Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
TR/Dropper.Gen in twex.exe, twext.exe und sdra64.exe + mehr

TR/Dropper.Gen in twex.exe, twext.exe und sdra64.exe + mehr


Plagegeister aller Art und deren Bekämpfung: TR/Dropper.Gen in twex.exe, twext.exe und sdra64.exe + mehr

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.11.2009, 18:58   #1
trollbone
 
TR/Dropper.Gen in twex.exe, twext.exe und sdra64.exe + mehr - Ausrufezeichen

TR/Dropper.Gen in twex.exe, twext.exe und sdra64.exe + mehr


[Post 1/4]

Hallo Trojanerboard,

mein antivir hat von ein paar tagen alarm geschlagen als die zbots (wenn ichs richtig verstanden hab) twex.exe, twext.exe und sdra64.exe (alle in C:\Windows\system32) beim winlogon gestartet sind (ich benutze Windows XP MC Edition V2002 Service Pack 3). Augenscheinlich hab und hatte ich eigentlich keine probleme.

Ich will kurz beschreiben wie ich bis jetzt vorgegangen bin:

Zuerst hab ich die zbots per zbotkiller gelöscht

Dann hab ich einen HijackThis Logfile erstellt (ist nichtmehr aktuell aber vlt hilfts ja; s.u.)
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:39:53, on 14.11.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\LogMeIn Hamachi\hamachi-2.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\SMSC\SetIcon.exe
C:\Programme\Home Cinema\TV Enhance\TVEService.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Sceneo\Bonavista\Services\ODSBC\ODSBCApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wer-mit-wem.webhop.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,C:\WINDOWS\system32\twex.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: Octh Class - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - J:\Programme\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - J:\Programme\FlashGet\getflash.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SetIcon] \Programme\SMSC\SetIcon.exe
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Programme\Home Cinema\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [TVEService] "C:\Programme\Home Cinema\TV Enhance\TVEService.exe"
O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c "
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [TVBroadcast] C:\Programme\Sceneo\Bonavista\Services\ODSBC\ODSBCApp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [WAB] C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\4700208c19.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: DR-EasyUPnP.lnk = C:\Programme\EasyUPnP\EasyUPnP.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - J:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: &Mit FlashGet laden - J:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - J:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - J:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160402350437
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1161001832152
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O22 - SharedTaskScheduler: Fences - {EC654325-1273-C2A9-2B7C-45A29BCE2FBD} - C:\Programme\Stardock\Fences\DesktopDock.dll
O22 - SharedTaskScheduler: FencesShellExt - {1984DD45-52CF-49cd-AB77-18F378FEA264} - C:\Programme\Stardock\Fences\FencesMenu.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Programme\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: MSSQL$SONY_MEDIAMGR - Unknown owner - C:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: SQLAgent$SONY_MEDIAMGR - Unknown owner - C:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE (file missing)
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe
O23 - Service: TVEnhance Background Capture Service (TBCS) (TVECapSvc) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe
O23 - Service: TVEnhance Task Scheduler (TTS)) (TVESched) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 12235 bytes
Geändert von trollbone (15.11.2009 um 19:06 Uhr) Grund: orientierungshilfe

Alt 15.11.2009, 19:00   #2
trollbone
 
TR/Dropper.Gen in twex.exe, twext.exe und sdra64.exe + mehr - Standard

TR/Dropper.Gen in twex.exe, twext.exe und sdra64.exe + mehr


[Post 2/4]

Anschliessend habe ich einen kompletten Scan mit Antivir gemacht bei dem
84 Funde herauskamen:
Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 15. November 2009  00:22

Es wird nach 1903267 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : -/-
Computername   : -/-

