| |
| |||||||
Log-Analyse und Auswertung: roore.ws/1.exe trotz KasperskyISWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
04.11.2009, 11:48
| #1 |
 |  roore.ws/1.exe trotz KasperskyIS Hallo! Bisher dachte ich, dass mich Kspersky Internet Security (KIS) zuverlässig gegen die fiesen Gefahren im Netz schützt, wenn ich es nur täglich update. Nun kommt aber KIS immer wieder mit einer Meldung: (Die Bilder, die ich extra hochgeladen habe, werden hier nicht angezeigt, also setze ich die Links rein  Image - TinyPic - Kostenlose Bild- und Videospeicherung und gemeinsame Nutzung von Fotos auf die eine andere folgt: Image - TinyPic - Kostenlose Bild- und Videospeicherung und gemeinsame Nutzung von Fotos Das nervt inzwischen mächtig, zumal die Meldungen nun auch vielfältiger werden. Image - TinyPic - Kostenlose Bild- und Videospeicherung und gemeinsame Nutzung von Fotos Image - TinyPic - Kostenlose Bild- und Videospeicherung und gemeinsame Nutzung von Fotos In meinem Laienverstand reift die Erkenntnis, dass da was Kleines, Unerwünschtes auf meinem Computer haust, das nun sämtliche Brüder und Schwestern nachholen möchte. KIS wehrt sich zwar dagegen, ich weiß aber nicht, ob das erfolgreich ist oder ob da wieder was durch die Lappen geht. Ganz am Anfang der Problematik hatte KIS etwas gefunden und offenbar beseitigt: Bckdoor.Win32.Bredavi.agn. Dennoch lädt mein Firefox in gewissen Abständen selbständig ein neues Fenster mit mehreren Tabs. Die ursprünglichen Seiten können nicht geladen werden, dazu kommt eine Fehlermeldung. Letztens wurde jedoch die wenig vertrauensvoll erscheinende Seite eines Online-Virenscanners dargestellt, dessen Dienste ich erstmal nicht in Anspruch genommen habe. Image - TinyPic - Kostenlose Bild- und Videospeicherung und gemeinsame Nutzung von Fotos Manchmal startet auch selbständig der Acrobat Reader und teilt mir mit, dass ein Plug-In nicht ausführbar wäre. Trotzdem bleibt das Programm aktiv und ich muss es aus dem Taskmanager löschen. Wie krieg ich mein System wieder sauber? Im nächsten Beitrag setze ich die ScanLogs rein. Würde mich sehr freuen, wenn mir jemand hilft. Werde auch jede Anweisung befolgen, sofern ich technisch dazu in der Lage bin. icke. |
|
04.11.2009, 11:54
| #2 |
  |  roore.ws/1.exe trotz KasperskyIS Hi,
__________________Tools runterladen, updaten (MAM), offline gehen und das hier abfackeln: Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten. RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/) * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. Kurz Online gehen und Ergebnisse posten und dann nur noch online um die Antworten abzuwarten... Da ist ein Backdoor zu gange, d.h. Du stehst bereits kurz vor dem Neuaufsetzen des Systems, Kapi verhindert nur das Nachziehen weiterer Verseuchungen... Ausserdem ist noch ein Fakescanner zugange... chris
__________________ |
|
13.11.2009, 21:10
| #3 |
| | roore.ws/1.exe trotz KasperskyIS Hallo,
__________________silentrunner ergab dieses: "Silent Runners.vbs", revision 60, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "SUPERAntiSpyware" = "C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" ["SUPERAntiSpyware.com"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "InCD" = "C:\Programme\Ahead\InCD\InCD.exe" ["Nero AG"] "mxomssmenu" = ""C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe"" ["Maxtor Corporation"] "SBCSTray" = "C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe" ["Sunbelt Software"] "C-Media Mixer" = "Mixer.exe /startup" ["C-Media Electronic Inc. (www.cmedia.com.tw)"] "AVP" = ""C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"" ["Kaspersky Lab"] " Malwarebytes Anti-Malware (reboot)" = ""C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript" ["Malwarebytes Corporation"] HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\ >{26923b43-4d38-484f-9b9e-de460746276c}\(Default) = "Internet Explorer" \StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE" [MS] >{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express" \StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "AcroIEHlprObj Class" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}\(Default) = "IEVkbdBHO" -> {HKLM...CLSID} = "IEVkbdBHO Class" \InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll" ["Kaspersky Lab"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{950FF917-7A57-46BC-8017-59D9BF474000}" = "Shell Extension for CDRW" -> {HKLM...CLSID} = "Shell Extension for CDRW" \InProcServer32\(Default) = "C:\Programme\Ahead\InCD\incdshx.dll" ["Nero AG"] "{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682}" = "IZArc DragDrop Menu" -> {HKLM...CLSID} = "IZArc DragDrop Menu" \InProcServer32\(Default) = "C:\Programme\IZArc\IZArcCM.dll" [null data] "{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}" = "IZArc Shell Context Menu" -> {HKLM...CLSID} = "IZArc Shell Context Menu" \InProcServer32\(Default) = "C:\Programme\IZArc\IZArcCM.dll" [null data] "{23170F69-40C1-278A-1000-000100020000}" = "7-Zip Shell Extension" -> {HKLM...CLSID} = "7-Zip Shell Extension" \InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5}" = "dBpoweramp Music Converter" -> {HKLM...CLSID} = "dMCIShell Class" \InProcServer32\(Default) = "C:\Programme\Illustrate\dBpoweramp\dMCShell.dll" ["Illustrate"] "{0561EC90-CE54-4f0c-9C55-E226110A740C}" = "Haali Column Provider" -> {HKLM...CLSID} = "Haali Column Provider" \InProcServer32\(Default) = "C:\Programme\Avi2Dvd\Programs\Filters\Haali media splitter\mmfinfo.dll" [null data] "{8BE13461-936F-11D1-A87D-444553540000}" = "Eraser Shell Extension" -> {HKLM...CLSID} = "Eraser Shell Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\erasext.dll" ["-"] "{85E0B171-04FA-11D1-B7DA-00A0C90348D6}" = "Statistik für den Schutz des Web-Datenverkehrs" -> {HKLM...CLSID} = "Statistik für den Schutz des Web-Datenverkehrs" \InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll" ["Kaspersky Lab"] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> !SASWinLogon\DLLName = "C:\Programme\SUPERAntiSpyware\SASWINLO.DLL" ["SUPERAntiSpyware.com"] <<!>> klogon\DLLName = "C:\WINDOWS\system32\klogon.dll" ["Kaspersky Lab"] HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ 7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}" -> {HKLM...CLSID} = "7-Zip Shell Extension" \InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"] Erasext\(Default) = "{8BE13461-936F-11D1-A87D-444553540000}" -> {HKLM...CLSID} = "Eraser Shell Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\erasext.dll" ["-"] IZArcCM\(Default) = "{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}" -> {HKLM...CLSID} = "IZArc Shell Context Menu" \InProcServer32\(Default) = "C:\Programme\IZArc\IZArcCM.dll" [null data] Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ShellEx.dll" ["Kaspersky Lab"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\ MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}" -> {HKLM...CLSID} = "MBAMShlExt Class" \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"] HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ 7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}" -> {HKLM...CLSID} = "7-Zip Shell Extension" \InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"] IZArcCM\(Default) = "{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}" -> {HKLM...CLSID} = "IZArc Shell Context Menu" \InProcServer32\(Default) = "C:\Programme\IZArc\IZArcCM.dll" [null data] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Directory\shellex\DragDropHandlers\ 