| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner erfolgreich entfernt?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
14.11.2009, 17:35
| #1 |
| |  Trojaner erfolgreich entfernt? Hallo an alle Malwarejäger! Ich habe/hatte einen Trojaner auf meinem Rechner. Das war das Ergebnis von Malwarebytes: C:\WINDOWS\ld15.exe (Trojan.Buzus) -> No action taken. C:\WINDOWS\010112010146116101.xxe (KoobFace.Trace) -> No action taken. C:\WINDOWS\0101120101465155.xxe (KoobFace.Trace) -> No action taken. Anscheinend hat Malwarebytes alles entfernen können zumindest nach dem letzten Scan findet weder Malwarebytes noch Antivir mehr irgendwas. Wie sicher kann ich mir da sein das es nicht doch ein Backdoor Trojaner war, der sich nur noch nicht wieder installiert hat? Braucht ihr ein Hijack log von mir oder reicht es einfach wenn Malwarebytes nichts mehr findet? Danke euch schon mal im Vorraus für eure Antworten....  |
|
14.11.2009, 22:54
| #2 | ||
| /// Helfer-Team    | Trojaner erfolgreich entfernt? Hallo und Herzlich Willkommen!
__________________ lustig ist das nicht und ich würde überlegen das System neu zu installieren: http://www.searchsecurity.de/index.c...44&cmp=rss-bep Zitat:
Ändere deine Passworte und Zugangsdaten überall! - am besten von einem anderen, nicht-infizierten Rechner aus! - Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: - Ergebnis von Malwarebytes bitte posten! 1. lade Dir HijackThis 2.0.2 von *von hier* herunter HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen" 2. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 3. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 4. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 5. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! ** kannst Du das Log bei File-Upload.net/kostenlos hochladen und den Link mir hier posten. Zitat:
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw grußCoverflow |
|
15.11.2009, 19:44
| #3 |
| | Trojaner erfolgreich entfernt? Hallo Coverflow,
__________________vielen Dank für deine schnelle Antwort. Also hier die Daten die du brauchst: Malwarebytes alter Systemscan vor der Löschung der infizierten Dateien (wie der Trojaner entdeckt wurde. Ich schicke dir später noch mal einen Bericht denn ich habe jetzt den Computer ohne online zu sein länger laufen lassen um zu schauen ob Malwarbytes noch mal etwas entdeckt den Scan habe ich jetzt erst gestartet): Code:
ATTFilter Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3169
Windows 5.1.2600 Service Pack 3
14.11.2009 16:58:46
mbam-log-2009-11-14 (16-58-40).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 222128
Laufzeit: 38 minute(s), 37 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysldtray (Trojan.Buzus) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\ld15.exe (Trojan.Buzus) -> No action taken.
C:\WINDOWS\010112010146116101.xxe (KoobFace.Trace) -> No action taken.
C:\WINDOWS\0101120101465155.xxe (KoobFace.Trace) -> No action taken.
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:09:04, on 14.11.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Acer\Empowering Technology\admServ.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Acer\Acer Arcade\PCMService.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\system32\igfxpers.exe C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe C:\Acer\Empowering Technology\ePower\ePower_DMC.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\PROGRA~1\LAUNCH~1\LManager.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Acer\Empowering Technology\eRecovery\Monitor.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\Acer\Empowering Technology\admtray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\svchost.exe C:\Programme\QuickTime\QTTask.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\WINDOWS\system32\SearchIndexer.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\igfxext.exe C:\Programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe D:\Nokia\Nokia PC Suite 7\PCSuite.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Windows Desktop Search\WindowsSearch.exe C:\DOKUME~1\***\LOKALE~1\Temp\RtkBtMnt.exe C:\Programme\OpenOffice.org 3\program\soffice.exe C:\Programme\OpenOffice.org 3\program\soffice.bin C:\WINDOWS\system32\wbem\unsecapp.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\PC Connectivity Solution\ServiceLayer.exe C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe C:\Dokumente und Einstellungen\***\Desktop\***.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://global.acer.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll O3 - Toolbar: Acer eDataSecurity Management - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\system32\ToolBand.