Toolkit Guru | TR/ATRAPS.GEN - msacm32.drv und mehrZitat:
__________________ --> TR/ATRAPS.GEN - msacm32.drv und mehr |
|
29.10.2009, 22:56
| #7 |
| | TR/ATRAPS.GEN - msacm32.drv und mehr Hab ich bereits gemacht. Avira auch noch mal - findet aber nix mehr. Superantispyware hat noch ein paar Sachen in Quarantäne gestellt. Immer während der Scanvorgänge poppen hier und da mal ein paar Warungen von Avira auf. Da hats mir inzwischen ne PHP-Datei auf der zweiten Festplatte bei Dateien angelegt - hab ich darüber gleich gelöscht. Es läuft gerade der Onlinescan und der hat schon 3 sachen gefunden - soll ich mich dort registrieren, damit er es auch repariert. Und wie ist es nochmal mit ccleaner - der hatte mir wie gesagt mal alles zerhauen - geht auch easycleaner - der macht mir nix kaputt. Den hab ich bisher immer nur für die Registry benutzt. Gruß Ernst EDIT: Muss mich verbessern und bin geschockt - der OnlineScan zeigt bereits 60 infizierte Dateien. Ich kann es mir nicht leisten jetzt meinen PC neu aufzusetzen. Hab ne Menge Arbeit zu tun.
__________________ Bitte langsam schreiben, bin schon etwas älter. Aber noch zu jung, um den Problemen aus dem Weg zu gehen, die ich ohne PC gar nicht hätte. |
|
30.10.2009, 01:42
| #8 |
| /// AVZ-Toolkit Guru | TR/ATRAPS.GEN - msacm32.drv und mehr Poste bitte alle logs! Nur so können wir dir helfen.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
02.11.2009, 13:54
| #9 |
| | TR/ATRAPS.GEN - msacm32.drv und mehr Habs jetzt geschafft und poste alle Logs in 4 Posts, da der Platz sonst nicht reicht. Habe alles entfernen lassen und was nicht ging wie bei Mails (altbackups) oder Sys Volume Info etc. hab ich alles per Hand gelöscht. Wegen dem Platz zeige ich auch nur die Laufwerke an, wo was gefunden wurde. Zuerst mal hijackthis Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:47:09, on 02.11.2009 Platform: Windows XP SP3, v.3264 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe F:\Sicherheit\Spyware\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE F:\Sicherheit\Spyware\Windows Defender\MSASCui.exe F:\System\Dateien loeschen\Unlocker\UnlockerAssistant.exe F:\Internet\Spam\Spamihilator\spamihilator.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe F:\Sicherheit\Firewall\ZoneAlarm\ZoneAlarm\zlclient.exe F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\avgnt.exe E:\Sandboxie\SbieCtrl.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Logitech\SetPoint\SetPoint.exe F:\Tools\ISDN-Monitor\ISDNMon.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE F:\Sicherheit\Antivirus\a-squared-Free\a2service.exe F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\system32\crypserv.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\McAfee\SiteAdvisor\McSACore.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe F:\Tools\Brennen\CDBurnerXP\NMSAccessU.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe C:\WINDOWS\system32\nvsvc32.exe E:\Sandboxie\SbieSvc.exe F:\System\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE C:\WINDOWS\system32\svchost.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\avmailc.exe F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\AVWEBGRD.EXE F:\Sicherheit\HiJackThis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\SICHER~1\Spyware\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - F:\Tools\Download\Free Download Manager\iefdm2.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot O4 - HKLM\..\Run: [Windows Defender] "F:\Sicherheit\Spyware\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [UnlockerAssistant] "F:\System\Dateien loeschen\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [Spamihilator] "F:\Internet\Spam\Spamihilator\spamihilator.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe O4 - HKLM\..\Run: [QuickTime Task] "F:\Player\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Sicherheit\Firewall\ZoneAlarm\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [avgnt] "F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "F:\Sicherheit\Malwarebytes\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [SandboxieControl] "E:\Sandboxie\SbieCtrl.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - S-1-5-18 Startup: ISDN-Monitor.lnk = F:\Tools\ISDN-Monitor\ISDNMon.exe (User 'SYSTEM') O4 - .DEFAULT Startup: ISDN-Monitor.lnk = F:\Tools\ISDN-Monitor\ISDNMon.exe (User 'Default user') O4 - Startup: ISDN-Monitor.lnk = F:\Tools\ISDN-Monitor\ISDNMon.exe O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ? O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Alles mit FDM herunterladen - file://F:\Tools\Download\Free Download Manager\dlall.htm O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://F:\Tools\Download\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://F:\Tools\Download\Free Download Manager\dllink.htm O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Videos mit FDM herunterladen - file://F:\Tools\Download\Free Download Manager\dlfvideo.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\SICHER~1\Spyware\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\SICHER~1\Spyware\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: ppctlcab - h**p://ppupdates.ca.com/downloads/scanner/ppctlcab.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - h**p://ppupdates.ca.com/downloads/scanner/axscanner.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://download.bitdefender.com/resources/scan8/oscan8.cab O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - h**p://acs.pandasoftware.com/activescan/cabs/as2stubie.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{EB19C06C-F727-4B0E-959C-5F691DF94454}: NameServer = 192.168.120.252,192.168.120.253 O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll O20 - Winlogon Notify: !SASWinLogon - F:\Sicherheit\Spyware\Superantispyware\SASWINLO.dll O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - F:\Sicherheit\Antivirus\a-squared-Free\a2service.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\avmailc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\avguard.exe O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\AVWEBGRD.EXE O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programme\McAfee\SiteAdvisor\McSACore.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NMSAccessU - Unknown owner - F:\Tools\Brennen\CDBurnerXP\NMSAccessU.exe O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sandboxie Service (SbieSvc) - tzuk - E:\Sandboxie\SbieSvc.exe O23 - Service: Speed Disk service - Symantec Corporation - F:\System\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 13560 bytes Code:
ATTFilter Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3059
Windows 5.1.2600 Service Pack 3, v.3264
31.10.2009 15:00:07
mbam-log-2009-10-31 (15-00-07).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 423492
Laufzeit: 1 hour(s), 12 minute(s), 59 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
............................................