Versionsinformationen:
BUILD.DAT      : 9.0.0.410     18074 Bytes  25.09.2009 11:51:00
AVSCAN.EXE     : 9.0.3.7      466689 Bytes  21.07.2009 13:36:08
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 12:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 11:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 10:41:59
ANTIVIR0.VDF   : 7.1.0.0    15603712 Bytes  27.10.2008 12:30:36
ANTIVIR1.VDF   : 7.1.4.132   5707264 Bytes  24.06.2009 09:21:42
ANTIVIR2.VDF   : 7.1.6.222   5998592 Bytes  11.11.2009 13:23:43
ANTIVIR3.VDF   : 7.1.6.235    129536 Bytes  13.11.2009 13:23:44
Engineversion  : 8.2.1.65 
AEVDF.DLL      : 8.1.1.2      106867 Bytes  14.11.2009 13:23:54
AESCRIPT.DLL   : 8.1.2.44     586107 Bytes  14.11.2009 13:23:54
AESCN.DLL      : 8.1.2.5      127346 Bytes  14.11.2009 13:23:53
AERDL.DLL      : 8.1.3.2      479604 Bytes  14.11.2009 13:23:52
AEPACK.DLL     : 8.2.0.3      422261 Bytes  14.11.2009 13:23:51
AEOFFICE.DLL   : 8.1.0.38     196987 Bytes  23.07.2009 09:59:39
AEHEUR.DLL     : 8.1.0.180   2093432 Bytes  14.11.2009 13:23:50
AEHELP.DLL     : 8.1.7.0      237940 Bytes  14.11.2009 13:23:46
AEGEN.DLL      : 8.1.1.74     364917 Bytes  14.11.2009 13:23:46
AEEMU.DLL      : 8.1.1.0      393587 Bytes  14.11.2009 13:23:45
AECORE.DLL     : 8.1.8.2      184694 Bytes  14.11.2009 13:23:44
AEBB.DLL       : 8.1.0.3       53618 Bytes  09.10.2008 14:32:40
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 08:47:56
AVPREF.DLL     : 9.0.3.0       44289 Bytes  14.11.2009 13:23:54
AVREP.DLL      : 8.0.0.3      155905 Bytes  20.01.2009 14:34:28
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 15:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 15:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 10:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 15:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 08:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 15:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  15.05.2009 15:35:17
RCTEXT.DLL     : 9.0.37.0      87809 Bytes  17.04.2009 10:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, J:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +JOKE,

Beginn des Suchlaufs: Sonntag, 15. November 2009  00:22

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '103518' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlmangr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ODSBCApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TVEService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetIcon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TVESched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pen_Tablet.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pen_TabletUser.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'X10nets.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TVECapSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pen_Tablet.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pvrservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hamachi-2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehrecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClipInc-Server.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '54' Prozesse mit '54' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'J:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '77' Dateien ).
__________________

Geändert von trollbone (15.11.2009 um 19:06 Uhr)

Alt 15.11.2009, 19:01   #3
trollbone
 
TR/Dropper.Gen in twex.exe, twext.exe und sdra64.exe + mehr - Standard

TR/Dropper.Gen in twex.exe, twext.exe und sdra64.exe + mehr


[Post 3/4]