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [PCMService] "C:\Programme\Acer\Acer Arcade\PCMService.exe" O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "D:\Trojanerboard.de\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [PC Suite Tray] "D:\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe O4 - Global Startup: VPN Client.lnk = ? O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\system32\ToolBand.dll/MENUSEARCH.HTM O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1231454811328 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- End of file - 10269 bytes HijackThis nach der Reinigung: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:10:00, on 15.11.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Acer\Empowering Technology\admServ.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Acer\Acer Arcade\PCMService.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe C:\Acer\Empowering Technology\ePower\ePower_DMC.exe C:\PROGRA~1\LAUNCH~1\LManager.exe C:\Acer\Empowering Technology\eRecovery\Monitor.exe C:\Acer\Empowering Technology\admtray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\QuickTime\QTTask.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\PnkBstrA.exe D:\Nokia\Nokia PC Suite 7\PCSuite.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\system32\igfxext.exe C:\Programme\Windows Desktop Search\WindowsSearch.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\SearchIndexer.exe C:\Programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe C:\Programme\OpenOffice.org 3\program\soffice.exe C:\Programme\OpenOffice.org 3\program\soffice.bin C:\DOKUME~1\***\LOKALE~1\Temp\RtkBtMnt.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\Programme\PC Connectivity Solution\ServiceLayer.exe C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Mozilla Firefox\firefox.exe D:\Trojanerboard.de\Malwarebytes' Anti-Malware\mbam.exe C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://global.acer.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll O3 - Toolbar: Acer eDataSecurity Management - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\system32\ToolBand.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [PCMService] "C:\Programme\Acer\Acer Arcade\PCMService.exe" O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "D:\Trojanerboard.de\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [PC Suite Tray] "D:\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe O4 - Global Startup: VPN Client.lnk = ? O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\system32\ToolBand.dll/MENUSEARCH.HTM O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1231454811328 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- End of file - 10289 bytes Code:
ATTFilter Malwarbytes erneuter Scan nach Entfernung der betroffenen Dateien:
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3172
Windows 5.1.2600 Service Pack 3
15.11.2009 19:38:42
mbam-log-2009-11-15 (19-38-42).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 222229
Laufzeit: 38 minute(s), 29 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
filelist und CCleaner Ergebnisse schicke ich dir heute Nacht. Ich habe leider noch ein Seminar. Danke dir aber schon mal so weit!!!! Finde es toll das es Leute wie dich gibt, die einem helfen!!! LG lucki |
|
15.11.2009, 21:05
| #4 |
| | Trojaner erfolgreich entfernt? So Seminar fällt aus  also kann es weiter gehen Filelist muss ich in 2 Teilen posten. Hier das GMER Ergebnis:Code:
ATTFilter GMER 1.0.15.15227 - http://www.gmer.net
Rootkit scan 2009-11-15 20:39:01
Windows 5.1.2600 Service Pack 3
Running: zqiyjmlz.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\ugldipow.sys
---- System - GMER 1.0.15 ----
SSDT F6BD4CDE ZwCreateKey
SSDT F6BD4CD4 ZwCreateThread
SSDT F6BD4CE3 ZwDeleteKey
SSDT F6BD4CED ZwDeleteValueKey
SSDT F6BD4CF2 ZwLoadKey
SSDT F6BD4CC0 ZwOpenProcess
SSDT F6BD4CC5 ZwOpenThread
SSDT F6BD4CFC ZwReplaceKey
SSDT F6BD4CF7 ZwRestoreKey
SSDT F6BD4CE8 ZwSetValueKey
SSDT F6BD4CCF ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwCallbackReturn + 2FA0 8050483C 4 Bytes CALL 7547058D
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\SearchIndexer.exe[2972] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[1752] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress] [00F62BC8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[1752] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!UnhandledExceptionFilter] [00F62CE9] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[1752] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!TerminateProcess] [00F62CB8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
Device \Driver\Cdrom \Device\CdRom0 OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies)
AttachedDevice \FileSystem\Fastfat \Fat OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- EOF - GMER 1.0.15 ----
Code:
ATTFilter ----- Root -----------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E
Verzeichnis von C:\
15.11.2009 20:46 43 filelist.txt
15.11.2009 20:04 1.063.374.848 hiberfil.sys
15.11.2009 20:04 1.598.029.824 pagefile.sys
18.08.2009 17:28 0 AILog.txt
15 Datei(en) 2.661.710.137 Bytes
0 Verzeichnis(se), 1.532.035.072 Bytes frei
----- Windows --------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E
Verzeichnis von C:\WINDOWS
15.11.2009 20:39 1.755 setupapi.log
15.11.2009 20:04 4.198 ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt
15.11.2009 20:04 157 wiadebug.log
15.11.2009 20:04 2.048 bootstat.dat
15.11.2009 20:04 0 0.log
15.11.2009 19:46 1.228.907 WindowsUpdate.log
15.11.2009 19:46 32.556 SchedLgU.Txt
15.11.2009 19:46 50 wiaservc.log
13.11.2009 16:23 0 zwer_1258125797.exe
13.11.2009 16:23 0 zwer_1258125796.exe
13.11.2009 16:22 2 010112010146101105.rx
92 Datei(en) 39.035.742 Bytes
0 Verzeichnis(se), 1.532.035.072 Bytes frei
----- System ---
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E
Verzeichnis von C:\WINDOWS\system
38 Datei(en) 2.126.922 Bytes
0 Verzeichnis(se), 1.532.035.072 Bytes frei
----- System 32 (Achtung: Zeitfenster beachten!) ---
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E
Verzeichnis von C:\WINDOWS\system32
15.11.2009 20:05 451 eRLog.ini
11.11.2009 17:38 189.000 FNTCACHE.DAT
05.11.2009 18:36 26.768.832 MRT.exe
04.11.2009 14:44 1.158 wpa.dbl
22.10.2009 10:16 5.939.712 mshtml.dll
16.10.2009 13:11 72.066 perfc009.dat
16.10.2009 13:11 442.800 perfh009.dat
16.10.2009 13:11 95.400 perfc007.dat
16.10.2009 13:11 485.732 perfh007.dat
16.10.2009 13:11 1.066.274 PerfStringBackup.INI
25.09.2009 17:41 90.112 dpl100.dll
25.09.2009 17:41 839.680 divx_xx11.dll
25.09.2009 17:41 847.872 divx_xx0a.dll
25.09.2009 17:41 843.776 divx_xx16.dll
25.09.2009 17:41 856.064 divx_xx0c.dll
25.09.2009 17:41 696.320 DivX.dll
25.09.2009 17:41 856.064 divx_xx07.dll
11.09.2009 16:17 136.192 msv1_0.dll
08.09.2009 14:58 212.770 TZLog.log
05.09.2009 01:54 69.632 QuickTime.qts
05.09.2009 01:54 94.208 QuickTimeVR.qtx
04.09.2009 23:03 58.880 msasn1.dll
01.09.2009 16:46 282.654 msaud32.acm
29.08.2009 09:24 133.120 extmgr.dll
29.08.2009 08:54 1.208.832 urlmon.dll
29.08.2009 08:54 206.848 occache.dll
29.08.2009 08:54 916.480 wininet.dll
29.08.2009 08:54 594.432 msfeeds.dll
29.08.2009 08:54 55.296 msfeedsbs.dll
29.08.2009 08:54 1.469.440 inetcpl.cpl
29.08.2009 08:54 1.985.536 iertutil.dll
29.08.2009 08:54 25.600 jsproxy.dll
29.08.2009 08:54 184.320 iepeers.dll
29.08.2009 08:54 11.069.440 ieframe.dll
29.08.2009 08:54 387.584 iedkcs32.dll
28.08.2009 11:35 173.056 ie4uinit.exe
26.08.2009 10:00 247.326 strmdll.dll
14.08.2009 16:10 1.850.752 win32k.sys
06.08.2009 19:24 327.896 wucltui.dll
06.08.2009 19:24 209.632 wuweb.dll
06.08.2009 19:24 18.144 wuaueng.dll.mui
06.08.2009 19:24 44.768 wups2.dll
06.08.2009 19:24 217.816 wuaucpl.cpl
06.08.2009 19:24 35.552 wups.dll
06.08.2009 19:24 15.584 wuapi.dll.mui
06.08.2009 19:24 53.472 wuauclt.exe
06.08.2009 19:24 96.480 cdm.dll
06.08.2009 19:24 15.584 wuaucpl.cpl.mui
06.08.2009 19:24 23.264 wucltui.dll.mui
06.08.2009 19:23 575.704 wuapi.dll
06.08.2009 19:23 1.929.952 wuaueng.dll
05.08.2009 10:59 206.336 mswebdvd.dll
04.08.2009 19:26 2.147.840 ntoskrnl.exe
04.08.2009 19:25 2.026.496 ntkrnlpa.exe
29.07.2009 06:34 119.808 t2embed.dll
29.07.2009 06:34 81.920 fontsub.dll
17.07.2009 21:01 58.880 atl.dll
17.07.2009 18:15 1.441.792 query.dll
14.07.2009 13:03 46.080 tzchange.exe
13.07.2009 23:43 10.841.088 wmp.dll
13.07.2009 23:43 286.208 wmpdxm.dll
02.07.2009 20:50 43.520 CmdLineExt03.dll
25.06.2009 10:25 147.456 schannel.dll
25.06.2009 10:25 54.272 wdigest.dll
25.06.2009 10:25 301.568 kerberos.dll
25.06.2009 10:25 737.792 lsasrv.dll
25.06.2009 10:25 56.832 secur32.dll
22.06.2009 07:45 726.528 jscript.dll
15.06.2009 12:44 78.848 telnet.exe
10.06.2009 16:13 85.504 avifil32.dll
10.06.2009 09:19 2.066.432 mstscax.dll
10.06.2009 08:14 132.096 wkssvc.dll
03.06.2009 21:09 1.296.896 quartz.dll
25.05.2009 00:24 350.208 mssph.dll
20.05.2009 04:56 2.458.112 WMVCore.dll
2291 Datei(en) 495.529.101 Bytes
0 Verzeichnis(se), 1.530.986.496 Bytes frei
----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E
Verzeichnis von C:\WINDOWS\Prefetch
15.11.2009 20:46 22.206 CMD.EXE-034B0549.pf
15.11.2009 20:46 11.886 FIND.EXE-0EEAD1A7.pf
15.11.2009 20:45 145.374 NOTEPAD.EXE-2F2D61E1.pf
15.11.2009 20:44 32.378 VERCLSID.EXE-28F52AD2.pf
15.11.2009 20:40 79.416 FIREFOX.EXE-28BE8AE1.pf
15.11.2009 20:39 44.288 AVWSC.EXE-1742FD55.pf
15.11.2009 20:39 58.712 AVCONFIG.EXE-0014E46E.pf
15.11.2009 20:39 25.452 RUNDLL32.EXE-565D8A96.pf
15.11.2009 20:39 23.318 RUNDLL32.EXE-5BEC56A6.pf
15.11.2009 20:39 38.302 RUNDLL32.EXE-419F288A.pf
15.11.2009 20:39 23.384 CONTROL.EXE-24FBF8B3.pf
15.11.2009 20:30 12.774 WSCNTFY.EXE-0B14C27D.pf