7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}" -> {HKLM...CLSID} = "7-Zip Shell Extension" \InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"] IZArcCM\(Default) = "{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682}" -> {HKLM...CLSID} = "IZArc DragDrop Menu" \InProcServer32\(Default) = "C:\Programme\IZArc\IZArcCM.dll" [null data] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Directory\Background\shellex\ContextMenuHandlers\ 00nView\(Default) = "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] InCDMenu\(Default) = "{950FF917-7A57-46BC-8017-59D9BF474000}" -> {HKLM...CLSID} = "Shell Extension for CDRW" \InProcServer32\(Default) = "C:\Programme\Ahead\InCD\incdshx.dll" ["Nero AG"] NvCplDesktopContext\(Default) = "{A70C977A-BF00-412C-90B7-034C51DA2439}" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\ {0561EC90-CE54-4f0c-9C55-E226110A740C}\(Default) = "Haali Column Provider" -> {HKLM...CLSID} = "Haali Column Provider" \InProcServer32\(Default) = "C:\Programme\Avi2Dvd\Programs\Filters\Haali media splitter\mmfinfo.dll" [null data] {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] {FED7043D-346A-414D-ACD7-550D052499A7}\(Default) = "dBpoweramp Column Handler" -> {HKLM...CLSID} = "dBpShell Class" \InProcServer32\(Default) = "C:\Programme\Illustrate\dBpoweramp\dBShell.dll" ["Illustrate"] HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\ Erasext\(Default) = "{8BE13461-936F-11D1-A87D-444553540000}" -> {HKLM...CLSID} = "Eraser Shell Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\erasext.dll" ["-"] Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ShellEx.dll" ["Kaspersky Lab"] MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}" -> {HKLM...CLSID} = "MBAMShlExt Class" \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Folder\shellex\DragDropHandlers\ Erasext\(Default) = "{8BE13461-936F-11D1-A87D-444553540000}" -> {HKLM...CLSID} = "Eraser Shell Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\erasext.dll" ["-"] IZArcCM\(Default) = "{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682}" -> {HKLM...CLSID} = "IZArc DragDrop Menu" \InProcServer32\(Default) = "C:\Programme\IZArc\IZArcCM.dll" [null data] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Default executables: -------------------- <<!>> HKLM\SOFTWARE\Classes\.com\(Default) = "ComFile" Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "ClearRecentDocsOnExit" = (REG_DWORD) dword:0x00000001 {unrecognized setting} "NoDrives" = (REG_DWORD) dword:0x00000000 {unrecognized setting} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "NoDrives" = (REG_DWORD) dword:0x00000000 {unrecognized setting} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ "DisableRegistryTools" = (REG_DWORD) dword:0x00000000 {unrecognized setting} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Desktop Hintergrund.bmp" Windows Portable Device AutoPlay Handlers ----------------------------------------- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\ ACDSeeShowPicturesOnArrival\ "Provider" = "ACDSee" "InvokeProgID" = "ACDSee.AutoPlayHandler" "InvokeVerb" = "Open" HKLM\SOFTWARE\Classes\ACDSee.AutoPlayHandler\shell\Open\command\(Default) = ""C:\Programme\ACD Systems\ACDSee\5.0\ACDSee5.exe" "%1"" ["ACD Systems Ltd."] dMCAudioCDInput\ "Provider" = "dBpoweramp CD Ripper" "InvokeProgID" = "dMC.AudioCD.Autorun" "InvokeVerb" = "open" HKLM\SOFTWARE\Classes\dMC.AudioCD.Autorun\shell\open\command\(Default) = ""C:\Programme\Illustrate\dBpoweramp\CDGrab.exe" %1" ["Illustrate"] DVDDecrypterPlayDVDMovieOnArrival\ "Provider" = "DVD Decrypter" "InvokeProgID" = "DVDDecrypter" "InvokeVerb" = "PlayDVDMovieOnArrival_Decrypt" HKLM\SOFTWARE\Classes\DVDDecrypter\shell\PlayDVDMovieOnArrival_Decrypt\Command\(Default) = ""C:\Programme\DVD Decrypter\DVDDecrypter.exe" /MODE READ /SOURCE "%1"" ["LIGHTNING UK!"] DVDFabPlatinumOnDVDArrival\ "Provider" = "DVDFab Platinum" "InvokeProgID" = "DVDFabPlatinumOpen" "InvokeVerb" = "Open" HKLM\SOFTWARE\Classes\DVDFabPlatinumOpen\shell\Open\command\(Default) = "C:\PROGRA~1\DVDFAB~2\DVDFAB~1.EXE" ["Fengtao Software Inc."] NeroAutoPlay2AudioToNeroDigital\ "Provider" = "Nero Burning ROM" "InvokeProgID" = "Nero.AutoPlay2" "InvokeVerb" = "PlayCDAudioOnArrival_AudioToNeroDigital" HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_AudioToNeroDigital\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /Dialog:SaveTracksND /Drive:%L" ["Ahead Software AG"] NeroAutoPlay2CDAudio\ "Provider" = "Nero Express" "InvokeProgID" = "Nero.AutoPlay2" "InvokeVerb" = "HandleCDBurningOnArrival_CDAudio" HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_CDAudio\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /w /New:AudioCD /Drive:%L" ["Ahead Software AG"] NeroAutoPlay2CopyCD\ "Provider" = "Nero Express" "InvokeProgID" = "Nero.AutoPlay2" "InvokeVerb" = "PlayCDAudioOnArrival_CopyCD" HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_CopyCD\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /w /Dialog  iscCopy /Drive:%L" ["Ahead Software AG"]NeroAutoPlay2DataDisc\ "Provider" = "Nero Express" "InvokeProgID" = "Nero.AutoPlay2" "InvokeVerb" = "HandleCDBurningOnArrival_DataDisc" HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_DataDisc\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /w /New:ISODisc /Drive:%L" ["Ahead Software AG"] NeroAutoPlay2LaunchNeroStartSmart\ "Provider" = "Nero StartSmart" "InvokeProgID" = "Nero.AutoPlay2" "InvokeVerb" = "HandleCDBurningOnArrival_LaunchNeroStartSmart" HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_LaunchNeroStartSmart\command\(Default) = "C:\Programme\Ahead\Nero StartSmart\NeroStartSmart.exe /AutoPlay /Drive:%L" ["Ahead Software AG"] NeroAutoPlay2RipCD\ "Provider" = "Nero Burning ROM" "InvokeProgID" = "Nero.AutoPlay2" "InvokeVerb" = "PlayCDAudioOnArrival_RipCD" HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_RipCD\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /Dialog:SaveTracks /Drive:%L" ["Ahead Software AG"] VLCPlayCDAudioOnArrival\ "Provider" = "VideoLAN VLC media player" "InvokeProgID" = "VLC.CDAudio" "InvokeVerb" = "play" HKLM\SOFTWARE\Classes\VLC.CDAudio\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --one-instance-when-started-from-file cdda:%1" ["VideoLAN Team"] VLCPlayDVDMovieOnArrival\ "Provider" = "VideoLAN VLC media player" "InvokeProgID" = "VLC.DVDMovie" "InvokeVerb" = "play" HKLM\SOFTWARE\Classes\VLC.DVDMovie\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --one-instance-when-started-from-file dvd:%1" ["VideoLAN Team"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Explorer Bars HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\ HKLM\SOFTWARE\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D6}\(Default) = "Statistik für den Schutz des Web-Datenverkehrs" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll" ["Kaspersky Lab"] Extensions (Tools menu items, main toolbar menu buttons) HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in 1.6.0_01" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.6.0_01" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll" ["Sun Microsystems, Inc."] {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}\ "ButtonText" = "Statistik für den Schutz des Web-Datenverkehrs" Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ B's Recorder GOLD Library General Service, bgsvcgen, ""C:\WINDOWS\system32\bgsvcgen.exe"" ["B.H.A Corporation"] InCD Helper, InCDsrv, "C:\Programme\Ahead\InCD\InCDsrv.exe" ["Nero AG"] Kaspersky Internet Security, AVP, ""C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" -r" ["Kaspersky Lab"] Maxtor Service, Maxtor Sync Service, "C:\Programme\Maxtor\Sync\SyncServices.exe" ["Seagate Technology LLC"] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] Sunbelt CounterSpy Antispyware, SBCSSvc, ""C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe"" ["Sunbelt Software"] Print Monitors: --------------- HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\ SUGS2 Langmon\Driver = "SUGS2LMK.DLL" ["Samsung Electronics."] VSP1:\Driver = "vsmon1.dll" [null data] ---------- (launch time: 2009-11-13 21:03:19) <<!>>: Suspicious data at a malware launch point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 93 seconds, including 12 seconds for message boxes) Ganz schön viel Lesestoff. Schönes Wochenende und bis bald!  |
|