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3059
Windows 5.1.2600 Service Pack 3, v.3264
31.10.2009 16:25:38
mbam-log-2009-10-31 (16-25-38).txt
Scan-Methode: Vollständiger Scan (H:\|)
Durchsuchte Objekte: 288593
Laufzeit: 1 hour(s), 12 minute(s), 22 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
H:\System Volume Information\_restore{E7646A06-CAB7-41A7-A3FE-ADED973D931E}\RP402\A0171993.exe (Malware.Tool) -> Quarantined and deleted successfully.
H:\Undo\Alt_Undo_2007\Undo\Programme\Web\ani\anigif5\IconCoolStudio.exe (Malware.NSPack) -> Quarantined and deleted successfully.
H:\Undo\Alt_Undo_2007\Undo\Programme\Web\Color Schemer\ColorPix.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
H:\Undo\Alt_Undo_2007\Undo\Programme\Web\Color Schemer\www.colorschemer.com\ColorPix.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
.......................
Es ist alles in Quarantäne bzw. gelöscht!!
--------------
__________________ Bitte langsam schreiben, bin schon etwas älter. Aber noch zu jung, um den Problemen aus dem Weg zu gehen, die ich ohne PC gar nicht hätte. Geändert von emet (02.11.2009 um 14:10 Uhr) |
|
02.11.2009, 14:00
| #10 |
| | TR/ATRAPS.GEN - msacm32.drv und mehr ... und Post 2 mit den weiteren Logs Nun Avira Code:
ATTFilter In 2 Laufwerken waren Funde:
Die Mails waren aus alten Mailordnern, die ich aufgehoben hatte, als ich letztes Jahr auf einen neuen PC umgezogen bin.
Diese lagen auf Laufwerken vom hin und herschieben. Diese Mails wurde allerdings nie geöffnet.
Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Samstag, 31. Oktober 2009 16:13
Es wird nach 1851309 Virenstämmen gesucht.
Plattform : Windows XP
Windowsversion : (Service Pack 3, v.3264) [5.1.2600]
Boot Modus : Normal gebootet
Versionsinformationen:
BUILD.DAT : 9.0.0.447 21381 Bytes 26.08.2009 16:26:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 09.08.2009 16:46:56
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 13:02:58
ANTIVIR2.VDF : 7.1.6.160 5413376 Bytes 28.10.2009 17:49:19
ANTIVIR3.VDF : 7.1.6.173 71680 Bytes 30.10.2009 10:17:17
Engineversion : 8.2.1.53
AEVDF.DLL : 8.1.1.2 106867 Bytes 16.09.2009 16:56:48
AESCRIPT.DLL : 8.1.2.43 528764 Bytes 31.10.2009 10:17:18
AESCN.DLL : 8.1.2.5 127346 Bytes 03.09.2009 20:03:52
AERDL.DLL : 8.1.3.2 479604 Bytes 03.10.2009 09:51:25
AEPACK.DLL : 8.2.0.2 422263 Bytes 22.10.2009 18:36:42
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 18.06.2009 20:01:24
AEHEUR.DLL : 8.1.0.173 2064760 Bytes 28.10.2009 19:44:14
AEHELP.DLL : 8.1.7.0 237940 Bytes 03.09.2009 20:03:50
AEGEN.DLL : 8.1.1.70 364917 Bytes 28.10.2009 19:43:59
AEEMU.DLL : 8.1.1.0 393587 Bytes 03.10.2009 09:51:20
AECORE.DLL : 8.1.8.1 184693 Bytes 16.09.2009 16:56:37
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 08.09.2009 17:41:58
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.28 2623745 Bytes 09.06.2009 17:19:31
RCTEXT.DLL : 9.0.37.0 90881 Bytes 17.04.2009 08:41:38
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\DOKUME~1\Anwender\LOKALE~1\Temp\b4e09cb1.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: F:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,
Beginne mit der Suche in 'F:\' <Programme>
F:\Internet\Browser\Kopie von Netscape\Mail\pop.btx.dtag.de\Inbox
[0] Archivtyp: Netscape/Mozilla Mailbox
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
--> Mailbox_[Subject: Hallo von Fiona][From: K-loschkatz@gmx.de][Message-ID: <cmu-lmtpd-20996-1241385722-1@mhead203>]918.mim
[1] Archivtyp: MIME
--> Fiona-Karte-.jpeq.zip
[2] Archivtyp: ZIP
--> Fiona-Karte-.jpeq.com
[3] Archivtyp: ZIP SFX (self extracting)
[FUND] Ist das Trojanische Pferd TR/Drop.Mudrop.CY
--> Bild.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> zz05.exe
[FUND] Ist das Trojanische Pferd TR/Spy.2048.7
F:\Internet\Browser\Kopie von Netscape\Mail\pop.btx.dtag.de\Trash
[0] Archivtyp: Netscape/Mozilla Mailbox
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
--> Mailbox_[Subject: Hallo von Carla][From: boungertz-j@gmx.de][Message-ID: <cmu-lmtpd-17841-1238670362-3@mhead203>]190.mim
[1] Archivtyp: MIME
--> Foto-Carla-.jpeq.zip
[2] Archivtyp: ZIP
--> Foto-Carla-.jpeq.com
[3] Archivtyp: ZIP SFX (self extracting)
[FUND] Enthält Erkennungsmuster des Droppers DR/Fiona.G
--> Bild.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.91751
--> windows1.bat
[FUND] Enthält Erkennungsmuster des Batch-Virus BAT/KillAV.XK
--> zz.exe
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
--> Mailbox_[Subject: Hallo von Fiona][From: K-loschkatz@gmx.de][Message-ID: <cmu-lmtpd-20996-1241385722-1@mhead203>]378.mim
[1] Archivtyp: MIME
--> Fiona-Karte-.jpeq.zip
[2] Archivtyp: ZIP
--> Fiona-Karte-.jpeq.com
[3] Archivtyp: ZIP SFX (self extracting)
[FUND] Ist das Trojanische Pferd TR/Drop.Mudrop.CY
F:\Internet\Browser\Netscape\Mail_alt\pop.btx.dtag.de\Inbox