15.11.2009 20:28 33.812 ZQIYJMLZ.EXE-3A1B4CA7.pf
15.11.2009 20:06 91.328 SKYPEPM.EXE-1D416A14.pf
15.11.2009 20:05 19.898 UNSECAPP.EXE-16EB9856.pf
15.11.2009 20:05 16.308 ALG.EXE-275708CF.pf
15.11.2009 20:05 8.748 NCLRSSRV.EXE-0CDC9306.pf
15.11.2009 20:05 10.556 NCLUSBSRV.EXE-19E25842.pf
15.11.2009 20:05 30.742 WMIPRVSE.EXE-0D449B4F.pf
15.11.2009 20:05 19.694 SERVICELAYER.EXE-08049BB7.pf
15.11.2009 20:05 91.978 IPODSERVICE.EXE-07892C80.pf
15.11.2009 20:05 16.824 NCLINSTALLER.EXE-06553A85.pf
15.11.2009 20:05 17.100 RTKBTMNT.EXE-11130A02.pf
15.11.2009 20:05 45.870 IMAPI.EXE-201490BB.pf
15.11.2009 20:05 1.019.380 NTOSBOOT-B00DFAAD.pf
15.11.2009 20:05 88.174 SOFFICE.BIN-15A0C0E4.pf
15.11.2009 20:05 12.220 SOFFICE.EXE-0DB12BBD.pf
15.11.2009 19:45 20.358 LOGONUI.EXE-312BE1BF.pf
15.11.2009 19:40 78.708 WINRAR.EXE-1A0EFB18.pf
15.11.2009 19:24 51.144 CCLEANER.EXE-1BD69A7A.pf
15.11.2009 19:09 62.382 HIJACKTHIS.EXE-06187BC0.pf
15.11.2009 19:01 69.060 GOOGLEUPDATER.EXE-1DF2649A.pf
15.11.2009 18:59 60.864 MBAM.EXE-02821164.pf
15.11.2009 18:57 79.242 AVNOTIFY.EXE-22D2A6A0.pf
15.11.2009 18:56 55.192 UPDATE.EXE-33FE454B.pf
15.11.2009 18:55 11.344 QUICKSTART.EXE-33808230.pf
15.11.2009 18:55 23.082 VPNGUI.EXE-33F997D3.pf
14.11.2009 21:23 22.964 TASKMGR.EXE-06144C13.pf
14.11.2009 20:49 71.626 REALPLAY.EXE-05411014.pf
14.11.2009 20:30 14.940 DFRGFAT.EXE-22605FE5.pf
14.11.2009 20:30 17.210 DEFRAG.EXE-2858C7E2.pf
14.11.2009 20:30 438.156 Layout.ini
14.11.2009 20:04 22.966 REGSVR32.EXE-396DEA2C.pf
14.11.2009 19:28 97.180 AVSCAN.EXE-068A2CAC.pf
14.11.2009 17:24 104.974 ***.EXE-1D7AF646.pf
14.11.2009 17:22 57.584 AVCENTER.EXE-377C5668.pf
14.11.2009 17:09 22.968 RSIT.EXE-3B6394BA.pf
14.11.2009 16:18 8.748 MBAMGUI.EXE-33F3DF78.pf
14.11.2009 16:17 27.686 MBAM-SETUP.TMP-31C832BE.pf
14.11.2009 16:17 17.552 MBAM-SETUP.EXE-1D1DE292.pf
14.11.2009 16:16 15.916 SEARCHFILTERHOST.EXE-1FEC9DD2.pf
14.11.2009 16:16 27.918 SEARCHPROTOCOLHOST.EXE-1460F5CC.pf
14.11.2009 16:05 28.464 CCSETUP225.EXE-1AF077AC.pf
14.11.2009 10:22 180.376 HELPSVC.EXE-1C192440.pf
14.11.2009 08:56 79.952 MSIMN.EXE-2E3AC8DB.pf
14.11.2009 08:31 29.842 SETUP.EXE-3B7EE7EA.pf
14.11.2009 08:31 45.264 MSIEXEC.EXE-330626DC.pf
14.11.2009 08:30 22.074 INSTALL.EXE-25E32874.pf
14.11.2009 08:30 53.700 VCREDIST_X86.EXE-2A28236F.pf
14.11.2009 08:30 17.940 PRESETUP.EXE-0A85FF99.pf
14.11.2009 08:30 54.498 AVIRA_ANTIVIR_PERSONAL_DE.EXE-3650341A.pf
14.11.2009 08:27 20.814 GUARDGUI.EXE-1FA25B88.pf
13.11.2009 16:27 16.438 UNINSTALL_PLUGIN.EXE-07D4AB07.pf
13.11.2009 16:27 15.122 AU_.EXE-05D8A49B.pf
13.11.2009 16:27 38.502 INSTALL_FLASH_PLAYER(2).EXE-29926952.pf
13.11.2009 16:21 43.332 LD15.EXE-0069CDF7.pf
13.11.2009 16:21 21.522 SETUP.EXE-26353E3B.pf
13.11.2009 06:00 28.610 WUAUCLT.EXE-1360D60A.pf
13.11.2009 03:07 29.570 WINMINE.EXE-1C017FC4.pf
13.11.2009 03:02 96.318 EXPORTCONTROLLER.EXE-29DA913E.pf
13.11.2009 03:02 92.242 QUICKTIMEPLAYER.EXE-370268C9.pf
13.11.2009 03:01 12.954 DIVXVERSIONCHECKER.EXE-0960F1F2.pf
13.11.2009 02:55 18.226 SNDVOL32.EXE-0EC6FD20.pf
12.11.2009 23:54 59.236 ZCLIENTM.EXE-3981734C.pf
12.11.2009 23:54 19.332 BCKGZM.EXE-1C47AC04.pf
12.11.2009 19:09 17.254 SOL.EXE-213C4FA3.pf
12.11.2009 15:40 33.250 EMERGY.EXE-24640EAC.pf
12.11.2009 15:40 21.718 DRWTSN32.EXE-01DDCF15.pf
12.11.2009 15:40 33.702 DWWIN.EXE-2C373FB7.pf
07.11.2009 13:58 21.270 REALSCHED.EXE-0C8249C8.pf
03.11.2009 16:58 16.230 RUNDLL32.EXE-6E8D4657.pf
05.06.2009 18:54 33.908 AVWSC.EXE-100E7505.pf
82 Datei(en) 4.721.546 Bytes
0 Verzeichnis(se), 1.531.936.768 Bytes frei
|
|
15.11.2009, 21:07
| #5 |
| | Trojaner erfolgreich entfernt? so filelist 2. Teil: Code:
ATTFilter ----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E
Verzeichnis von C:\WINDOWS\tasks
15.11.2009 20:04 6 SA.DAT
09.11.2009 07:06 276 AppleSoftwareUpdate.job
3 Datei(en) 347 Bytes
0 Verzeichnis(se), 1.531.936.768 Bytes frei
----- Windows/Temp -----------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E
Verzeichnis von C:\WINDOWS\Temp
15.11.2009 20:04 2.048 sqlite_eV2zNuGK79ah8VU
15.11.2009 20:04 0 CLML_AGENT_LOG1.txt
14.11.2009 17:03 0 T30DebugLogFile.txt
07.11.2009 15:45 7.021 wudf_update.log
06.11.2009 11:57 2.048 sqlite_MclcdDQVGByVd87
06.11.2009 00:12 2.048 sqlite_jd06RYx92COzKou
02.11.2009 18:24 2.048 sqlite_mku2FNkEeJ03Q7i
21.10.2009 23:45 2.048 sqlite_bUaFblyxzkMTteG
21.10.2009 03:35 2.048 sqlite_WmD1FgCdGi3QSNm
16.10.2009 13:11 5.158 ASPNETSetup_00000.log
16.10.2009 13:04 11.460 NetFxUpdate_v1.1.4322.log
08.09.2009 07:12 2.048 sqlite_dCLE32qFufpsAee
13 Datei(en) 40.023 Bytes
0 Verzeichnis(se), 1.531.936.768 Bytes frei
----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E
Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp
15.11.2009 20:40 0 etilqs_nGd5ovo3jSY7KeQqVN3w
15.11.2009 20:30 16.384 Perflib_Perfdata_754.dat
15.11.2009 20:05 14.408 _pcsuitecheck_new.xml