Fortsetzung Antivir:
Code:
ATTFilter
Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <BOOT>
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Macromedia\Common\4700208c1.dll
    [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\0.16182323317625968.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\322D.tmp
    [FUND]      Ist das Trojanische Pferd TR/Drop.Small.abw
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\apihlpweb.dll
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\b74a31d246589837.exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.dbca
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\bcxgexnqqh.tmp
    [FUND]      Ist das Trojanische Pferd TR/Patched.HJ.4
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\cowptetbdr.tmp
    [FUND]      Ist das Trojanische Pferd TR/TDss.aoif
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\fdfb1ca379d15878.exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.dbca
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\ldr.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\pifpgceb.exe.bak
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\res.exe
    [FUND]      Ist das Trojanische Pferd TR/Drop.Small.abw
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\sai11.tmp
  [0] Archivtyp: NSIS
    [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen
    --> [PluginsDir]/Install.dll
      [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen
    --> [UnknownDir]/Resource.dll
      [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen
    --> [UnknownDir]/[PluginsDir]/Install.dll
      [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen
    --> [UnknownDir]/[PluginsDir]/Uninst.dll
      [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Hotbar.BQ
    --> [UnknownDir]/LaunchHelp.dll
      [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen
    --> [UnknownDir]/ShprInstaller.exe
      [FUND]      Enthält Erkennungsmuster des Droppers DR/Shopper.L
      --> [PluginsDir]/InstallerHelperPlugin.dll
        [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/MartSho.dll.2
      --> ProgramFilesDir/Installer.exe
        [FUND]      Enthält Erkennungsmuster des Droppers DR/Shopper.L.12
        --> [PluginsDir]/InstallerHelperPlugin.dll
          [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/MartSho.dll.2
        --> ProgramFilesDir/ShoppingReport.dll
          [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/MartSho.dll.3
        --> ProgramFilesDir/[PluginsDir]/InstallerHelperPlugin.dll
          [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/MartSho.dll.2
        --> ProgramFilesDir/[TempDir]/ShoppingReport.dll
          [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/MartSho.dll.3
    --> [UnknownDir]/[TempDir]/Uninstaller.exe
      [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen
    --> CoreSrv.dll
      [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen
    --> HostIE.dll
      [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen
    --> HostOE.dll
      [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen
    --> HostOL.dll
      [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen
    --> CntntCntr.dll
      [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen
    --> ZangoSA.exe
      [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Zango.C
    --> ZangoSAAX.dll
      [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen
    --> ZangoSADF.exe
      [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen
    --> ZangoSAHook.dll
      [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen
    --> ZangoUninstaller.exe
      [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen
      --> [PluginsDir]/Install.dll
        [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen
      --> [UnknownDir]/Resource.dll
        [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen
      --> [UnknownDir]/[PluginsDir]/Install.dll
        [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen
      --> [UnknownDir]/LaunchHelp.dll
        [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen
      --> [UnknownDir]/[PluginsDir]/Uninst.dll
        [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Hotbar.BQ
    --> OEAddOn.exe
      [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen
    --> Srv.exe
      [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen
    --> Toolbar.dll
      [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen
    --> Wallpaper.dll
      [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen
    --> Weather.exe
      [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen
    --> WeSkin.dll
      [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen
    --> [UnknownDir]/npclntax_ZangoSA.dll
      [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen
    --> [UnknownDir]/ClientAxProxy.dll
      [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\serr.tmp
    [FUND]      Ist das Trojanische Pferd TR/Agent.FV.16