13.11.2009, 22:45
| #4 |
| | roore.ws/1.exe trotz KasperskyIS Hi, die sbapifs.sys (und der Service) sollten zu: C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe"" ["Sunbelt Software"] bzw. C:\VIPRERESCUE gehören. Prüfe das mal über Virustotal.com. Lass bei Virustotal auch die c:\windows\system32\drivers\tcpip.sys prüfen. Die wilx34i.dll bitte von Prevx bereinigen lassen. Wenn Du den Rechner für Homebanking benutzen willst, würde ich empfehlen Ihn platt zu machen, das ist das sicherste... Sonst nichts mehr gesehen... chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
20.11.2009, 14:01
| #5 |
| | roore.ws/1.exe trotz KasperskyIS Hallo, na das sind ja keine guten Nachrichten. Ist da immer noch was aktiv, weshalb ich die Boot-Cd runterlade? Das mach ich natürlich. Reicht eigentlich eine der Möglichkeiten, oder müssen es alle drei sein? Und: Was mach ich, wenn ich dann von CD gebootet habe? (Falls das klappt, mit dem Booten von CD hab ich mit diesem Computer Schwierigkeiten, aber das werd ich ja sehen.) Was ist denn das WOT-Plugin für Firefox? (Hab's gerade rausgefunden: https://addons.mozilla.org/de/firefox/addon/3456 und installiert.) Bis gleich! |
|
20.11.2009, 15:23
| #6 |
| | roore.ws/1.exe trotz KasperskyIS Hi, von CD booten, eine reicht (Aviar) und dann denn scanner über die Festplatte laufen lassen. Wichtig, dabei die Rootkitsuche anschalten... Wir müssen unbedingt noch GMER zum Laufen bringen, notfalls im abgesicherten Modus probieren, ich brauch ein Log. Ich hege den begründeten Verdacht, das es uns nicht gelungen ist, das Rootkit vollständig zu killen (das Teil kostet mich gerade in einem anderen Thread Nerven ohne Ende: ->http://www.trojaner-board.de/76404-werde-virus-trojaner-nicht-los-vermtl-win32-trojan-tdss-10.html Du hattest/hast den gleichen drauf, ComboFix hat zwar gemeldet das es bereinigt wurde, die Abstürze von GMER sprechen dagegen... Hast Du eine Windows-CD von der wir booten können und ggf. die atapi.sys ersetzen können...? chris
__________________ --> roore.ws/1.exe trotz KasperskyIS |
|
04.11.2009, 12:02
| #7 |
| | roore.ws/1.exe trotz KasperskyIS Hier der Log aus Malwarebytes Anti-Malware : Malwarebytes' Anti-Malware 1.41 Datenbank Version: 3094 Windows 5.1.2600 Service Pack 2 03.11.2009 22:56:33 mbam-log-2009-11-03 (22-56-33).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|H:\|) Durchsuchte Objekte: 191435 Laufzeit: 51 minute(s), 4 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) ------------------------------------------------------------------- |
|
04.11.2009, 12:06
| #8 |
| | roore.ws/1.exe trotz KasperskyIS Hier der Text aus der Datei log.txt von RSIT: Logfile of random's system information tool 1.06 (written by random/random) Run by Besitzer at 2009-11-03 23:00:17 Microsoft Windows XP Home Edition Service Pack 2 System drive C: has 22 GB (55%) free of 39 GB Total RAM: 1471 MB (55% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:00:44, on 03.11.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe C:\WINDOWS\Mixer.exe C:\WINDOWS\system32\bgsvcgen.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\Maxtor\Sync\SyncServices.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe E:\Private\News\Downloads\03\RSIT(2).exe C:\Programme\Trend Micro\HijackThis\Besitzer.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [mxomssmenu] "C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe" O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~2\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~2\kloehk.dll O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.DLL O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - C:\Programme\Maxtor\Sync\SyncServices.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe -- End of file - 4928 bytes ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] AcroIEHlprObj Class - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2004-12-14 63136] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}] IEVkbdBHO Class - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll [2008-11-11 62728] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] SSVHelper Class - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 501400] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2005-10-10 7286784] "nwiz"=nwiz.exe /install [] "NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2005-10-10 86016] "NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648] "InCD"=C:\Programme\Ahead\InCD\InCD.exe [2006-03-23 1398272] "mxomssmenu"=C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe [2007-09-06 169264] "SBCSTray"=C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe [2007-12-21 698864] "C-Media Mixer"=Mixer.exe /startup [] "KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k [] "AVP"=C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe [2009-07-21 208616] " Malwarebytes Anti-Malware (reboot)"=C:\Programme\Malwarebytes' Anti-Malware\mbam.exe [2009-09-10 1312080] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-11-11 15360] "SUPERAntiSpyware"=C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe [2009-10-18 2000112] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLS"="C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~2\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~2\kloehk.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon] C:\Programme\SUPERAntiSpyware\SASWINLO.DLL [2009-10-11 548352] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon] C:\WINDOWS\system32\klogon.dll [2008-11-11 218376] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Driver] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Guard] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBCSSvc] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\AVG Anti-Spyware Driver] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\AVG Anti-Spyware Guard] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\SBCSSvc] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:* isabled:@xpsp2res.dll,-22019""C:\Programme\FrostWire\FrostWire.exe"="C:\Programme\FrostWire\FrostWire.exe:*:Enabled:LimeWire" "C:\Programme\uTorrent\uTorrent.exe"="C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1af1bcf2-f160-11dd-b9cd-00138f75a9e5}] shell\AutoRun\command - H:\Menu.exe ======List of files/folders created in the last 1 months====== 2009-11-01 14:19:22 ----D---- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Malwarebytes 2009-11-01 14:18:40 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-11-01 14:18:39 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2009-10-25 22:46:31 ----D---- C:\Programme\TeaTimer (Spybot - Search & Destroy) 2009-10-25 22:46:23 ----D---- C:\Programme\Misc. Support Library (Spybot - Search & Destroy) 2009-10-25 22:45:54 ----D---- C:\Programme\SDHelper (Spybot - Search & Destroy) 2009-10-25 22:45:38 ----D---- C:\Programme\File Scanner Library (Spybot - Search & Destroy) 2009-10-24 08:09:54 ----A---- C:\WINDOWS\wininit.ini 2009-10-11 09:06:36 ----D---- C:\Programme\Gigaflat 2009-10-07 11:21:54 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOS ======List of files/folders modified in the last 1 months====== 2009-11-03 22:37:17 ----D---- C:\WINDOWS\Temp 2009-11-03 22:07:42 ----D---- C:\Programme\Mozilla Firefox 2009-11-03 21:46:53 ----D---- C:\WINDOWS\Minidump 2009-11-03 21:46:53 ----D---- C:\WINDOWS 2009-11-03 21:17:20 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2009-11-03 21:17:14 ----D---- C:\WINDOWS\system32\drivers 2009-11-03 10:26:31 ----D---- C:\Programme\Zoom Player 2009-11-02 10:39:52 ----D---- C:\WINDOWS\system32\CatRoot2 2009-11-01 14:18:39 ----RD---- C:\Programme 2009-11-01 12:28:49 ----D---- C:\WINDOWS\system32 2009-10-25 23:05:43 ----D---- C:\Programme\Spybot - Search & Destroy 2009-10-25 22:53:26 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-10-25 08:40:55 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI 2009-10-24 08:27:50 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI 2009-10-18 21:27:24 ----D---- C:\Programme\SUPERAntiSpyware ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 ASPI32;ASPI32; C:\WINDOWS\system32\drivers\ASPI32.sys [1999-09-10 25244] R1 cdrbsdrv;cdrbsdrv; C:\WINDOWS\system32\drivers\cdrbsdrv.sys [2007-12-12 33408] R1 InCDPass;InCDPass; C:\WINDOWS\System32\DRIVERS\InCDPass.sys [2006-03-23 29440] R1 incdrm;InCD Reader; C:\WINDOWS\system32\drivers\incdrm.sys [2006-03-23 33536] R1 KLIF;Kaspersky Lab Driver; C:\WINDOWS\system32\DRIVERS\klif.sys [2009-06-22 226832] R1 SASDIFSV;SASDIFSV; \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS [] R1 SASKUTIL;SASKUTIL; \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys [] R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2008-04-20 21248] R2 ACEDRV07;ACEDRV07; \??\C:\WINDOWS\system32\drivers\ACEDRV07.sys [] R2 DgiVecp;Team MFP Comm Driver; C:\WINDOWS\System32\Drivers\DgiVecp.sys [2005-03-14 41984] R2 mdmxsdk;mdmxsdk; C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys [2004-08-03 11868] R2 tmcomm;tmcomm; \??\C:\WINDOWS\system32\drivers\tmcomm.sys [] R3 cmpci;C-Media PCI Audio Driver (WDM); C:\WINDOWS\system32\drivers\cmaudio.sys [2007-08-14 370382] R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600] R3 KLFLTDEV;Kaspersky Lab KLFltDev; C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 26640] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288] R3 MXOPSWD;Maxtor OneTouch Security Driver; C:\WINDOWS\system32\DRIVERS\mxopswd.sys [2007-05-03 22152] R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2005-10-10 3530432] R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2005-07-29 34048] R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2005-07-29 12928] R3 pcouffin;VSO Software pcouffin; C:\WINDOWS\System32\Drivers\pcouffin.sys [2008-01-16 47360] R3 SASENUM;SASENUM; \??\C:\Programme\SUPERAntiSpyware\SASENUM.SYS [] R3 SBAPIFS;SBAPIFS; \??\C:\WINDOWS\system32\drivers\sbapifs.sys [] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-03 57600] R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2004-11-11 17024] R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-03 20480] R3 vulfntrs;VIA USB Roothub Lower Filter; C:\WINDOWS\System32\Drivers\vulfntr.sys [2006-01-07 10496] R4 InCDfs;InCD File System; C:\WINDOWS\system32\drivers\InCDfs.sys [2006-03-23 102016] S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-04 14848] S3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [] S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-03 17024] S3 EC168BDA;EC168BDA service; C:\WINDOWS\system32\DRIVERS\EC168BDA.sys [2007-09-11 87296] S3 HSF_DP;HSF_DP; C:\WINDOWS\system32\DRIVERS\HSFDPSP2.sys [2004-08-03 1041536] S3 HSFHWBS2;HSFHWBS2; C:\WINDOWS\system32\DRIVERS\HSFBS2S2.sys [2004-08-03 220032] S3 MODEMCSA;Unimodem-Datenstromfiltergerät; C:\WINDOWS\system32\drivers\MODEMCSA.sys [2001-08-17 16128] S3 MPE;BDA MPE-Filter; C:\WINDOWS\system32\DRIVERS\MPE.sys [2004-08-03 15360] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504] S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-03 85376] S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-03 10880] S3 ptiusbf;PTI USB Filter; C:\WINDOWS\SYSTEM32\DRIVERS\PTIUSBF.SYS [2001-04-14 22474] S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-03 11136] S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-03 15360] S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856] S3 vulfnths;VIA USB Host Controller Lower Filter; C:\WINDOWS\System32\Drivers\vulfnth.sys [2006-01-07 6912] S3 winachsf;winachsf; C:\WINDOWS\system32\DRIVERS\HSFCXTS2.sys [2004-08-03 685056] S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-03 19328] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AVP;Kaspersky Internet Security; C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe [2009-07-21 208616] R2 bgsvcgen;B's Recorder GOLD Library General Service; C:\WINDOWS\system32\bgsvcgen.exe [2007-12-12 122512] R2 InCDsrv;InCD Helper; C:\Programme\Ahead\InCD\InCDsrv.exe [2006-03-23 880128] R2 Maxtor Sync Service;Maxtor Service; C:\Programme\Maxtor\Sync\SyncServices.exe [2007-09-28 156976] R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2005-10-10 131139] R2 SBCSSvc;Sunbelt CounterSpy Antispyware; C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe [2007-12-21 788976] S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728] -----------------EOF----------------- Und der Text aus der Datei info.txt von RSIT: info.txt logfile of random's system information tool 2008-09-06 09:02:28 Uninstall list -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf 7-Zip 4.42-->"C:\Programme\7-Zip\Uninstall.exe" AC3Filter (remove only)-->C:\Programme\AC3Filter\uninstall.exe ACDSee 5.0 Standard-->MsiExec.exe /I{206BA68B-DF92-45C6-B61D-228F188FD9FC} Ad-Aware 2007-->MsiExec.exe /I{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF} Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe Adobe Reader 7.0 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A70000000000} Auto Gordian Knot 2.45-->C:\Programme\AutoGK\uninst.exe Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE AviSynth 2.5-->"C:\Programme\AviSynth 2.5\Uninstall.exe" CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe" dBpoweramp DirectShow Decoder-->"C:\WINDOWS\system32\SpoonUninstall.exe" <uninstall>C:\WINDOWS\system32\SpoonUninstall-dBpoweramp DirectShow Decoder.dat dBpoweramp DSP Effects-->"C:\WINDOWS\system32\SpoonUninstall.exe" <uninstall>C:\WINDOWS\system32\SpoonUninstall-dBpoweramp DSP Effects.dat dBpoweramp Music Converter-->"C:\WINDOWS\system32\SpoonUninstall.exe" <uninstall>C:\WINDOWS\system32\SpoonUninstall-dBpoweramp Music Converter.dat Digital Video Repair 1.0-->"C:\Programme\Rising Research\Digital Video Repair\uninstall.exe" DivX Content Uploader-->C:\Programme\DivX\DivXContentUploaderUninstall.exe /CUPLOADER DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN DVD Decrypter (Remove Only)-->"C:\Programme\DVD Decrypter\uninstall.exe" DVD Flick-->"C:\Programme\DVD Flick\unins000.exe" DVD Shrink 3.2-->"C:\Programme\DVD Shrink\unins000.exe" DVD