[0] Archivtyp: Netscape/Mozilla Mailbox
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
--> Mailbox_[Subject: Hallo von Fiona][From: K-loschkatz@gmx.de][Message-ID: <cmu-lmtpd-20996-1241385722-1@mhead203>]918.mim
[1] Archivtyp: MIME
--> Fiona-Karte-.jpeq.zip
[2] Archivtyp: ZIP
--> Fiona-Karte-.jpeq.com
[3] Archivtyp: ZIP SFX (self extracting)
[FUND] Ist das Trojanische Pferd TR/Drop.Mudrop.CY
--> Bild.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> zz05.exe
[FUND] Ist das Trojanische Pferd TR/Spy.2048.7
F:\Internet\Browser\Netscape\Mail_alt\pop.btx.dtag.de\Trash
[0] Archivtyp: Netscape/Mozilla Mailbox
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
--> Mailbox_[Subject: Hallo von Carla][From: boungertz-j@gmx.de][Message-ID: <cmu-lmtpd-17841-1238670362-3@mhead203>]190.mim
[1] Archivtyp: MIME
--> Foto-Carla-.jpeq.zip
[2] Archivtyp: ZIP
--> Foto-Carla-.jpeq.com
[3] Archivtyp: ZIP SFX (self extracting)
[FUND] Enthält Erkennungsmuster des Droppers DR/Fiona.G
--> Bild.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.91751
--> windows1.bat
[FUND] Enthält Erkennungsmuster des Batch-Virus BAT/KillAV.XK
--> zz.exe
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
--> Mailbox_[Subject: Hallo von Fiona][From: K-loschkatz@gmx.de][Message-ID: <cmu-lmtpd-20996-1241385722-1@mhead203>]378.mim
[1] Archivtyp: MIME
--> Fiona-Karte-.jpeq.zip
[2] Archivtyp: ZIP
--> Fiona-Karte-.jpeq.com
[3] Archivtyp: ZIP SFX (self extracting)
[FUND] Ist das Trojanische Pferd TR/Drop.Mudrop.CY
Ende des Suchlaufs: Samstag, 31. Oktober 2009 16:37
Benötigte Zeit: 23:21 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
2854 Verzeichnisse wurden überprüft
157092 Dateien wurden geprüft
16 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
157076 Dateien ohne Befall
20144 Archive wurden durchsucht
4 Warnungen
0 Hinweise
........................
Konfiguration für den aktuellen Suchlauf:
Bootsektoren..........................: H:,
Beginn des Suchlaufs: Samstag, 31. Oktober 2009 17:41
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'H:\' <Undo>
H:\Undo\Alt_Undo\Programme\Webdesign\ShopSoftware\xaranshop----fragezeichen\zipexe\xaranshop.part04.rar
[0] Archivtyp: RAR
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
--> InstMsiW.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
H:\Undo\Alt_Undo\Programme\Webdesign\ShopSoftware\xaranshop----fragezeichen\zipexe\xaranshop.part06.rar
[0] Archivtyp: RAR
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
--> setup.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
H:\Undo\Alt_Undo_2007\Undo\Backup.rar
[0] Archivtyp: RAR
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
--> Backup\Netscape71\Mail\m7798252-2j-m\Spam---Junk
[1] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[From: "Benutzerunterstutzung." <support@citibank.de>][Message-ID: <939650065.08779689156796@bramall.com>][Subject: Scheckkonto, citibank schlo? einige Konten ]702.mim
[2] Archivtyp: MIME
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[From: "Benutzerunterstutzung." <admin@citibank.de>][Message-ID: <968410524.18770809541099@be-intl.com>][Subject: Citibank informiert 3000 Konten von der Schlie?]704.mim
[2] Archivtyp: MIME
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[From: "Informationen." <Inform@citibank.de>][Message-ID: <346745571.37842990346540@brandywineonline.com>][Subject: Die Nachrichten von citibank - Scheckkonto ]706.mim
[2] Archivtyp: MIME
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[From: "Informationen." <admin@citibank.de>][Message-ID: <084879686.68513485727537@liquidweb.com>][Subject: Ihr citibank erklart moglicherweise getroffene ]708.mim
[2] Archivtyp: MIME
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[From: "Hilfsteam." <admin@citibank.de>][Message-ID: <941105505.64040438319324@offerbyowner.com>][Subject: Citibank informiert 3000 Konten von der Schlie?]718.mim
[2] Archivtyp: MIME
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[From: "Hilfsteam." <Unterstutzung@citibank.de >][Message-ID: <120700157.35618806672867@qeddata.com>][Subject: Uberprufen Sie prompt citibank-Konto ]720.mim
[2] Archivtyp: MIME
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Backup\Netscape71\Mail\pop.btx.dtag.de\Spam---Junk
[1] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[From: "NatWest" <clientcare.ref98935933.ib@natwest.co][Subject: *SPAM* notification from National Westminster B]2582.mim
[2] Archivtyp: MIME
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
H:\Undo\Alt_Undo_2007\Undo\Programme\Programme.rar
[0] Archivtyp: RAR
--> Flash 4 Web - Win XP\Slideshow\Flash Slideshow Maker Free Version 4.2\setup_fssmpro.exe
[1] Archivtyp: NSIS
--> Settings/fssmdrm_pro.dll
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Armadillo). Bitte verifizieren Sie den Ursprung dieser Datei.