15.11.2009 20:04 10.711 NGLALog.txt
15.11.2009 19:45 311.296 ~DF2A0B.tmp
14.11.2009 20:02 81.920 ~DF58DB.tmp
14.11.2009 20:00 29.114 mod30.tmp
14.11.2009 20:00 955 mod2F.tmp
14.11.2009 20:00 34 mod2D.tmp
14.11.2009 17:08 81.920 ~DFA138.tmp
14.11.2009 17:05 962 mod5.tmp
14.11.2009 17:05 34 mod4.tmp
14.11.2009 17:05 75.333 mod6.tmp
14.11.2009 17:01 81.920 ~DFD061.tmp
14.11.2009 16:35 75.333 mod4A.tmp
14.11.2009 16:35 962 mod49.tmp
14.11.2009 16:35 34 mod48.tmp
14.11.2009 15:27 81.920 ~DF4A60.tmp
14.11.2009 09:48 43 mod2E.tmp
14.11.2009 08:56 34 mod27.tmp
14.11.2009 08:56 964 mod28.tmp
14.11.2009 08:56 75.333 mod29.tmp
14.11.2009 08:31 12.400 dd_vcredistUI458F.txt
14.11.2009 08:31 538.326 dd_vcredistMSI458F.txt
13.11.2009 04:27 81.920 ~DFEBBD.tmp
13.11.2009 04:18 43 mod187.tmp
13.11.2009 02:58 29.114 mod160.tmp
13.11.2009 02:58 953 mod15F.tmp
13.11.2009 02:58 34 mod15E.tmp
12.11.2009 15:41 81.920 ~DF7DE7.tmp
12.11.2009 15:24 15.184 Re_ Gráe.eml
12.11.2009 15:22 75.333 mod1E.tmp
12.11.2009 15:22 962 mod1D.tmp
12.11.2009 15:22 34 mod1C.tmp
11.11.2009 02:28 75.333 mod83.tmp
11.11.2009 02:28 81.920 ~DF563E.tmp
11.11.2009 02:28 962 mod82.tmp
11.11.2009 02:28 34 mod81.tmp
11.11.2009 02:28 81.920 ~DF4536.tmp
11.11.2009 02:22 34 mod77.tmp
11.11.2009 02:22 29.114 mod79.tmp
11.11.2009 02:22 955 mod78.tmp
10.11.2009 13:45 81.920 ~DF239C.tmp
09.11.2009 02:01 32.768 ~DF335B.tmp
08.11.2009 16:36 34 mod9A.tmp
08.11.2009 16:36 955 mod9B.tmp
08.11.2009 16:36 29.114 mod9C.tmp
07.11.2009 20:57 174 addonscheck.xml
07.11.2009 20:57 12.808 pcsuitecheck_new.xml
07.11.2009 18:23 2 MMCULog2.txt
07.11.2009 17:16 16.527 adl_flash.log
07.11.2009 17:09 79 hash.bin
07.11.2009 15:39 19.997 NclRegPermissions(3).log
07.11.2009 15:39 7.978 NclRegPermissions(2).log
07.11.2009 15:38 2.192 NclRegPermissions(1).log
07.11.2009 02:29 81.920 ~DFF06A.tmp
07.11.2009 02:29 16.384 ~DFFC6C.tmp
06.11.2009 20:58 16.384 ~DF240A.tmp
06.11.2009 14:20 16.384 ~DFE061.tmp
06.11.2009 11:57 16.384 ~DF1FE4.tmp
06.11.2009 04:50 43 modEF.tmp
06.11.2009 04:07 955 modD3.tmp
06.11.2009 04:07 29.114 modD4.tmp
06.11.2009 04:07 34 modD2.tmp
06.11.2009 04:07 32.768 ~DF206C.tmp
06.11.2009 00:12 16.384 Perflib_Perfdata_74c.dat
06.11.2009 00:12 16.384 ~DF50C9.tmp
05.11.2009 18:49 81.920 ~DF475C.tmp
05.11.2009 18:49 16.384 ~DFFF0C.tmp
05.11.2009 17:52 34 mod39.tmp
05.11.2009 17:52 75.333 mod3E.tmp
05.11.2009 17:52 962 mod3D.tmp
05.11.2009 03:58 81.920 ~DFD545.tmp
05.11.2009 03:58 16.384 ~DFABF3.tmp
03.11.2009 17:56 16.384 ~DF89D8.tmp
03.11.2009 16:55 11.195 QTInstallCode.log
03.11.2009 16:55 85 SetupAdminF2C.log
02.11.2009 22:55 951 mod11B.tmp
02.11.2009 22:55 29.114 mod11C.tmp
02.11.2009 22:55 34 mod11A.tmp
02.11.2009 22:49 75.333 modE3.tmp
02.11.2009 22:49 34 modE1.tmp
02.11.2009 22:49 964 modE2.tmp
02.11.2009 22:49 81.920 ~DF1211.tmp
02.11.2009 22:48 4.352 qtplugin.log
02.11.2009 22:46 32.768 ~DF90CC.tmp
02.11.2009 22:46 21.604.456 aaxB7.tmp.exe
02.11.2009 22:21 29.114 mod99.tmp
02.11.2009 22:21 955 mod98.tmp
02.11.2009 22:21 34 mod97.tmp
02.11.2009 20:10 81.920 ~DF5408.tmp
02.11.2009 19:57 75.333 mod87.tmp
02.11.2009 19:57 34 mod85.tmp
02.11.2009 19:57 964 mod86.tmp
02.11.2009 18:28 16.384 Perflib_Perfdata_45c.dat
02.11.2009 18:24 16.384 ~DF9EFF.tmp
02.11.2009 08:21 16.384 ~DF1C7C.tmp
02.11.2009 02:02 81.920 ~DFF7F6.tmp
02.11.2009 02:02 16.384 ~DFE77E.tmp
02.11.2009 01:20 75.333 mod2C0.tmp
02.11.2009 01:20 34 mod2BE.tmp
02.11.2009 01:20 962 mod2BF.tmp
01.11.2009 22:06 16.384 ~DF10A9.tmp
01.11.2009 21:49 16.384 ~DF69BA.tmp
01.11.2009 21:45 81.920 ~DFB205.tmp
01.11.2009 19:42 34 mod10D.tmp
01.11.2009 19:42 29.114 mod10F.tmp
01.11.2009 19:42 953 mod10E.tmp
01.11.2009 14:52 81.920 ~DF6F1B.tmp
01.11.2009 14:31 34 mod67.tmp
01.11.2009 14:31 75.333 mod69.tmp
01.11.2009 14:31 964 mod68.tmp
01.11.2009 14:22 75.333 mod5F.tmp
01.11.2009 14:22 34 mod5D.tmp
01.11.2009 14:22 964 mod5E.tmp
31.10.2009 21:51 16.384 ~DF153.tmp
31.10.2009 21:51 16.384 ~DF8312.tmp
31.10.2009 20:18 28.588 AAX80.tmp
31.10.2009 20:18 25.500 AAX82.tmp
31.10.2009 13:51 81.920 ~DF53F3.tmp
31.10.2009 13:51 16.384 ~DF2C2E.tmp
30.10.2009 21:47 81.920 ~DF64D7.tmp
29.10.2009 13:46 81.920 ~DFB875.tmp
29.10.2009 13:46 16.384 ~DF6D21.tmp
28.10.2009 04:25 16.384 ~DF4466.tmp
27.10.2009 09:10 16.384 ~DF5FAF.tmp
26.10.2009 08:13 81.920 ~DFE5AC.tmp
26.10.2009 08:13 16.384 ~DFFD4C.tmp
26.10.2009 02:25 43 mod111.tmp
26.10.2009 01:34 29.114 modCC.tmp
26.10.2009 01:34 951 modCB.tmp
26.10.2009 01:34 34 modCA.tmp
25.10.2009 21:12 60.416 Teilnehmerliste Auswertungsseminar.doc
25.10.2009 04:00 16.384 ~DF70D1.tmp
24.10.2009 05:16 81.920 ~DFFEF1.tmp
24.10.2009 05:16 16.384 ~DF1D9A.tmp
24.10.2009 03:43 81.920 ~DFC8FA.tmp
24.10.2009 03:43 16.384 ~DFBEE0.tmp
23.10.2009 17:17 16.384 ~DF540D.tmp
23.10.2009 16:23 426 IMT26.xml
23.10.2009 16:23 2.036 IMT25.xml