Solution-->C:\Programme\Uninstall_CDS.exe DVDx-->"C:\Programme\DVDx\unins000.exe" EVEREST Home Edition v2.20-->"C:\Programme\Lavalys\EVEREST Home Edition\unins000.exe" Exact Audio Copy v0.9 beta 4-->"C:\Programme\Exact Audio Copy\unins000.exe" FastStone Image Viewer 2.12-->C:\Programme\FastStone Image Viewer\uninst.exe FileZilla (remove only)-->"C:\Programme\FileZilla\uninstall.exe" FLV Player-->"C:\WINDOWS\FLV Player\uninstall.exe" "/U:C:\Programme\FLV Player\Uninstall\uninstall.xml" Fotosizer 1.10.0.154-->C:\Programme\Fotosizer\uninst.exe HijackThis 2.0.2-->"C:\Programme\trend micro\HijackThis.exe" /uninstall ImgBurn (Remove Only)-->"C:\Programme\ImgBurn\uninstall.exe" InCD-->C:\WINDOWS\NuNInst.exe /UNINSTALL IZArc 3.7-->"C:\Programme\IZArc\unins000.exe" J2SE Runtime Environment 5.0 Update 11-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150110} Java(TM) SE Runtime Environment 6 Update 1-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160010} Macromedia Dreamweaver 3-->C:\WINDOWS\IsUninst.exe -f"C:\Programme\Macromedia\Dreamweaver 3\Uninst.isu" Maxtor Manager-->"C:\Programme\InstallShield Installation Information\{357966B4-ED3B-4CAE-965F-825552888E31}\setup.exe" -runfromtemp -l0x0407 -removeonly Maxtor Manager-->MsiExec.exe /I{357966B4-ED3B-4CAE-965F-825552888E31} Microsoft Office 2000 Professional-->MsiExec.exe /I{00010407-78E1-11D2-B60F-006097C998E7} Minolta PageWorks/Pro 1100L-->C:\WINDOWS\ISUNINST.EXE -f"C:\Program Files\MLT1100L\Uninst.isu" -c"C:\Program Files\MLT1100L\DeSetDLL.dll" Mozilla Firefox (1.5.0.12)-->C:\Programme\Mozilla Firefox\uninstall\uninstall.exe /ua "1.5.0.12 (de)" Mozilla Thunderbird (1.0.2)-->C:\WINDOWS\UninstallThunderbird.exe /ua "1.0.2 (de)" Mp3tag v2.39-->C:\Programme\Mp3tag\Mp3tagUninstall.EXE MSXML 6.0 Parser-->MsiExec.exe /I{A43BF6A5-D5F0-4AAA-BF41-65995063EC44} Nero 6 Ultra Edition-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL NVIDIA Drivers-->C:\WINDOWS\system32\nvudisp.exe UninstallGUI Paint Shop Pro-->C:\PROGRA~1\PAINTS~1\UNWISE.EXE C:\PROGRA~1\PAINTS~1\INSTALL.LOG PCI Audio Driver-->cmuninst.exe PowerDVD-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\setup.exe" -uninstall SolveigMM AVI Trimmer-->"C:\Programme\Solveig Multimedia\SolveigMM AVI Trimmer\Uninstall.exe" "C:\Programme\Solveig Multimedia\SolveigMM AVI Trimmer\install.log" -u SUPER © Version 2008.bld.30 (Mar 22, 2008)-->C:\PROGRA~1\ERIGHT~1\SUPER\Setup.exe /remove /q0 TMPGEnc DVD Author 3 with DivX Authoring-->MsiExec.exe /I{B1DE9317-0822-4A65-A496-3505D63FAEB6} TreeSize Free V2.1-->"C:\Programme\JAM Software\TreeSize Free\unins000.exe" Trillian-->C:\Programme\Trillian\trillian.exe /uninstall Ulead PhotoImpact 12-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{11AFE21E-B193-430D-B57A-DFF7815BB962}\setup.exe" -l0x7 Uninstall 1.0.0.0-->"C:\Programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe" USBInfo-->C:\WINDOWS\st6unst.exe -n "C:\Programme\USBInfo\ST6UNST.LOG" Versatel-->C:\WINDOWS\\Versatel_UTIL.exe -UnInstall VideoLAN VLC media player 0.8.5-->C:\Programme\VideoLAN\VLC\uninstall.exe Visage eXPert PDF -->MsiExec.exe /X{B4CDFB98-1209-4A34-A1CD-5CB9818D84AA} VobSub v2.23 (Remove Only)-->"C:\Programme\Gabest\VobSub\uninstall.exe" Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe" WinRAR-->C:\Programme\WinRAR\uninstall.exe XMPEG 5.0-->C:\Programme\XMPEG\uninst.exe xp-AntiSpy 3.96-2-->C:\Programme\xp-AntiSpy\Uninstall.exe XviD MPEG4 Video Codec (remove only)-->"C:\WINDOWS\system32\xvid-uninstall.exe" Zero Assumption Recovery Version 8.0-->"C:\Programme\ZAR\unins000.exe" ZoneAlarm-->C:\Programme\Zone Labs\ZoneAlarm\zauninst.exe Zoom Player (remove only)-->"C:\Programme\Zoom Player\uninstall.exe" Zoom Player deutsche Sprachdateien (entfernen)-->C:\Programme\Zoom Player\uninstall_German.exe Hosts File 127.0.0.1 localhost Security center information AV: Avira AntiVir PersonalEdition Classic AV: Avira AntiVir PersonalEdition Classic AV: Avira AntiVir PersonalEdition Classic AV: Avira AntiVir PersonalEdition AV: Avira AntiVir PersonalEdition Classic Environment variables "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\Gemeinsame Dateien\GTK\2.0\bin "windir"=%SystemRoot% "FP_NO_HOST_CHECK"=NO "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=15 "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 44 Stepping 2, AuthenticAMD "PROCESSOR_REVISION"=2c02 "NUMBER_OF_PROCESSORS"=1 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP -----------------EOF----------------- DAnke für die schnelle Antwort, Chris4You! |
|
04.11.2009, 13:22
| #9 |
| | roore.ws/1.exe trotz KasperskyIS Hi, Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter H:\Menu.exe
C:\WINDOWS\Mixer.exe
Acrobat(total veraltet, jede Menge Sicherheitslöcher), Firefox, Flash und FrostWire.exe, uTorrent.exe" deinstallieren. Acrobat (http://www.adobe.com/de/products/reader/), Firefox (http://filepony.de/download-firefox/) und Java (http://www.java.com/de/download/) updaten, alte Versionen deinstallieren... Das ganze System muss auf SP3 gehoben werden, der IE ist ebenfalls steinalt und sollte mal "modernisiert" werden! HJ und RSIT geben sonst nichts her... Was macht GMER...? Prevx: http://www.prevx.com/freescan.asp Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) Geändert von Chris4You (04.11.2009 um 13:32 Uhr) |
|
04.11.2009, 14:10
| #10 |
| | roore.ws/1.exe trotz KasperskyIS Erstmal Danke für die Infos. Den IE nutze ich nicht, deshalb ist der steinalt. Weg krieg ich ihn ja leider nicht. Gehört zu Windows.SP3 werd ich auf jeden Fall ins Auge fassen. Firefox erst deinstallieren, dann den neuen Firefox installieren? Sonst sind die Lesezeichen weg. Menu.exe gehört zu Maxtor, das ist meine externe Festplatte unter H: mixer.exe gehört zur Soundkarte. Werd aber beide prüfen lassen. gmer hat KIS herausgefordert. Siehe Anhang. Erst kam da ein KIS-Fenster, bei dem ich außer "Erlauben" nichts anklicken konnte. Dann beendete GMER seinen Dienst (siehe Anhang). Nach Neustart des Computers und erneutem Start von GMER gab KIS eine neue Meldung (siehe Anhang). Ist das in Ordnung, darf ich das ausführen lassen? Was prevx und virustotal sagen, wer ich gleich posten. |
|
04.11.2009, 14:42
| #11 |
| | roore.ws/1.exe trotz KasperskyIS prevx hat noch gestern zwei Threats gefunden, heute ist eine davon verschwunden. Wenigstens etwas Positives (Siehe Anhang). virustotal sagte zu mixer.exe: Datei mixer.exe empfangen 2009.11.04 13:26:56 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/41 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 2. Geschätzte Startzeit ist zwischen 52 und 75 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.41 2009.11.04 - AhnLab-V3 5.0.0.2 2009.11.04 - AntiVir 7.9.1.53 2009.11.04 - Antiy-AVL 2.0.3.7 2009.11.04 - Authentium 5.2.0.5 2009.11.04 - Avast 4.8.1351.0 2009.11.03 - AVG 8.5.0.423 2009.11.04 - BitDefender 7.2 2009.11.04 - CAT-QuickHeal 10.00 2009.11.04 - ClamAV 0.94.1 2009.11.04 - Comodo 2836 2009.11.04 - DrWeb 5.0.0.12182 2009.11.04 - eSafe 7.0.17.0 2009.11.03 - eTrust-Vet 35.1.7101 2009.11.04 - F-Prot 4.5.1.85 2009.11.04 - F-Secure 9.0.15370.0 2009.11.04 - Fortinet 3.120.0.0 2009.11.04 - GData 19 2009.11.04 - Ikarus T3.1.1.74.0 2009.11.04 - Jiangmin 11.0.800 2009.11.04 - K7AntiVirus 7.10.887 2009.11.03 - Kaspersky 7.0.0.125 2009.11.04 - McAfee 5791 2009.11.03 - McAfee+Artemis 5791 2009.11.03 - McAfee-GW-Edition 6.8.5 2009.11.04 - Microsoft 1.5202 2009.11.04 - NOD32 4572 2009.11.04 - Norman 6.03.02 2009.11.04 - nProtect 2009.1.8.0 