--> Flash 4 Web - Win XP\Slideshow\Flash Slideshow Maker Version 4.21\setup_flash_slideshow_maker.exe
[1] Archivtyp: NSIS
--> Settings/fssmdrm_pro.dll
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Armadillo). Bitte verifizieren Sie den Ursprung dieser Datei.
--> Flash 4 Web - Win XP\Slideshow\SlideshowZilla 1.0 Free Trial\slideshowzilla_setup.exe
[1] Archivtyp: NSIS
--> Settings/fssmdrm_pro.dll
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Armadillo). Bitte verifizieren Sie den Ursprung dieser Datei.
--> Settings/slideshowzilladrm.dll
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Armadillo). Bitte verifizieren Sie den Ursprung dieser Datei.
--> Packer\simplyzipse\simplyzipse.exe
[1] Archivtyp: ZIP SFX (self extracting)
--> setup.exe
[2] Archivtyp: NSIS
--> [ProgramFilesDir]/Simplyzip/SimplyZip.exe
[FUND] Ist das Trojanische Pferd TR/Spy.536832
--> TS-Tune\2001_Update\ts-tune2001-v7-update.exe
--> Updates\webfresh\detection.exe
--> Updates\webfresh\sp_446717_r2_r2c.exe
H:\Undo\Undo\Backup\MozBackup\Backups\Netscape7.1\SeaMonkey - 2009-05-30.pcv
[0] Archivtyp: ZIP
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
--> Mail/pop.btx.dtag.de/Inbox
[1] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[Subject: Hallo von Fiona][From: K-loschkatz@gmx.de][Message-ID: <cmu-lmtpd-20996-1241385722-1@mhead203>]918.mim
[2] Archivtyp: MIME
--> Fiona-Karte-.jpeq.zip
[3] Archivtyp: ZIP
--> Fiona-Karte-.jpeq.com
[4] Archivtyp: ZIP SFX (self extracting)
[FUND] Ist das Trojanische Pferd TR/Drop.Mudrop.CY
--> Bild.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> zz05.exe
[FUND] Ist das Trojanische Pferd TR/Spy.2048.7
--> Mail/pop.btx.dtag.de/Trash
[1] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[Subject: Hallo von Carla][From: boungertz-j@gmx.de][Message-ID: <cmu-lmtpd-17841-1238670362-3@mhead203>]190.mim
[2] Archivtyp: MIME
--> Foto-Carla-.jpeq.zip
[3] Archivtyp: ZIP
--> Foto-Carla-.jpeq.com
[4] Archivtyp: ZIP SFX (self extracting)
[FUND] Enthält Erkennungsmuster des Droppers DR/Fiona.G
--> Bild.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.91751
--> windows1.bat
[FUND] Enthält Erkennungsmuster des Batch-Virus BAT/KillAV.XK
--> zz.exe
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
--> Mailbox_[Subject: Hallo von Fiona][From: K-loschkatz@gmx.de][Message-ID: <cmu-lmtpd-20996-1241385722-1@mhead203>]378.mim
[2] Archivtyp: MIME
--> Fiona-Karte-.jpeq.zip
[3] Archivtyp: ZIP
--> Fiona-Karte-.jpeq.com
[4] Archivtyp: ZIP SFX (self extracting)
[FUND] Ist das Trojanische Pferd TR/Drop.Mudrop.CY
H:\Undo\Undo\Backup\Netscape71\Mail\m7798252-2j-m\Spam---Junk
[0] Archivtyp: Netscape/Mozilla Mailbox
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
--> Mailbox_[From: "Benutzerunterstutzung." <support@citibank.de>][Message-ID: <939650065.08779689156796@bramall.com>][Subject: Scheckkonto, citibank schlo? einige Konten ]702.mim
[1] Archivtyp: MIME
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[From: "Benutzerunterstutzung." <admin@citibank.de>][Message-ID: <968410524.18770809541099@be-intl.com>][Subject: Citibank informiert 3000 Konten von der Schlie?]704.mim
[1] Archivtyp: MIME
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[From: "Informationen." <Inform@citibank.de>][Message-ID: <346745571.37842990346540@brandywineonline.com>][Subject: Die Nachrichten von citibank - Scheckkonto ]706.mim
[1] Archivtyp: MIME
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[From: "Informationen." <admin@citibank.de>][Message-ID: <084879686.68513485727537@liquidweb.com>][Subject: Ihr citibank erklart moglicherweise getroffene ]708.mim
[1] Archivtyp: MIME
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[From: "Hilfsteam." <admin@citibank.de>][Message-ID: <941105505.64040438319324@offerbyowner.com>][Subject: Citibank informiert 3000 Konten von der Schlie?]718.mim
[1] Archivtyp: MIME
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[From: "Hilfsteam." <Unterstutzung@citibank.de >][Message-ID: <120700157.35618806672867@qeddata.com>][Subject: Uberprufen Sie prompt citibank-Konto ]720.mim
[1] Archivtyp: MIME
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
H:\Undo\Undo\Backup\Netscape71\Mail\pop.btx.dtag.de\Spam---Junk
[0] Archivtyp: Netscape/Mozilla Mailbox
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
--> Mailbox_[From: "NatWest" <clientcare.ref98935933.ib@natwest.co][Subject: *SPAM* notification from National Westminster B]2582.mim
[1] Archivtyp: MIME
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
H:\Undo\Undo\Backup\Netscape71_neu\Mail_alt\pop.btx.dtag.de\Inbox