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\spool.tmp
    [FUND]      Ist das Trojanische Pferd TR/TDss.aoif
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\~TM225.tmp
    [FUND]      Ist das Trojanische Pferd TR/Zupd.A
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\~TM54EA3A.TMP
    [FUND]      Ist das Trojanische Pferd TR/Zupd.A
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\plugtmp-394\plugin-data
    [FUND]      Enthält Erkennungsmuster des Exploits EXP/Pidief.yaa
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S16FSHEN\load[1].exe
    [FUND]      Ist das Trojanische Pferd TR/Zupd.A
C:\Programme\aircrack-ng-0.6.2-win\bin\airodump-ng.exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.724341
C:\Programme\Mozilla Firefox\chrome\chrome\content\browser.js
    [FUND]      Ist das Trojanische Pferd TR/Agent.DX.1
C:\Programme\Mozilla Firefox\plugins\npbasic.dll1
    [FUND]      Ist das Trojanische Pferd TR/Drop.Small.abw
C:\Programme\Mozilla Thunderbird\chrome\chrome\content\browser.js
    [FUND]      Ist das Trojanische Pferd TR/Agent.DX.1
C:\Programme\Mozilla Thunderbird\plugins\npbasic.dll
    [FUND]      Ist das Trojanische Pferd TR/Drop.Small.abw
C:\Programme\Mozilla Thunderbird\plugins\npbasic.dll1
    [FUND]      Ist das Trojanische Pferd TR/Drop.Small.abw
C:\Programme\Xpage Internet Studio 5 Chip SE\patterns\04.xpat
  [0] Archivtyp: ZIP
    --> 1.template
      [1] Archivtyp: MacBinary
      --> Kopfleiste
        [WARNUNG]   Die Datei konnte nicht gelesen werden!
C:\Programme\Xpage Internet Studio 5 Chip SE\patterns\08.xpat
  [0] Archivtyp: ZIP
    --> 0.template
      [1] Archivtyp: MacBinary
      --> Navigation
        [WARNUNG]   Die Datei konnte nicht gelesen werden!
C:\Programme\Xpage Internet Studio 5 Chip SE\patterns\11.xpat
  [0] Archivtyp: ZIP
    --> 0.template
      [1] Archivtyp: MacBinary
      --> Navigation
        [WARNUNG]   Die Datei konnte nicht gelesen werden!
C:\Programme\Xpage Internet Studio 6 Demoversion\patterns\04.xpat
  [0] Archivtyp: ZIP
    --> 1.template
      [1] Archivtyp: MacBinary
      --> Kopfleiste
        [WARNUNG]   Die Datei konnte nicht gelesen werden!
C:\Programme\Xpage Internet Studio 6 Demoversion\patterns\08.xpat
  [0] Archivtyp: ZIP
    --> 0.template
      [1] Archivtyp: MacBinary
      --> Navigation
        [WARNUNG]   Die Datei konnte nicht gelesen werden!
C:\Programme\Xpage Internet Studio 6 Demoversion\patterns\11.xpat
  [0] Archivtyp: ZIP
    --> 0.template
      [1] Archivtyp: MacBinary
      --> Navigation
        [WARNUNG]   Die Datei konnte nicht gelesen werden!
C:\RECYCLER\S-1-5-21-4269950398-2973436763-787957596-1007\Dc466.rar
  [0] Archivtyp: RAR
    --> Grabber N\Grabber.exe
      [FUND]      Ist das Trojanische Pferd TR/Spy.922112
C:\RECYCLER\S-1-5-21-4269950398-2973436763-787957596-1007\Dc449\Grabber N\Grabber.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.922112
C:\WINDOWS\system32\drivers\sptd.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\1.tmp
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
C:\WINDOWS\Temp\11.tmp
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\WINDOWS\Temp\124.tmp
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\WINDOWS\Temp\128.tmp
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\WINDOWS\Temp\16.tmp
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\WINDOWS\Temp\17.tmp
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
C:\WINDOWS\Temp\18.tmp
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
C:\WINDOWS\Temp\19.tmp
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
C:\WINDOWS\Temp\1A.tmp
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
C:\WINDOWS\Temp\1B.tmp
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
C:\WINDOWS\Temp\23.tmp
    [FUND]      Ist das Trojanische Pferd TR/Drop.Small.abw
C:\WINDOWS\Temp\3.tmp
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\WINDOWS\Temp\3232.tmp
    [FUND]      Ist das Trojanische Pferd TR/Drop.Small.abw
C:\WINDOWS\Temp\4.tmp
    [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.7014
C:\WINDOWS\Temp\8.tmp
    [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.giy
C:\WINDOWS\Temp\9.tmp
    [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.7014
C:\WINDOWS\Temp\A.tmp
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\WINDOWS\Temp\B.tmp
    [FUND]      Ist das Trojanische Pferd TR/Banker.Bancos.eta
C:\WINDOWS\Temp\C.tmp
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\WINDOWS\Temp\E.tmp
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\WINDOWS\Temp\F.tmp
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\WINDOWS\Temp\javapi\v1.0\jar\jvmimpro.jar-6b13a7e7-53bf7a38.zip
  [0] Archivtyp: ZIP
    --> vmain.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/Java.Gimsh.B.2
Beginne mit der Suche in 'D:\' <RECOVER>
Beginne mit der Suche in 'J:\' <USB-HDD>
J:\Dev\Scripts, DLLs\gui\chat.dll
    [FUND]      Enthält verdächtigen Code: HEUR/Malware