23.10.2009 16:23 797.676 IMT27.xml
23.10.2009 14:55 16.384 ~DFF568.tmp
23.10.2009 14:54 16.384 ~DF1569.tmp
23.10.2009 07:23 81.920 ~DFAC29.tmp
23.10.2009 07:23 16.384 ~DF460C.tmp
23.10.2009 00:08 42.524 AAXD.tmp
22.10.2009 20:59 16.384 ~DFD40.tmp
22.10.2009 20:50 16.384 ~DF1E63.tmp
22.10.2009 20:19 251.104 hkeTemp2.tmp
22.10.2009 20:19 1.217.732 mp30409.w3d
22.10.2009 20:15 202.504 hkeTemp1.tmp
22.10.2009 20:15 1.229.732 mpb02080.w3d
22.10.2009 20:14 68.516 AAX40.tmp
22.10.2009 20:09 1.059.160 mpa02080.w3d
22.10.2009 20:09 195.948 hkeTemp0.tmp
22.10.2009 20:09 56.584 mp9909.w3d
22.10.2009 20:09 2.304.259 mpc02080.dcr
22.10.2009 20:09 420 mpa02080.ls
22.10.2009 20:09 1.409 tmp73F54.FOT
22.10.2009 20:09 42.524 AAX39.tmp
22.10.2009 19:46 43.292 AAX29.tmp
22.10.2009 19:45 43.292 AAX22.tmp
22.10.2009 13:58 16.384 ~DF764B.tmp
22.10.2009 03:52 81.920 ~DF5C6A.tmp
22.10.2009 03:52 16.384 ~DF7DE4.tmp
22.10.2009 02:15 461 mod3B.tmp
22.10.2009 02:15 75.333 mod3C.tmp
22.10.2009 02:15 34 mod3A.tmp
21.10.2009 23:47 16.384 ~DF631E.tmp
21.10.2009 23:46 16.384 Perflib_Perfdata_134.dat
21.10.2009 23:45 16.384 ~DF7CC4.tmp
21.10.2009 23:44 16.384 ~DFB057.tmp
21.10.2009 23:44 16.384 ~DFFC41.tmp
21.10.2009 23:44 426 IMT1D.xml
21.10.2009 23:44 797.676 IMT1E.xml
21.10.2009 23:44 2.036 IMT1C.xml
21.10.2009 23:44 797.676 IMT1A.xml
21.10.2009 23:44 2.036 IMT18.xml
21.10.2009 23:44 426 IMT19.xml
21.10.2009 15:23 16.384 ~DFAC21.tmp
21.10.2009 15:22 16.384 ~DF594D.tmp
21.10.2009 04:58 16.384 ~DF397D.tmp
20.10.2009 17:48 16.384 ~DF1AA5.tmp
20.10.2009 13:00 16.384 ~DF1BBD.tmp
20.10.2009 13:00 16.384 ~DF7BC2.tmp
20.10.2009 03:43 81.920 ~DF3DAA.tmp
20.10.2009 03:43 81.920 ~DF3EC3.tmp
20.10.2009 03:43 16.384 ~DF2A32.tmp
19.10.2009 08:15 16.384 ~DF3567.tmp
17.10.2009 12:38 16.384 ~DF491D.tmp
17.10.2009 12:38 16.384 ~DF3B0D.tmp
16.10.2009 22:41 16.384 ~DFF92C.tmp
16.10.2009 22:41 16.384 ~DF3312.tmp
16.10.2009 19:27 16.384 ~DF309A.tmp
16.10.2009 13:17 16.384 ~DFE7A6.tmp
16.10.2009 13:17 16.384 ~DF85B9.tmp
16.10.2009 03:06 16.384 ~DF54EB.tmp
15.10.2009 20:51 16.384 ~DF5FE8.tmp
15.10.2009 20:51 16.384 ~DF8534.tmp
15.10.2009 13:45 81.920 ~DF34CB.tmp
15.10.2009 13:44 16.384 ~DFF87B.tmp
14.10.2009 19:32 81.920 ~DF187B.tmp
14.10.2009 19:32 16.384 ~DF45CD.tmp
14.10.2009 14:01 81.920 ~DF3FDD.tmp
14.10.2009 13:20 75.333 mod16.tmp
14.10.2009 13:20 461 mod15.tmp
14.10.2009 13:20 34 mod14.tmp
14.10.2009 13:16 16.384 ~DF241F.tmp
14.10.2009 08:48 16.384 ~DF16B4.tmp
14.10.2009 02:51 16.384 ~DF5D84.tmp
14.10.2009 00:23 16.384 ~DF524D.tmp
13.10.2009 17:15 81.920 ~DFEE6E.tmp
13.10.2009 17:15 81.920 ~DF1CBE.tmp
13.10.2009 17:15 156.888 c245_appcompat.txt
13.10.2009 17:15 16.384 ~DFF927.tmp
12.10.2009 12:26 81.920 ~DF3905.tmp
12.10.2009 05:40 43 mod337.tmp
12.10.2009 04:55 75.333 mod332.tmp
12.10.2009 04:54 461 mod331.tmp
12.10.2009 04:54 34 mod330.tmp
12.10.2009 02:05 81.920 ~DF12E5.tmp
12.10.2009 01:34 75.333 mod25B.tmp
12.10.2009 01:34 459 mod25A.tmp
12.10.2009 01:34 34 mod259.tmp
11.10.2009 23:14 49 9335wrfiles.~lk
11.10.2009 23:14 71.680 GLBD1.tmp
11.10.2009 23:12 49 4100wrfiles.~lk
11.10.2009 23:09 71.680 GLBCB.tmp
11.10.2009 09:47 16.384 ~DF58F9.tmp
10.10.2009 20:40 16.384 ~DF6C14.tmp
10.10.2009 02:02 16.384 ~DF67D1.tmp
09.10.2009 23:34 136 temp0010
09.10.2009 22:14 136 temp0009
09.10.2009 22:03 136 temp0007
09.10.2009 22:03 168 temp0008
09.10.2009 05:53 81.920 ~DFA9C.tmp
09.10.2009 05:53 16.384 ~DF2620.tmp
08.10.2009 06:57 32.768 ~DF3BF3.tmp
08.10.2009 06:57 16.384 ~DF6C67.tmp
06.10.2009 19:42 16.384 ~DF4D9A.tmp
06.10.2009 19:42 16.384 ~DFE603.tmp
06.10.2009 19:07 917.505 PNX35.tmp
06.10.2009 14:55 16.384 ~DF963A.tmp
06.10.2009 14:55 16.384 ~DFF577.tmp
06.10.2009 14:54 426 IMT28.xml
06.10.2009 14:54 797.676 IMT29.xml
06.10.2009 04:29 32.768 ~DFF76C.tmp
06.10.2009 04:29 16.384 ~DF292D.tmp
06.10.2009 01:04 21.131.992 aax228.tmp.exe
05.10.2009 23:18 184 temp0006
05.10.2009 23:18 243 temp0005
05.10.2009 23:18 136 temp0004
05.10.2009 22:51 24.668 AAX1F0.tmp
05.10.2009 22:38 37.432 AAX1DE.tmp
03.10.2009 15:37 32.768 ~DFFBC.tmp
03.10.2009 15:37 16.384 ~DF9EA4.tmp
03.10.2009 08:49 43 mod34.tmp
03.10.2009 06:55 22.432 mod33.tmp
03.10.2009 06:55 34 mod31.tmp
03.10.2009 06:55 399 mod32.tmp
02.10.2009 21:34 16.384 ~DF1684.tmp
02.10.2009 19:34 16.384 ~DFC215.tmp
02.10.2009 15:30 16.384 ~DF74A3.tmp
01.10.2009 07:04 16.384 ~DF1C8.tmp
30.09.2009 16:05 30.400 AAX59.tmp
30.09.2009 16:05 61.912 AAX56.tmp
30.09.2009 15:47 34.756 AAX3F.tmp
30.09.2009 15:46 2.960.722 mpa03772
30.09.2009 15:46 16.384 ~DF65EC.tmp
30.09.2009 15:45 23.854 mpb03772.w32
30.09.2009 03:13 16.384 ~DFED66.tmp
29.09.2009 22:47 136 temp0003
29.09.2009 20:40 16.384 ~DFB0D3.tmp
29.09.2009 20:38 32.396 AAX1E.tmp
29.09.2009 20:38 1.409 tmp25987.FOT
29.09.2009 20:38 1.409 tmp77887.FOT
29.09.2009 20:38 31.064 AAX20.tmp