[0] Archivtyp: Netscape/Mozilla Mailbox
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
--> Mailbox_[Subject: Hallo von Fiona][From: K-loschkatz@gmx.de][Message-ID: <cmu-lmtpd-20996-1241385722-1@mhead203>]918.mim
[1] Archivtyp: MIME
--> Fiona-Karte-.jpeq.zip
[2] Archivtyp: ZIP
--> Fiona-Karte-.jpeq.com
[3] Archivtyp: ZIP SFX (self extracting)
[FUND] Ist das Trojanische Pferd TR/Drop.Mudrop.CY
--> Bild.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> zz05.exe
[FUND] Ist das Trojanische Pferd TR/Spy.2048.7
H:\Undo\Undo\Backup\Netscape71_neu\Mail_alt\pop.btx.dtag.de\Trash
[0] Archivtyp: Netscape/Mozilla Mailbox
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
--> Mailbox_[Subject: Hallo von Carla][From: boungertz-j@gmx.de][Message-ID: <cmu-lmtpd-17841-1238670362-3@mhead203>]190.mim
[1] Archivtyp: MIME
--> Foto-Carla-.jpeq.zip
[2] Archivtyp: ZIP
--> Foto-Carla-.jpeq.com
[3] Archivtyp: ZIP SFX (self extracting)
[FUND] Enthält Erkennungsmuster des Droppers DR/Fiona.G
--> Bild.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.91751
--> windows1.bat
[FUND] Enthält Erkennungsmuster des Batch-Virus BAT/KillAV.XK
--> zz.exe
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
--> Mailbox_[Subject: Hallo von Fiona][From: K-loschkatz@gmx.de][Message-ID: <cmu-lmtpd-20996-1241385722-1@mhead203>]378.mim
[1] Archivtyp: MIME
--> Fiona-Karte-.jpeq.zip
[2] Archivtyp: ZIP
--> Fiona-Karte-.jpeq.com
[3] Archivtyp: ZIP SFX (self extracting)
[FUND] Ist das Trojanische Pferd TR/Drop.Mudrop.CY
H:\Undo\Undo\Programme\Sicherheit\Sandbox\Win-SeO\Win-SeO_3.1.exe
[0] Archivtyp: RSRC
--> Object
[1] Archivtyp: CAB (Microsoft)
--> SetACL.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/ACLSet
Beginne mit der Desinfektion:
H:\Undo\Alt_Undo_2007\Undo\Programme\Programme.rar
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26001
[WARNUNG] Fehler in der Quarantäne Initialisierung!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '489a87af.qua' verschoben!
H:\Undo\Undo\Programme\Sicherheit\Sandbox\Win-SeO\Win-SeO_3.1.exe
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b5ab18d.qua' verschoben!
Ende des Suchlaufs: Samstag, 31. Oktober 2009 22:50
Benötigte Zeit: 4:33:14 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
16515 Verzeichnisse wurden überprüft
1135128 Dateien wurden geprüft
50 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1135078 Dateien ohne Befall
46667 Archive wurden durchsucht
11 Warnungen
2 Hinweise
.................................
Es ist alles in Quarantäne oder gelöscht!!
__________________ Bitte langsam schreiben, bin schon etwas älter. Aber noch zu jung, um den Problemen aus dem Weg zu gehen, die ich ohne PC gar nicht hätte. |
|
02.11.2009, 14:03
| #11 |
| | TR/ATRAPS.GEN - msacm32.drv und mehr Post 3 mit weiteren Logs Nun SUPERAntiSpyware Code:
ATTFilter SUPERAntiSpyware Scan Log
Generated 10/29/2009 at 10:01 PM
Application Version : 4.29.1004
Core Rules Database Version : 4210
Trace Rules Database Version: 2117
Scan type : Complete Scan
Total Scan Time : 00:37:41
Memory items scanned : 587
Memory threats detected : 0
Registry items scanned : 6916
Registry threats detected : 0
File items scanned : 44147
File threats detected : 5
Adware.Tracking Cookie
.de.at.atwola.com [ C:\Dokumente und Einstellungen\Anwender\Anwendungsdaten\Mozilla\Profiles\default\Kopie von lto5p63v.slt\cookies.txt ]
.aolde.122.2o7.net [ C:\Dokumente und Einstellungen\Anwender\Anwendungsdaten\Mozilla\Profiles\default\Kopie von lto5p63v.slt\cookies.txt ]
Dialer.Sysupd
H:\UNDO\ALT_UNDO_2007\UNDO\PROGRAMME\VIRENSCANNER\ANTIVIR WINDOWS-SYSTEM-DLLS\SYSUPD.EXE
Unclassified.Monitor/ActualSpy
H:\UNDO\UNDO\SOFTWARE\XP MULTI\PROGRAMME\MG11PRO\SUPPORT\MGGSTR32.DLL
Trojan.Agent/Gen-FSG
H:\UNDO\UNDO\SOFTWARE\XP MULTI\PROGRAMME\RAXCO\KEYGEN.EXE
..........................
Generated 11/01/2009 at 05:05 PM
Application Version : 4.29.1004
Core Rules Database Version : 4218
Trace Rules Database Version: 2122
Scan type : Complete Scan
Total Scan Time : 00:16:02
Memory items scanned : 621
Memory threats detected : 0
Registry items scanned : 6912
Registry threats detected : 0
File items scanned : 12069
File threats detected : 1
Unclassified.Monitor/ActualSpy
H:\SYSTEM VOLUME INFORMATION\_RESTORE{E7646A06-CAB7-41A7-A3FE-ADED973D931E}\RP402\A0171918.DLL
..................
Alles gelöscht!!
Nun Panda Active Scan Code:
ATTFilter Panda Active Scan
Registriert und dadurch desinfizieren lassen. Was nicht desinfiziert wurde, ist alles von Hand gelöscht!!
Auch Sys Volume Info
...........