2009.11.04 - Panda 10.0.2.2 2009.11.03 - PCTools 7.0.3.5 2009.11.04 - Prevx 3.0 2009.11.04 - Rising 21.54.24.00 2009.11.04 - Sophos 4.47.0 2009.11.04 - Sunbelt 3.2.1858.2 2009.11.04 - Symantec 1.4.4.12 2009.11.04 - TheHacker 6.5.0.2.060 2009.11.04 - TrendMicro 9.0.0.1003 2009.11.04 - VBA32 3.12.10.11 2009.11.03 - ViRobot 2009.11.4.2021 2009.11.04 - VirusBuster 4.6.5.0 2009.11.03 - weitere Informationen File size: 1228800 bytes MD5...: 7b503cab0a93c604feff12cbc4256ee8 SHA1..: fee1dcd246623198c4094e771503eeaabf3abf2a SHA256: b1649cd4efadeeb885f2f4f3b2a072ad540a463b8cbb5a8c5871652e110b3e2e ssdeep: 6144:0eQcPeoSehn/c8z5IoZTT+BtpNFGfQjdUp2DtSb195cLsziEEotDGiBOny4 jCj54:0eQcPeEhTz5I0T0fNFGfQjdUQ2YKpuF PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x2b37d timedatestamp.....: 0x3c5508f1 (Mon Jan 28 08:16:49 2002) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x4f4c4 0x50000 6.27 decfde40f50151ad0ce06bc633115ba9 .rdata 0x51000 0xa8e8 0xb000 4.65 52ce10bed13e0575507b928b5c457435 .data 0x5c000 0xbfa8 0x8000 4.06 e61bcf01c45841423456bb63aac30383 .rsrc 0x68000 0xc79c8 0xc8000 5.93 a0057c9e1e6c076d3c1e9351beae1f44 ( 11 imports ) > WINMM.dll: mixerClose, mmioCreateChunk, mmioWrite, mmioGetInfo, mmioAdvance, mmioSetInfo, mmioSeek, mmioOpenA, mmioDescend, mmioRead, mmioAscend, mmioClose, mixerMessage, mixerGetLineInfoA, mixerGetLineControlsA, mixerGetControlDetailsA, mixerSetControlDetails, mixerGetDevCapsA, mixerGetNumDevs, mixerOpen > DSOUND.dll: - > KERNEL32.dll: GetFileSize, SystemTimeToFileTime, SetErrorMode, FileTimeToSystemTime, GetShortPathNameA, LocalFileTimeToFileTime, GetStartupInfoA, GetCommandLineA, ExitProcess, HeapFree, HeapAlloc, RaiseException, FileTimeToLocalFileTime, RtlUnwind, HeapReAlloc, GetACP, GetTimeZoneInformation, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, GetEnvironmentVariableA, HeapDestroy, GetVolumeInformationA, TerminateProcess, HeapSize, WideCharToMultiByte, GetThreadLocale, SetUnhandledExceptionFilter, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, IsBadReadPtr, IsBadCodePtr, SetStdHandle, CompareStringA, CompareStringW, SetEnvironmentVariableA, GetPrivateProfileIntA, GetWindowsDirectoryA, GlobalAlloc, GlobalFree, GetPrivateProfileStringA, lstrcmpA, lstrcpyA, GetVersionExA, CreateProcessA, lstrcpynA, WinExec, WritePrivateProfileStringA, lstrcatA, GetStringTypeExA, DeleteFileA, FindFirstFileA, FindClose, UnlockFile, MoveFileA, SetEndOfFile, SetFilePointer, LockFile, FlushFileBuffers, CreateFileA, WriteFile, ReadFile, GetCPInfo, DuplicateHandle, GetOEMCP, LocalReAlloc, GlobalFlags, TlsGetValue, GlobalReAlloc, TlsSetValue, EnterCriticalSection, DeleteCriticalSection, LeaveCriticalSection, TlsFree, LocalFree, TlsAlloc, InitializeCriticalSection, HeapCreate, FindResourceExA, GetProfileStringA, LocalAlloc, GetProcessVersion, SetLastError, SizeofResource, MulDiv, SetFileTime, GetDiskFreeSpaceA, GetFileTime, GetFileAttributesA, GetFullPathNameA, GetTempFileNameA, MultiByteToWideChar, GetModuleFileNameA, GetCurrentThread, VirtualFree, InterlockedIncrement, lstrcmpiA, lstrlenA, InterlockedDecrement, LoadLibraryA, FreeLibrary, GetVersion, GetCurrentThreadId, GlobalGetAtomNameA, GlobalAddAtomA, GlobalFindAtomA, GlobalDeleteAtom, GetModuleHandleA, GetProcAddress, FindResourceA, LoadResource, LockResource, GlobalLock, GlobalHandle, GlobalUnlock, GetCurrentDirectoryA, SleepEx, GetCurrentProcess, GetLastError, CloseHandle, VirtualAlloc, IsBadWritePtr > USER32.dll: PostQuitMessage, MapWindowPoints, SendDlgItemMessageA, IsDialogMessageA, SetWindowTextA, GetNextDlgTabItem, EnableMenuItem, CheckMenuItem, SetMenuItemBitmaps, ModifyMenuA, GetMenuState, LoadBitmapA, GetMenuCheckMarkDimensions, CreateDialogIndirectParamA, EndDialog, ValidateRect, TranslateMessage, GetMessageA, SetRectEmpty, LoadAcceleratorsA, TranslateAcceleratorA, SetCursor, DestroyMenu, ReuseDDElParam, UnpackDDElParam, BringWindowToTop, PeekMessageA, GetSysColor, ShowOwnedPopups, ClientToScreen, GetWindowDC, BeginPaint, EndPaint, TabbedTextOutA, DrawTextA, GrayStringA, WindowFromPoint, LoadCursorA, GetSysColorBrush, GetClassNameA, PtInRect, InsertMenuA, DeleteMenu, GetMenuStringA, DestroyIcon, CharUpperA, InflateRect, ScreenToClient, EqualRect, DeferWindowPos, GetClientRect, BeginDeferWindowPos, CopyRect, EndDeferWindowPos, IsWindow, DispatchMessageA, IsChild, WinHelpA, GetClassInfoA, RegisterClassA, GetMenu, GetMenuItemCount, GetMenuItemID, TrackPopupMenu, GetWindowTextLengthA, GetWindowTextA, GetKeyState, DefWindowProcA, DestroyWindow, CreateWindowExA, CallNextHookEx, GetClassLongA, SetPropA, CallWindowProcA, RemovePropA, GetMessageTime, GetMessagePos, GetLastActivePopup, GetForegroundWindow, GetWindow, RegisterWindowMessageA, OffsetRect, IntersectRect, SystemParametersInfoA, IsIconic, GetWindowPlacement, GetSystemMetrics, MapDialogRect, GetActiveWindow, SetActiveWindow, GetAsyncKeyState, GetFocus, SetFocus, GetDlgItem, IsWindowEnabled, GetParent, GetDlgCtrlID, SetCapture, RedrawWindow, InvalidateRect, GetUpdateRect, MoveWindow, ReleaseCapture, GetWindowRect, FillRect, ReleaseDC, UpdateWindow, SetMenu, LoadStringA, PostMessageA, GetWindowLongA, SetWindowLongA, GetDC, LoadIconA, SetForegroundWindow, LoadMenuA, GetSubMenu, GetTopWindow, RegisterHotKey, UnregisterHotKey, FindWindowExA, IsWindowVisible, wsprintfA, GetCursorPos, ShowWindow, SendMessageA, KillTimer, SetTimer, LoadImageA, GetDesktopWindow, EnableWindow, AdjustWindowRectEx, MessageBoxA, GetPropA, UnhookWindowsHookEx, GetCapture, SetWindowPos, SetWindowsHookExA, DrawFocusRect, UnregisterClassA, HideCaret, ShowCaret, ExcludeUpdateRgn, IsWindowUnicode, DefDlgProcA, CharNextA > GDI32.dll: GetTextExtentPointA, BitBlt, SelectObject, CreateCompatibleDC, DeleteDC, GetClipBox, SetTextColor, SetBkColor, GetObjectA, CreateBitmap, SaveDC, RestoreDC, GetStockObject, SetBkMode, SetMapMode, SetViewportOrgEx, OffsetViewportOrgEx, SetViewportExtEx, ScaleViewportExtEx, SetWindowExtEx, ScaleWindowExtEx, CreateSolidBrush, IntersectClipRect, GetDeviceCaps, CreateDIBitmap, RectVisible, TextOutA, PtVisible, Escape, PatBlt, ExtTextOutA, EnumFontFamiliesExA, DeleteObject > comdlg32.dll: GetFileTitleA, GetSaveFileNameA, GetOpenFileNameA > WINSPOOL.DRV: DocumentPropertiesA, OpenPrinterA, ClosePrinter > ADVAPI32.dll: RegOpenKeyA, RegDeleteKeyA, LookupPrivilegeValueA, AdjustTokenPrivileges, OpenProcessToken, GetFileSecurityA, SetFileSecurityA, RegDeleteValueA, RegEnumValueA, RegSetValueExA, RegCreateKeyExA, RegCloseKey, RegQueryValueExA, RegSetValueA, RegQueryValueA, RegOpenKeyExA, RegEnumKeyExA, RegCreateKeyA > SHELL32.dll: SHGetFileInfoA, DragFinish, Shell_NotifyIconA, ExtractIconA, DragQueryFileA > COMCTL32.dll: PropertySheetA, DestroyPropertySheetPage, CreatePropertySheetPageA, - > ole32.dll: CoInitialize, CoCreateInstance, CoFreeUnusedLibraries, CoUninitialize ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) sigcheck: publisher....: C-Media Electronic Inc. (www.cmedia.com.tw) copyright....: Copyright (C) 1997-2002 product......: Mixer description..: Mixer original name: Mixer.EXE internal name: Mixer file version.: 1.48 comments.....: Feng Min-Chih (min_chih@cmedia.com.tw) signers......: - signing date.: - verified.....: Unsigned ------------------- EoF------------- Die Datei Menu.exe konnte ich mit Windows-Mitteln nicht finden, obwohl ich alle versteckten Dateien anzeigen lasse: (Siehe Anlage) Ist das gefährlich? Bis bald! |
|
04.11.2009, 15:18
| #12 |