29.09.2009 20:38 4.811 mp32199.jpg
29.09.2009 20:35 8.454 mpd03964.jpg
29.09.2009 20:35 8.626 mpb03964
29.09.2009 20:34 32.117 mp26073.swf
29.09.2009 20:34 3.599 mpb03964.jpg
29.09.2009 20:34 8.626 mpc03964
29.09.2009 20:34 32.117 mpb03964.swf
29.09.2009 20:34 8.626 mpa03964
29.09.2009 16:04 16.384 ~DF3BF5.tmp
29.09.2009 15:43 16.384 ~DF1AAB.tmp
29.09.2009 15:36 16.384 ~DF361.tmp
29.09.2009 15:35 16.384 ~DF591C.tmp
29.09.2009 12:34 16.384 ~DFA59F.tmp
29.09.2009 12:34 16.384 ~DF4FC7.tmp
29.09.2009 07:37 16.384 ~DFE255.tmp
29.09.2009 07:36 16.384 ~DF6EFD.tmp
28.09.2009 19:15 16.384 ~DF505B.tmp
28.09.2009 19:15 584.225 mpb02540.w3d
28.09.2009 19:15 16.384 ~DF1E7.tmp
28.09.2009 19:01 37.436 AAX5E.tmp
28.09.2009 19:01 420 mpb02540.ls
28.09.2009 19:01 13.528 AAX5C.tmp
28.09.2009 19:01 1.409 tmpB8820.FOT
28.09.2009 19:01 2.138.323 mpd02540.dcr
28.09.2009 19:01 30.184 AAX5A.tmp
28.09.2009 19:01 31.492 AAX58.tmp
28.09.2009 19:01 35.404 AAX54.tmp
28.09.2009 19:01 2.022.406 mpc02540.dcr
28.09.2009 18:59 4.811 mpc02540.jpg
28.09.2009 18:59 8.626 mpa02540
28.09.2009 14:03 16.384 ~DFE766.tmp
28.09.2009 12:25 16.384 ~DFDFD4.tmp
28.09.2009 11:45 16.384 ~DFFDD0.tmp
25.09.2009 22:40 16.384 ~DF6DDB.tmp
25.09.2009 21:09 81.920 ~DFB1D0.tmp
25.09.2009 21:09 16.384 ~DF783A.tmp
25.09.2009 14:25 17.396 AAX9A.tmp
25.09.2009 05:46 16.384 ~DFC0D.tmp
25.09.2009 05:46 16.384 ~DFDB76.tmp
25.09.2009 01:31 16.384 ~DF18D7.tmp
25.09.2009 01:31 16.384 ~DF39D3.tmp
24.09.2009 17:58 16.384 ~DF1941.tmp
24.09.2009 16:20 16.384 ~DF5B47.tmp
24.09.2009 12:49 16.384 ~DFD13.tmp
24.09.2009 10:45 16.384 ~DFF30B.tmp
23.09.2009 18:51 10.756 MPCB.tmp
23.09.2009 18:50 426 IMT39.xml
23.09.2009 18:50 2.036 IMT38.xml
23.09.2009 18:50 797.676 IMT3A.xml
23.09.2009 17:39 16.384 ~DF64C7.tmp
22.09.2009 19:17 16.384 ~DFEBAD.tmp
22.09.2009 18:13 16.384 ~DF83A7.tmp
22.09.2009 13:34 16.384 ~DF46E5.tmp
22.09.2009 13:34 16.384 ~DF4BEE.tmp
21.09.2009 20:34 16.384 ~DF141B.tmp
21.09.2009 18:43 81.920 ~DF74FD.tmp
21.09.2009 18:43 16.384 ~DFBD56.tmp
21.09.2009 14:28 16.384 ~DFC60C.tmp
21.09.2009 13:38 81.920 ~DFD9D4.tmp
21.09.2009 13:38 16.384 ~DFF5AF.tmp
25.07.2009 23:18 24.879.678 DETemp384Gd78Sjke78Jks75.dat
346 Datei(en) 98.142.820 Bytes
0 Verzeichnis(se), 1.530.888.192 Bytes frei
Ergebnis CCleaner: Code:
ATTFilter Acer Arcade
Acer eDataSecurity Management 1.00.23
Acer eLock Management
Acer Empowering Technology framework
Acer eNet Management
Acer ePerformance Management
Acer ePower Management
Acer ePresentation Management
Acer eSettings Management
Acer GridVista
Acer Screensaver
Adobe Flash Player 10 Plugin
Adobe Reader 7.0
Adobe Shockwave Player 11.5
Apple Application Support
Apple Mobile Device Support
Apple Software Update
Avira AntiVir Personal - Free Antivirus
Bonjour
CCleaner
Cisco Systems VPN Client 5.0.05.0290
Deutsch (Islamwissenschaft) 2
Die Gilde 2
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Web Player
Google Earth
Google Updater
Grand Theft Auto
GTA2
HDAUDIO Soft Data Fax Modem with SmartCP
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Intel(R) Graphics Media Accelerator Driver
Intel(R) PROSet/Wireless Software
iTunes
Launch Manager
Learn2 Player (Uninstall Only)
Malwarebytes' Anti-Malware
Medal of Honor Allied Assault
Medal of Honor Allied Assault(tm) Breakthrough
Medal of Honor Allied Assault(tm) Spearhead
Mediacenter
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft User-Mode Driver Framework Feature Pack 1.7
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mozilla Firefox (3.0.15)
MSXML 4.0 SP2 (KB954430)
Nokia Connectivity Cable Driver
Nokia PC Suite
Nokia Software Updater
NTI Backup NOW! 4
NTI CD & DVD-Maker
OpenOffice.org 3.0
PC Connectivity Solution
PDFCreator
PowerProducer
QuickTime
RealPlayer
Realtek High Definition Audio Driver
Security Update for Windows Search 4 - KB963093
Skies of War
Skype™ 3.8
SWAT 4
SWAT 4 - THE STETCHKOV SYNDICATE
Sweepi 5.4.00
Synaptics Pointing Device Driver
Viewpoint Media Player
VLC media player 1.0.1
Winamp
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 8
Windows Media Format 11 runtime
Windows Media Player 11
Windows Search 4.0
Windows XP Service Pack 3
Windows-Treiberpaket - Nokia Modem (06/01/2009 4.1)
Windows-Treiberpaket - Nokia Modem (06/01/2009 7.01.0.3)
Windows-Treiberpaket - Nokia pccsmcfd (08/22/2008 7.0.0.0)
WinRAR
Ich weiß auch wo und wie ich mir den Virus eingefangen habe vielleicht hilft dir das weiter: Ich poste hier kein Link um niemanden zu gefährden: und zwar wurde mir von einem Freund ein Link über Facebook zu einem Video geschickt, welches auch angeblich in Facebook selbst gepostet wurde. Diese Nachricht wurde allerdings von einem Virus, den mein Freund sich (wie auch immer) zugezogen hat verschickt. Nur das öffnen dieses Linkes reichte um den Virus zu zu ziehen. Ich weiß nicht was passiert wäre, wenn ich noch den angeblichen Adobe Flashplayer heruntergeladen hätte... Danke noch mal lucki |