ANALYSIS: 2009-11-01
Laufwerk C:
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
04779600 Trj/Sinowal.WOS Virus/Trojan No 1 Yes Yes c:\system volume information\_restore{e7646a06-cab7-41a7-a3fe-aded973d931e}\rp402\a0171999.exe
04779600 Trj/Sinowal.WOS Virus/Trojan No 1 Yes Yes c:\system volume information\_restore{e7646a06-cab7-41a7-a3fe-aded973d931e}\rp402\a0172000.exe
04779600 Trj/Sinowal.WOS Virus/Trojan No 1 Yes Yes c:\system volume information\_restore{e7646a06-cab7-41a7-a3fe-aded973d931e}\rp402\a0171998.exe
SUSPECTS
Sent Location
Yes c:\windows\installer\sandboxieinstall.exe
.......................................................................................................................................................................
Laufwerk F:
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No f:\internet\browser\netscape\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.doubleclick.net/]
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No f:\internet\browser\netscape\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.mediaplex.com/]
00168061 Cookie/Apmebf TrackingCookie No 0 Yes No f:\internet\browser\netscape\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.apmebf.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No f:\internet\browser\netscape\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No f:\internet\browser\netscape\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No f:\internet\browser\netscape\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No f:\internet\browser\netscape\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No f:\internet\browser\netscape\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No f:\internet\browser\netscape\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.serving-sys.com/]
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No f:\internet\browser\netscape\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.bs.serving-sys.com/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes No f:\internet\browser\netscape\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.advertising.com/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes No f:\internet\browser\netscape\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.advertising.com/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes No f:\internet\browser\netscape\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.advertising.com/]
01648769 HackTool/Finder.B HackTools No 0 Yes No f:\sicherheit\pantsoff\pantsoffhk.dll
01648911 HackTool/Finder.B HackTools No 0 No No f:\internet\browser\netscape\ehm\standardbenutzer\9uvs43lk.slt\mail\pop.gmx.net\sent[pantsoff.rar][pantsoff.exe]
.......................................................................................................................................................................
Laufwerk F:
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No h:\undo\undo\backup\netscape71_neu\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.doubleclick.net/]
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No h:\undo\undo\backup\netscape71_neu\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.mediaplex.com/]
00168061 Cookie/Apmebf TrackingCookie No 0 Yes No h:\undo\undo\backup\netscape71_neu\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.apmebf.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No h:\undo\undo\backup\netscape71_neu\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No h:\undo\undo\backup\netscape71_neu\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No h:\undo\undo\backup\netscape71_neu\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No h:\undo\undo\backup\netscape71_neu\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No h:\undo\undo\backup\netscape71_neu\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No h:\undo\undo\backup\netscape71_neu\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.serving-sys.com/]
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No h:\undo\undo\backup\netscape71_neu\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.bs.serving-sys.com/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes No h:\undo\undo\backup\netscape71_neu\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.advertising.com/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes No h:\undo\undo\backup\netscape71_neu\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.advertising.com/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes No h:\undo\undo\backup\netscape71_neu\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.advertising.com/]
01648911 HackTool/Finder.B HackTools No 0 Yes No h:\undo\undo\programme\sicherheit\pantsoff\pantsoff.exe
01648911 HackTool/Finder.B HackTools No 0 Yes No h:\undo\alt_undo_2007\undo\programme\passwort pants off\pantsoff.exe
01648911 HackTool/Finder.B HackTools No 0 Yes No h:\system volume information\_restore{e7646a06-cab7-41a7-a3fe-aded973d931e}\rp403\a0173433.exe
01648911 HackTool/Finder.B HackTools No 0 No No h:\undo\undo\backup\netscape71_neu\ehm\standardbenutzer\9uvs43lk.slt\mail\pop.gmx.net\sent[pantsoff.rar][pantsoff.exe]
01648911 HackTool/Finder.B HackTools No 0 No No h:\undo\undo\programme\sicherheit\pantsoff\pantsoff.rar[pantsoff.exe]
03882164 Adware/UppcBar Adware No 0 No No h:\undo\undo\software\xp multi\programme\mg11pro\data1.cab[fmaccount.dll]
04199671 Trj/Downloader.MDW Virus/Trojan No 1 Yes Yes h:\system volume information\_restore{e7646a06-cab7-41a7-a3fe-aded973d931e}\rp402\a0172001.exe
SUSPECTS
Sent Location
No h:\system volume information\_restore{e7646a06-cab7-41a7-a3fe-aded973d931e}\rp403\a0173436.exe[setup.exe][simplyzip.exe]
No h:\system volume information\_restore{e7646a06-cab7-41a7-a3fe-aded973d931e}\rp403\a0173465.exe
No h:\system volume information\_restore{e7646a06-cab7-41a7-a3fe-aded973d931e}\rp403\a0173574.exe
No h:\system volume information\_restore{e7646a06-cab7-41a7-a3fe-aded973d931e}\rp404\a0177003.exe[setup.exe][simplyzip.exe]
No h:\system volume information\_restore{e7646a06-cab7-41a7-a3fe-aded973d931e}\rp404\a0176780.exe
No h:\system volume information\_restore{e7646a06-cab7-41a7-a3fe-aded973d931e}\rp404\a0176780.exe[h:\system volume information\_restore{e7646a06-cab7-41a7-a3fe-aded973d931e}\rp404\a0176780.exe][win-seo.exe]
No h:\undo\alt_undo\programme\webdesign\tools media\createmovie\zipexe\createmovie.exe
No h:\undo\alt_undo_2007\undo\programme\messenger\portable gaim 2.0b3.1_multilingual\gaim_portable_2.0b3.1_multilingual.exe
No h:\undo\alt_undo_2007\undo\programme\system\spyware\spybot - search & destroy 1.4\detection updates 2006-12-01\spybotsd_includes.exe
No h:\undo\alt_undo_2007\undo\web\htaccess generator 1.00\easyhta.zip[support/easyhta.exe]
No h:\undo\alt_undo_2007\undo\web\htaccess generator 1.00\easyhta.zip[easyhta.cab][easyhta.exe]
No h:\undo\undo\programme\sicherheit\sandbox\sandboxie\03-2008\sandboxieinstall.exe
No h:\undo\undo\programme\tools\brennen\easy burning\easyburn_dvd202.zip[setup.exe][easy_burning.exe]
No h:\undo\undo\software\multi\programme\startup-spyxp\startupspy.exe
No h:\undo\undo\software\multi\programme\studio10\setup\data1.cab[mixup3du.fex]
No h:\undo\undo\web\tools\easy .htaccess generator 1.0\easyhta.zip[support/easyhta.exe]
No h:\undo\undo\web\tools\easy .htaccess generator 1.0\easyhta.zip[easyhta.cab][easyhta.exe]
.......................................................................................................................................................................