| | roore.ws/1.exe trotz KasperskyIS Hi, kopiere bei Virustotal die menu.exe samt Pfad in das vorgesehene Feld und lass sie hochladen. Schlimmstenfalls kommt 0 bytes received... Lass auch die von Prevx angemoserte Datei mal bei virustotal prüfen... Bezüglich GMER wie folgt verfahren... Offline gehen, Kaspersky ausschalten und GMER ausführen. Logs speichern, Kapi wieder anknipsen und online gehen, Log posten... Bezüglich der Lesezeichen von Firefox, die kannst Du über den "Lesezeichen-Manager" (Lesezeichen->Lesezeichen verwalten->"Importieren und Sichern" exportieren und später dann wieder importieren... Dann die Plugins "NoScript" und "WOT" installieren... So wenn dann Kapi immer noch schreit und GMER kein Rootkit anzeigt, dann probieren wir das hier mal: ViperRescue-Kit Lade dir den Rescuekit von folgender Adresse: http://live.sunbeltsoftware.com/ auf den Desktop runter. Achtung: Falls vorhanden, aktuelle Sicherheitslösung AUSSCHALTEN/ANHALTEN - Starte mit einem Doppelcklick die Installation - Antworte auf die Frage: "Do you wish to extract the VIPRE Rescue Scanner to your computer?" mit yes - Lasse den angegebenen Installationspfad (C:\VIPRERESCUE) stehen, - markiere die Checkbox "When done unzipping open: .\deep_scan.bat" um den Scanner nach der Installation zu starten (sollte eigentlich schon angewählt sein) - klicke auf "Unzip" - Nach der Installation öffnet sich ein CommandLine-Fenster, der Suchlauf startet...(Rootkits, Prozesse, Files, ...) - Nichts mehr am Rechner unternehmen bis der Suchlauf durch ist (kann u. U. einge Stunden gehen...) - Nach dem Suchlauf findest Du die Logdatei im Verzeichnis C:\VIPRERESCUE als .xml file, sonst den Inhalt des CMD-Fenster mit der Maus kopieren und posten... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) Geändert von Chris4You (04.11.2009 um 15:34 Uhr) |
|
10.11.2009, 21:20
| #13 | ||
| | roore.ws/1.exe trotz KasperskyIS Hallo, wollte gerade meine qoobox.zip-Datei wie beschrieben hochladen. Zitat:
Was mach ich nun? Kann ich eigentlich die Dateien Zitat:
Und kann ich die bösen Dateien nicht gleich mit Eraser zerstören? Ich glaub, darauf kenn ich die Antwort: Sie werden wiederhergestellt, woher auch immer. Werd mir gleich Avenger runterladen, aber mit dem Ausführen warten, bis du mir gesagt hast, was ich mit der qoobox.zip anstellen soll. Bis bald! |
|
17.11.2009, 16:56
| #14 | |
| | roore.ws/1.exe trotz KasperskyIS Hallo, so sehr ich es auch möchte, diese verflixte sbapifs.sys ist einfach nicht zu finden. Auch wenn ich ganz genau nach Anleitung mir alle Dateien anzeigen lasse. Bei virustotal kann ich zwar in das weiße Feld klicken, dann kommt aber gleich ein Fenster raus, das auch nach dem Klicken auf "Durchsuchen" kommt. Dort muss ich dann den genauen Pfad zur Datei angeben. Wenn ich den Pfad zur Datei kopiere und im Suchfenster einfüge, erhalte ich die im Screenshot gezeigte Meldung. Wo steckt diese verdammte Datei? Das mit Avenger werd ich gleich machen. Soll ich danach eines der Tools laufen lassen? Hab letztens was von Spyware Terminator gelesen, was hältst du davon? Zitat:
icke. |
|
09.11.2009, 22:39
| #15 |
| | roore.ws/1.exe trotz KasperskyIS Hallo, da ist ja eine Menge zu tun! Ich fürchte, heute abend /nacht schaff ich das nicht mehr. Ich hatte vorhin ein wenig in den KIS-Firewall Einstellungen reingeguckt. Bin da auch manches gestoßen, was mir verdächtig vorkommt. Siehe Screenshots. Hab das gleich unschädlich geschaltet. Ist das ok so? Oder war da was wirklich wichtiges dabei? Auch hat mir CCleaner was seltsames angezeigt. Das wollte er löschen und ich hab das zugelassen. Siehe anderen Screenshot. Virustotal-Logs: SBREDrv.sys Datei SBREDrv.sys empfangen 2009.11.09 21:06:30 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/40 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit ist zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.41 2009.11.09 - AhnLab-V3 5.0.0.2 2009.11.06 - AntiVir 7.9.1.61 2009.11.09 - Antiy-AVL 2.0.3.7 2009.11.09 - Authentium 5.2.0.5 2009.11.09 - Avast 4.8.1351.0 2009.11.09 - AVG 8.5.0.423 2009.11.09 - BitDefender 7.2 2009.11.09 - CAT-QuickHeal 10.00 2009.11.09 - ClamAV 0.94.1 2009.11.09 - Comodo 2899 2009.11.09 - DrWeb 5.0.0.12182 2009.11.09 - eTrust-Vet 35.1.7111 2009.11.09 - F-Prot 4.5.1.85 2009.11.09 - F-Secure 9.0.15370.0 2009.11.09 - Fortinet 3.120.0.0 2009.11.09 - GData 19 2009.11.09 - Ikarus T3.1.1.74.0 2009.11.09 - Jiangmin 11.0.800 2009.11.09 - K7AntiVirus 7.10.892 2009.11.09 - Kaspersky 7.0.0.125 2009.11.09 - McAfee 5797 2009.11.09 - McAfee+Artemis 5797 2009.11.09 - McAfee-GW-Edition 6.8.5 2009.11.09 - Microsoft 1.5202 2009.11.09 - NOD32 4589 2009.11.09 - Norman 6.03.02 2009.11.09 - nProtect 2009.1.8.0 2009.11.09 - Panda 10.0.2.2 2009.11.09 - PCTools 7.0.3.5 2009.11.09 - Prevx 3.0 2009.11.09 - Rising 22.21.00.08 2009.11.09 - Sophos 4.47.0 2009.11.09 - Sunbelt 3.2.1858.2 2009.11.09 - Symantec 1.4.4.12 2009.11.09 - TheHacker 6.5.0.2.063 2009.11.06 - TrendMicro 9.0.0.1003 2009.11.09 - VBA32 3.12.10.11 2009.11.09 - ViRobot 2009.11.9.2027 2009.11.09 - VirusBuster 4.6.5.0 2009.11.09 - weitere Informationen File size: 93872 bytes MD5...: e121185abcc7f6f2875843ed3236d245 SHA1..: ffeeb1901c66fe2fc2c83886298adda1a2c9ba8b SHA256: 488ba5831af926c951a3b159f492c2e26a8cc62b9f4485f9944c24ec054d6ecb ssdeep: 1536:jSmugI790GP4TWuaqjM7lW90kpStZjKd/YknMPJ8LRi5:j2gIeGP4qpq4E0 kktgd/Y6cx PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x12f85 timedatestamp.....: 0x4a7890af (Tue Aug 04 19:49:03 2009) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x480 0xcee9 0xcf00 6.40 4e3f07330b683b10a8a6b7d0f662dbc7 .rdata 0xd380 0x2f7c 0x2f80 5.04 cd91fb1c41df701d4dcf58a040cbc7ff .data 0x10300 0x2c09 0x2c80 0.44 52f0e15d59ae91bb1ab93e50a4421ee8 INIT 0x12f80 0x9dc 0xa00 5.59 69e2e2f8f26ccd5fdcf908748d3c685c .rsrc 0x13980 0x504 0x580 3.78 cc9fa0665daa793f0fe04a014de181ed .reloc 0x13f00 0x1546 0x1580 6.29 a588eec17ef37a44d009d22cb5dbd0b4 ( 2 imports ) > ntoskrnl.exe: ExFreePoolWithTag, ZwWriteFile, ExAllocatePool, RtlInitUnicodeString, IoFreeIrp, IoFreeMdl, KeSetEvent, KeWaitForSingleObject, KeInitializeEvent, KeGetCurrentThread, IoAllocateIrp, MmBuildMdlForNonPagedPool, IoAllocateMdl, memcpy, IofCompleteRequest, IoDeleteDevice, IoDeleteSymbolicLink, ObfDereferenceObject, KeReleaseSemaphore, RtlUnicodeStringToAnsiString, ZwCreateFile, ObReferenceObjectByHandle, ObOpenObjectByPointer, ZwSetInformationFile, ZwOpenFile, PsLookupProcessByProcessId, MmIsAddressValid, KeServiceDescriptorTable, PsTerminateSystemThread, KeSetPriorityThread, PsCreateSystemThread, KeInitializeSemaphore, wcsstr, IoCreateSymbolicLink, IoCreateDevice, PsGetVersion, strrchr, KeBugCheckEx, _wcsnicmp, IoGetBaseFileSystemDeviceObject, IofCallDriver, KeUnstackDetachProcess, KeStackAttachProcess, RtlCompareUnicodeString, ZwQueryObject, ZwDuplicateObject, ZwOpenProcess, PsGetCurrentProcessId, ZwQuerySystemInformation, strncmp, ZwReadFile, strncpy, _vsnprintf, _snprintf, RtlTimeToTimeFields, ExSystemTimeToLocalTime, KeQuerySystemTime, _stricmp, _strnicmp, RtlCopyUnicodeString, ZwQueryValueKey, ZwOpenKey, ZwSetValueKey, _snwprintf, KeDetachProcess, KeAttachProcess, MmMapLockedPagesSpecifyCache, MmGetPhysicalAddress, PsLookupThreadByThreadId, RtlAnsiStringToUnicodeString, RtlInitAnsiString, _strupr, _strlwr, KeDelayExecutionThread, RtlVolumeDeviceToDosName, ObfReferenceObject, IoGetDeviceObjectPointer, wcschr, wcsncmp, _wcsicmp, wcsrchr, strchr, strstr, RtlAppendUnicodeToString, KeClearEvent, IoCreateNotificationEvent, IoDeviceObjectType, ZwQuerySection, RtlInitString, ZwRequestWaitReplyPort, ZwConnectPort, KeTickCount, memset, ZwQueryInformationFile, IoGetCurrentProcess, ZwClose, IoGetLowerDeviceObject, RtlUnwind, IoReleaseCancelSpinLock > HAL.dll: KfReleaseSpinLock, KfAcquireSpinLock ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win32 Executable Generic (51.1%) Win16/32 Executable Delphi generic (12.4%) Clipper DOS Executable (12.1%) Generic Win/DOS Executable (12.0%) DOS Executable Generic (12.0%) sigcheck: publisher....: Sunbelt Software copyright....: Copyright (c) 2002-2006 Sunbelt Software. All rights reserved. product......: CounterSpy description..: Anti-Rootkit Engine original name: SBRE.sys internal name: SBRE.sys file version.: 3.1.2819 comments.....: n/a signers......: SUNBELT SOFTWARE DISTRIBUTION VeriSign Class 3 Code Signing 2004 CA Class 3 Public Primary Certification Authority signing date.: 3:24 PM 8/5/2009 verified.....: - ------------------------------EoF-------------------- 0b30a0141.dll Datei 0b30a0141.dll empfangen 2009.11.09 21:10:51 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 2/40 (5%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit ist zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.41 2009.11.09 - AhnLab-V3 5.0.0.2 2009.11.06 - AntiVir 7.9.1.61 2009.11.09 - Antiy-AVL 2.0.3.7 2009.11.09 - Authentium 5.2.0.5 2009.11.09 - Avast 4.8.1351.0 2009.11.09 - AVG 8.5.0.423 2009.11.09 Agent_r.PA BitDefender 7.2 2009.11.09 - CAT-QuickHeal 10.00 2009.11.09 - ClamAV 0.94.1 2009.11.09 - Comodo 2899 2009.11.09 - DrWeb 5.0.0.12182 2009.11.09 - eTrust-Vet 35.1.7111 2009.11.09 - F-Prot 4.5.1.85 2009.11.09 - F-Secure 9.0.15370.0 2009.11.09 - Fortinet 3.120.0.0 2009.11.09 - GData 19 2009.11.09 - Ikarus T3.1.1.74.0 2009.11.09 - Jiangmin 11.0.800 2009.11.09 - K7AntiVirus 7.10.892 2009.11.09 - Kaspersky 7.0.0.125 2009.11.09 - McAfee 5797 2009.11.09 - McAfee+Artemis 5797 2009.11.09 - McAfee-GW-Edition 6.8.5 2009.11.09 - Microsoft 1.5202 2009.11.09 - NOD32 4589 2009.11.09 - Norman 6.03.02 2009.11.09 - nProtect 2009.1.8.0 2009.11.09 - Panda 10.0.2.2 2009.11.09 - PCTools 7.0.3.5 2009.11.09 - Prevx 3.0 2009.11.09 - Rising 22.21.00.08 2009.11.09 - Sophos 4.47.0 2009.11.09 Troj/Riern-Fam Sunbelt 3.2.1858.2 2009.11.09 - Symantec 1.4.4.12 2009.11.09 - TheHacker 6.5.0.2.063 2009.11.06 - TrendMicro 9.0.0.1003 2009.11.09 - VBA32 3.12.10.11 2009.11.09 - ViRobot 2009.11.9.2027 2009.11.09 - VirusBuster 4.6.5.0 2009.11.09 - weitere Informationen File size: 101888 bytes MD5...: 922bfbd5aaa089f78f8eeb0ad2482798 SHA1..: 31bc216620aab4fef77b3b5e5a99728c3ad41114 SHA256: 9e6afcd4c541cbd4a1eb3a7727d925dc566da7a7e4c6f7476096a680f8514dcb ssdeep: 1536:jSHB0vX6Roc9aV1S2hfoWYYooZja+OSrLWd109eMctT7EIADkil+W2WNiD1 AkvnY:nv6RN0a2h+KjlA21whVil+WVANh PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10981 timedatestamp.....: 0x4aea14b9 (Thu Oct 29 22:18:33 2009) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1231e 0x12400 6.21 dd73ad3b8dc33df208a19b07741ee4e8 .rdata 0x14000 0x7f4 0x800 5.37 378d1c36875515120820abbc6c13358f .data 0x15000 0x57c0 0x4e00 6.05 57f42d0f505fd3dbde95dc8dae0a5762 .reloc 0x1b000 0xf1e 0x1000 6.17 5b4c84e9cec221248e25e2c456f67f58 ( 1 imports ) > KERNEL32.dll: TerminateThread, VirtualAlloc, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, GetCurrentThreadId, TlsSetValue, TlsAlloc, TlsFree, TlsGetValue, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, DeleteCriticalSection, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, HeapDestroy, HeapCreate, VirtualFree, HeapFree, WriteFile, InitializeCriticalSection, EnterCriticalSection, LeaveCriticalSection, HeapAlloc, GetCPInfo, GetACP, GetOEMCP, HeapReAlloc, GetProcAddress, LoadLibraryA, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, RtlUnwind ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned trid..: Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) -----------------------------------EoF---------------- Da ich schon dabei war, hab ich gleich die Datei c:\dokume~1\Besitzer\ANWEND~1\MACROM~1\Common\0b30a01419.exe scannen lassen. Diese und die o.g. dll-Datei sind die einzigen Dateien im Ordner "Common". Sieht auch nicht gut aus: 0b30a01419.exe Datei 0b30a01419.exe empfangen 2009.11.09 21:15:54 (UTC) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.41 2009.11.09 - AhnLab-V3 5.0.0.2 2009.11.06 - AntiVir 7.9.1.61 2009.11.09 - Antiy-AVL 2.0.3.7 2009.11.09 - Authentium 5.2.0.5 2009.11.09 - Avast 4.8.1351.0 2009.11.09 - AVG 8.5.0.423 2009.11.09 PSW.Agent.ADKI BitDefender 7.2 2009.11.09 - CAT-QuickHeal 10.00 2009.11.09 - ClamAV 0.94.1 2009.11.09 - Comodo 2899 2009.11.09 - DrWeb 5.0.0.12182 2009.11.09 - eTrust-Vet 35.1.7111 2009.11.09 - F-Prot 4.5.1.85 2009.11.09 - F-Secure 9.0.15370.0 2009.11.09 Trojan:W32/Riern.B Fortinet 3.120.0.0 2009.11.09 - GData 19 2009.11.09 - Ikarus T3.1.1.74.0 2009.11.09 - Jiangmin 11.0.800 2009.11.09 - K7AntiVirus 7.10.892 2009.11.09 - Kaspersky 7.0.0.125 2009.11.09 - McAfee 5797 2009.11.09 - McAfee+Artemis 5797 2009.11.09 - McAfee-GW-Edition 6.8.5 2009.11.09 - Microsoft 1.5202 2009.11.09 - NOD32 4589 2009.11.09 Win32/Agent.QHS Norman 6.03.02 2009.11.09 - nProtect 2009.1.8.0 2009.11.09 - Panda 10.0.2.2 2009.11.09 Trj/Sinowal.WOS PCTools 7.0.3.5 2009.11.09 - Prevx 3.0 2009.11.09 Medium Risk Malware Rising 22.21.00.08 2009.11.09 - Sophos 4.47.0 2009.11.09 - Sunbelt 3.2.1858.2 2009.11.09 - Symantec 1.4.4.12 2009.11.09 - TheHacker 6.5.0.2.063 2009.11.06 - TrendMicro 9.0.0.1003 2009.11.09 - VBA32 3.12.10.11 2009.11.09 - ViRobot 2009.11.9.2027 2009.11.09 - VirusBuster 4.6.5.0 2009.11.09 - weitere Informationen File size: 16384 bytes MD5...: 0cb97e5ad1c242e2d682deb3dc606888 SHA1..: 4e363b3fc7e5c953b1ab92dd65036e7327c894bc SHA256: d8fab2b362fb5f8b165f869472f569b431e9372443d890f254186f509d55dcf1 ssdeep: 384:+aib4iAgY7Avc+x2mlm1Lh1sype+SoEglZH9:Zib4iAgY7B+xcJs42FglH PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x134f timedatestamp.....: 0x4aea14b4 (Thu Oct 29 22:18:28 2009) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x2b9e 0x2c00 6.56 60c373bc0c8dc6c17965d3f7dace9cf0 .rdata 0x4000 0x736 0x800 4.97 dfd28a1990c2ecc325ca747cccd278c7 .data 0x5000 0xc5c 0x800 4.30 f64b97fa7120cb97e30c275e7aae68f6 ( 1 imports ) > KERNEL32.dll: GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, HeapCreate, VirtualFree, HeapFree, RtlUnwind, WriteFile, GetCPInfo, GetACP, GetOEMCP, HeapAlloc, VirtualAlloc, HeapReAlloc, GetProcAddress, LoadLibraryA, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=C5E66E9700373286402500E97C5547006538C3B4' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=C5E66E9700373286402500E97C5547006538C3B4</a> ------------------------EdF---------------- Die Datei c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\0b30a01419.exe bereitet mit genau wie die erste in der Liste, c:\windows\system32\drivers\sbapifs.sys, Kopfzerbrechen. Ich kann sie zwar im Windows-Explorer finden, aber nichtim Upload-Fenster für virustotal. Siehe Screensot. Werden diese Dateien absichtlich versteckt? Jetzt muss ich aber ins Bett. Gute Nacht und vielen Dank! Ich mach morgen mit dem schwierigeren Teil weiter.     |
|
| Themen zu roore.ws/1.exe trotz KasperskyIS |
| acrobat, aktiv, anfang, computer, dienste, fiese, firefox, image, internet, internet security, kis, kostenlose, lädt, meldung, meldungen, neues, neues fenster, nicht angezeigt, nicht geladen, plug-in, programm, scan, security, seite, seiten, selbständig, startet, system, taskmanager, win32.bredavi.agn |
Hybrid-Darstellung