|
15.11.2009, 22:00
| #6 |
| /// Helfer-Team | Trojaner erfolgreich entfernt? hi ja, die Infektionsweg mit KoobFace ist mir bekannt  1. alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren **Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
2. reinige dein System mit Ccleaner:
3.
4. Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit! um die neueste Version von Adobe zu erhalten klick hier: Adobe Reader 5. Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten Vor dem Scan Einstellungen im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben |
|
16.11.2009, 03:01
| #7 |
| | Trojaner erfolgreich entfernt? SUPERAntiSpyware Protokoll: Code:
ATTFilter SUPERAntiSpyware Scan Log
http://www.superantispyware.com
Generated 11/16/2009 at 02:34 AM
Application Version : 4.30.1004
Core Rules Database Version : 4275
Trace Rules Database Version: 2154
Scan type : Complete Scan
Total Scan Time : 00:49:02
Memory items scanned : 736
Memory threats detected : 0
Registry items scanned : 5433
Registry threats detected : 28
File items scanned : 19941
File threats detected : 1
Adware.IWantSearchBar
HKLM\Software\Classes\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\InprocServer32
HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\InprocServer32#ThreadingModel
HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\ProgID
HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\Programmable
HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\TypeLib
HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\VersionIndependentProgID
HKCR\ToolBand.ToolBandObj.1
HKCR\ToolBand.ToolBandObj.1\CLSID
HKCR\ToolBand.ToolBandObj
HKCR\ToolBand.ToolBandObj\CLSID
HKCR\ToolBand.ToolBandObj\CurVer
HKCR\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}
HKCR\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0
HKCR\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\0
HKCR\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\0\win32
HKCR\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\FLAGS
HKCR\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\HELPDIR
C:\WINDOWS\SYSTEM32\TOOLBAND.DLL
HKU\S-1-5-21-4179632069-3248521643-2659511486-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
HKLM\Software\Microsoft\Internet Explorer\Toolbar#{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
HKU\S-1-5-21-4179632069-3248521643-2659511486-1006\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser#{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
HKCR\Interface\{95B92D92-8B7D-4A19-A3F1-43113B4DBCAF}
HKCR\Interface\{95B92D92-8B7D-4A19-A3F1-43113B4DBCAF}\ProxyStubClsid
HKCR\Interface\{95B92D92-8B7D-4A19-A3F1-43113B4DBCAF}\ProxyStubClsid32
HKCR\Interface\{95B92D92-8B7D-4A19-A3F1-43113B4DBCAF}\TypeLib
HKCR\Interface\{95B92D92-8B7D-4A19-A3F1-43113B4DBCAF}\TypeLib#Version
hast du was Verdächtiges entdeckt auf meinen letzten Logs? Schei.... gerade wie ich dir das poste kommt eine neue Warnung von Antivir... ich gehe nie auf komische Seiten und bin immer verdammt vorsichtig jetzt meldet mir Antivir: In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\xwr5hdra.default\Cache\BCC3F75Cd01' wurde ein Virus oder unerwünschtes Programm 'TR/Agent.ayed.2' [trojan] gefunden. Ausgeführte Aktion: Datei löschen Mist ich hatte noch nie Probleme mit Malware oder sonst was und jetzt kommt alles auf ein Mal!!! Was sagst du zum Thema System neu aufsetzen?  Wobei wiederum die gefundene Datei nicht mehr da ist.... nach dem ich sie mit Antivir gelöscht habe.  Den Online Kaspersky lasse ich über nacht jetzt laufen den Bericht schicke ich dir dann morgen. Vielen Dank |
|
16.11.2009, 09:52
| #8 |
| | Trojaner erfolgreich entfernt? Und hier Kaspersky hat aber nichts gefunden: Code:
ATTFilter Monday, November 16, 2009
Operating system: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Monday, November 16, 2009 01:15:56
Records in database: 3220168
Scan settings
scan using the following database extended
Scan archives yes
Scan e-mail databases yes
Scan area My Computer
C:\
D:\
E:\
Scan statistics
Objects scanned 114007
Threats found 0
Infected objects found 0
Suspicious objects found 0
Scan duration 03:55:52
No threats found. Scanned area is clean.
Selected area has been scanned.
|
|
18.11.2009, 09:27
| #9 | |
| /// Helfer-Team | Trojaner erfolgreich entfernt?Zitat:
|
|
| Themen zu Trojaner erfolgreich entfernt? |
| action, antivir, backdoor, backdoor trojaner, brauch, einfach, entfern, entferne, entfernen, entfernt, entfernt?, erfolgreich, ergebnis, hijack, hijack log, installier, installiert, koobface.trace, log, malwarebytes, nichts, reich, scan, schei, troja, trojan.buzus, trojaner, windows, worte |
Linear-Darstellung