VULNERABILITIES
Id Severity Description
214076 HIGH MS09-059
971486 HIGH MS09-058
214074 HIGH MS09-057
214073 HIGH MS09-056
214072 HIGH MS09-055
214071 HIGH MS09-054
213109 HIGH MS09-046
212494 HIGH MS09-042
212493 HIGH MS09-041
212490 HIGH MS09-038
212530 HIGH MS09-034
211784 HIGH MS09-032
211781 HIGH MS09-029
210625 HIGH MS09-026
210624 HIGH MS09-025
210621 HIGH MS09-022
210618 HIGH MS09-019
208380 HIGH MS09-015
208379 HIGH MS09-014
208378 HIGH MS09-013
208377 HIGH MS09-012
206981 HIGH MS09-007
206980 HIGH MS09-006
205735 HIGH MS09-002
204670 HIGH MS09-001
203806 HIGH MS08-078
203508 HIGH MS08-073
203505 HIGH MS08-071
202465 HIGH MS08-068
201683 HIGH MS08-067
201258 HIGH MS08-066
201256 HIGH MS08-064
201255 HIGH MS08-063
201253 HIGH MS08-061
201250 HIGH MS08-058
209275 HIGH MS08-049
209273 HIGH MS08-045
196455 MEDIUM MS08-037
194862 HIGH MS08-032
194861 HIGH MS08-031
194860 HIGH MS08-030
191617 HIGH MS08-024
__________________ Bitte langsam schreiben, bin schon etwas älter. Aber noch zu jung, um den Problemen aus dem Weg zu gehen, die ich ohne PC gar nicht hätte. |
|
02.11.2009, 14:08
| #12 |
| | TR/ATRAPS.GEN - msacm32.drv und mehr Post 4 mit den restlichen Logs Virus Removal Tool Code:
ATTFilter Virus Removal Tool
Habe nur das notwendigste rausgezogen, da die Dateien riesig sind.
Bin erst beim letzten draufgekommen, nochmal von Hand Report zu sichern.
Die automatischen Reports eines Laufwerkes sind ja riesengroß.
Alle anderen Laufwerke waren ok.
Laufwerk H:
Scanned: 1037197
Detected: 2
Untreated: 0
Start time: 01.11.2009 21:44:48
Duration: 02:37:01
Finish time: 02.11.2009 00:21:49
Detected
--------
Status Object
------ ------
deleted: Trojan program Trojan.BAT.KillAll.an File: H:\Undo\Alt_Undo_2007\Undo\Programme\System\mbrkill\KOP.BAT
deleted: Trojan program Trojan.BAT.KillAll.an File: H:\Undo\Alt_Undo_2007\Undo\Programme\System\mbrkill\PLAT.BAT
Events
------
Time Name Status Reason
---- ---- ------ ------
01.11.2009 21:44:58 Logical disk sector: H ok scanned
01.11.2009 21:44:58 Physical disk sector: \Device\HarddiskVolume1 ok scanned
01.11.2009 21:44:59 Physical disk sector: \Device\HarddiskVolume4 ok scanned
Statistics
----------
Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted
------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ ---------
Settings
--------
Parameter Value
--------- -----
Security Level Custom
Action Prompt for action when the scan is complete
Run mode Manually
File types Scan all files
Scan only new and changed files No
Scan archives All
Scan embedded OLE objects All
Skip if object is larger than No
Skip if scan takes longer than No
Parse email formats Yes
Scan password-protected archives No
Enable iChecker technology Yes
Enable iSwift technology Yes
Show detected threats on "Detected" tab Yes
Rootkits search Yes
Deep rootkits search Yes
Use heuristic analyzer Yes
Quarantine
----------
Status Object Size Added
------ ------ ---- -----
Backup
------
Status Object Size
------ ------ ----
Infected: Trojan program Trojan.BAT.KillAll.an g:\daten\alt_daten\xdaten\mbrkill\kop.bat 67 bytes
Infected: Trojan program Trojan.BAT.KillAll.an g:\daten\alt_daten\xdaten\mbrkill\plat.bat 34 bytes
Code:
ATTFilter C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\87b7a01419.exe
wurde gelöscht bzw. desinfiziert
Virustotal
Datei 87b7a01419.exe empfangen 2009.10.29 18:01:57 (UTC)
Ergebnis: 2/41 (4.88%)
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.10.29 -
AhnLab-V3 5.0.0.2 2009.10.29 -
AntiVir 7.9.1.50 2009.10.29 -
Antiy-AVL 2.0.3.7 2009.10.27 -
Authentium 5.1.2.4 2009.10.29 -
Avast 4.8.1351.0 2009.10.29 -
AVG 8.5.0.423 2009.10.29 -
BitDefender 7.2 2009.10.29 -
CAT-QuickHeal 10.00 2009.10.29 -
ClamAV 0.94.1 2009.10.29 -
Comodo 2769 2009.10.29 -
DrWeb 5.0.0.12182 2009.10.29 -
eSafe 7.0.17.0 2009.10.29 -
eTrust-Vet None 2009.10.29 -
F-Prot 4.5.1.85 2009.10.29 -
F-Secure 9.0.15370.0 2009.10.27 Trojan:W32/Riern.B
Fortinet 3.120.0.0 2009.10.29 -
GData 19 2009.10.29 -
Ikarus T3.1.1.72.0 2009.10.29 -
Jiangmin 11.0.800 2009.10.29 -
K7AntiVirus 7.10.883 2009.10.29 -
Kaspersky 7.0.0.125 2009.10.29 -
McAfee 5785 2009.10.28 -
McAfee+Artemis 5785 2009.10.28 -
McAfee-GW-Edition 6.8.5 2009.10.29 -
Microsoft 1.5202 2009.10.29 -
NOD32 4555 2009.10.29 -
Norman 6.03.02 2009.10.29 -
nProtect 2009.1.8.0 2009.10.29 -
Panda 10.0.2.2 2009.10.28 Trj/Sinowal.WOS
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.29 -
Rising 21.53.34.00 2009.10.29 -
Sophos 4.47.0 2009.10.29 -
Sunbelt 3.2.1858.2 2009.10.29 -
Symantec 1.4.4.12 2009.10.29 -
TheHacker 6.5.0.2.056 2009.10.28 -
TrendMicro 8.950.0.1094 2009.10.29 -
VBA32 3.12.10.11 2009.10.29 -
ViRobot 2009.10.29.2011 2009.10.29 -
VirusBuster 4.6.5.0 2009.10.29 -
weitere Informationen
File size: 16384 bytes
MD5...: 2c2213706440f89620a9f9d1eebc4478
SHA1..: a6cf8bf2b1c93cd41caa2872f01dbfcdfba3a377
SHA256: 0ed1434afd37f1369897a5c7bf32ed54ff5b0832c37c3118783805ae336babb5
ssdeep: 384:Iaib4iAgY7Avc+x2mlm1Lh1sype+SoEglZsi1E:3ib4iAgY7B+xcJs42Fgl6
iq
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x134f
timedatestamp.....: 0x4ae47672 (Sun Oct 25 16:01:54 2009)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2b9e 0x2c00 6.56 60c373bc0c8dc6c17965d3f7dace9cf0
.rdata 0x4000 0x736 0x800 4.97 dfd28a1990c2ecc325ca747cccd278c7
.data 0x5000 0xc5c 0x800 4.30 0cc4373d86265f29d00b0a76de516000
( 1 imports )
> KERNEL32.dll: GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, HeapCreate, VirtualFree, HeapFree, RtlUnwind, WriteFile, GetCPInfo, GetACP, GetOEMCP, HeapAlloc, VirtualAlloc, HeapReAlloc, GetProcAddress, LoadLibraryA, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW
( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
--------------
Auch wenn nicht alle wie die alten Mailanhänge was tun konnten - sie waren noch auf dem PC. Wenn meine Software, die ich auf dem PC habe nicht hilft, was muss ich mir dann installieren, was Live überwachen kann und relativ sicher ist. Nur im Nachhinein ist doch etwas gefährlich. Vielen Dank und viele Grüße Ernst
__________________ Bitte langsam schreiben, bin schon etwas älter. Aber noch zu jung, um den Problemen aus dem Weg zu gehen, die ich ohne PC gar nicht hätte. |
|
03.11.2009, 12:18
| #13 |
| | TR/ATRAPS.GEN - msacm32.drv und mehr Hallo, ich lese immer wieder, dass dieser Trojaner NICHT ohne das Neuaufsetzen von Windows möglich ist. Ist das richtig? Da ich auch betroffen bin überlege ich, mir mein Acronis Backup draufzuspielen nach der Neuinstallation. Reicht das aus? Oder muss ich noch zusätzlich den Masterboot Sektor "ausmerzen"? |
|
03.11.2009, 14:07
| #14 |
| | TR/ATRAPS.GEN - msacm32.drv und mehr Also, scheinbar hat mir die ausführliche Info und Anleitung geholfen. Mein System läuft wieder schnell und scheinbar ist auch alles wieder sauber. Keine Warnungen oder sonst was mehr. Man muss halt scheinbar nach diesem System alles ab und an mal manuell suchen lassen oder sich Vollversionen kaufen, die auch live mitlaufen. Habe auch den CCleaner 2-3 Einstellungen geändert und er hat mir mein System einwandfrei gesäubert und aufgeräumt ohne Schaden anzurichten. Anschließend nochmal mit dem Easycleaner drüber und der hat mir dann noch die restlichen Leichen beseitigt. Der Panda-Online-Scan findet auch wirklich jede Menge, was aandere nicht gefunden haben - war schon heftig.
__________________ Bitte langsam schreiben, bin schon etwas älter. Aber noch zu jung, um den Problemen aus dem Weg zu gehen, die ich ohne PC gar nicht hätte. |
|
03.11.2009, 14:12
| #15 |
| | TR/ATRAPS.GEN - msacm32.drv und mehr Ja, dieses "Scheinb a r" ist mir ein bisschen zu unsicher, deswegen frage ich. |
|
| Themen zu TR/ATRAPS.GEN - msacm32.drv und mehr |
| .dll, 0 bytes, adapter, antivir, antivir guard, antivir premium, antivirus, avira, avira antivir premium, bho, browser, cdburnerxp, cmdow.exe, code, crypt, datei, dateien, desktop, disabled.securitycenter, driver, excel, explorer.exe, firefox, free download, gservice, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, konvertieren, locker, logfile, malware, malware.tool, malwarebytes' anti-malware, microsoft, msacm32.drv, object, pc läuft, pdf-datei, port, registrierungsschlüssel, rundll, samlib.dll, scan, security, service pack 3, siteadvisor, software, spam, spyware, suchlauf, symantec, system, system32, temp, tr/atraps.gen, trojan.banker, trojaner, trojaner tr/atraps.gen, udp, unlocker, warnmeldungen, windows, windows xp |
Linear-Darstellung