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Macromedia\Common\4700208c1.dll
    [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b2f51ac.qua' verschoben!
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\0.16182323317625968.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b3051a3.qua' verschoben!
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\322D.tmp
    [FUND]      Ist das Trojanische Pferd TR/Drop.Small.abw
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b3151a8.qua' verschoben!
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\apihlpweb.dll
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b6851e6.qua' verschoben!
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\b74a31d246589837.exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.dbca
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b3351ad.qua' verschoben!
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\bcxgexnqqh.tmp
    [FUND]      Ist das Trojanische Pferd TR/Patched.HJ.4
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b7751d9.qua' verschoben!
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\cowptetbdr.tmp
    [FUND]      Ist das Trojanische Pferd TR/TDss.aoif
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b7651e5.qua' verschoben!
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\fdfb1ca379d15878.exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.dbca
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b6551da.qua' verschoben!
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\ldr.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b7151da.qua' verschoben!
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\pifpgceb.exe.bak
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b6551df.qua' verschoben!
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\res.exe
    [FUND]      Ist das Trojanische Pferd TR/Drop.Small.abw
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b7251db.qua' verschoben!
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\sai11.tmp
    [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b6851d7.qua' verschoben!
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\serr.tmp
    [FUND]      Ist das Trojanische Pferd TR/Agent.FV.16
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b7151db.qua' verschoben!
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\spool.tmp
    [FUND]      Ist das Trojanische Pferd TR/TDss.aoif
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b6e51e6.qua' verschoben!
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\~TM225.tmp
    [FUND]      Ist das Trojanische Pferd TR/Zupd.A
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b4c51ca.qua' verschoben!
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\~TM54EA3A.TMP
    [FUND]      Ist das Trojanische Pferd TR/Zupd.A
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cfb74bb.qua' verschoben!
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\plugtmp-394\plugin-data
    [FUND]      Enthält Erkennungsmuster des Exploits EXP/Pidief.yaa
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b7451e2.qua' verschoben!
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S16FSHEN\load[1].exe
    [FUND]      Ist das Trojanische Pferd TR/Zupd.A
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b6051e5.qua' verschoben!
C:\Programme\aircrack-ng-0.6.2-win\bin\airodump-ng.exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.724341
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b7151e0.qua' verschoben!
C:\Programme\Mozilla Firefox\chrome\chrome\content\browser.js
    [FUND]      Ist das Trojanische Pferd TR/Agent.DX.1
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b6e51e9.qua' verschoben!
C:\Programme\Mozilla Firefox\plugins\npbasic.dll1
    [FUND]      Ist das Trojanische Pferd TR/Drop.Small.abw
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b6151e7.qua' verschoben!
C:\Programme\Mozilla Thunderbird\chrome\chrome\content\browser.js
    [FUND]      Ist das Trojanische Pferd TR/Agent.DX.1
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cd385da.qua' verschoben!
C:\Programme\Mozilla Thunderbird\plugins\npbasic.dll
    [FUND]      Ist das Trojanische Pferd TR/Drop.Small.abw
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cd9fca0.qua' verschoben!
C:\Programme\Mozilla Thunderbird\plugins\npbasic.dll1
    [FUND]      Ist das Trojanische Pferd TR/Drop.Small.abw
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cdbed30.qua' verschoben!
C:\RECYCLER\S-1-5-21-4269950398-2973436763-787957596-1007\Dc466.rar
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b3351da.qua' verschoben!
C:\RECYCLER\S-1-5-21-4269950398-2973436763-787957596-1007\Dc449\Grabber N\Grabber.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.922112
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b6051e9.qua' verschoben!
C:\WINDOWS\Temp\1.tmp
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b7351a5.qua' verschoben!
C:\WINDOWS\Temp\11.tmp
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b2d51a9.qua' verschoben!
C:\WINDOWS\Temp\124.tmp
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b3351aa.qua' verschoben!
C:\WINDOWS\Temp\128.tmp
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b3751aa.qua' verschoben!
C:\WINDOWS\Temp\16.tmp
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b2d51ae.qua' verschoben!
C:\WINDOWS\Temp\17.tmp
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b2d51af.qua' verschoben!
C:\WINDOWS\Temp\18.tmp
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b2d51b0.qua' verschoben!
C:\WINDOWS\Temp\19.tmp
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b2d51b1.qua' verschoben!
C:\WINDOWS\Temp\1A.tmp
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b2d51b9.qua' verschoben!
C:\WINDOWS\Temp\1B.tmp
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b2d51ba.qua' verschoben!
C:\WINDOWS\Temp\23.tmp
    [FUND]      Ist das Trojanische Pferd TR/Drop.Small.abw
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b2d51ac.qua' verschoben!
C:\WINDOWS\Temp\3.tmp
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b7351a7.qua' verschoben!
C:\WINDOWS\Temp\3232.tmp
    [FUND]      Ist das Trojanische Pferd TR/Drop.Small.abw
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b3251ab.qua' verschoben!
C:\WINDOWS\Temp\4.tmp
    [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.7014
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cbc5a08.qua' verschoben!
C:\WINDOWS\Temp\8.tmp
    [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.giy
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ca342c0.qua' verschoben!
C:\WINDOWS\Temp\9.tmp
    [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.7014
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ca24a98.qua' verschoben!
C:\WINDOWS\Temp\A.tmp
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ca17350.qua' verschoben!
C:\WINDOWS\Temp\B.tmp
    [FUND]      Ist das Trojanische Pferd TR/Banker.Bancos.eta
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ca07b68.qua' verschoben!
C:\WINDOWS\Temp\C.tmp
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ca76320.qua' verschoben!
C:\WINDOWS\Temp\E.tmp
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ca66bf8.qua' verschoben!
C:\WINDOWS\Temp\F.tmp
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ca513b0.qua' verschoben!
C:\WINDOWS\Temp\javapi\v1.0\jar\jvmimpro.jar-6b13a7e7-53bf7a38.zip
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b6c51ef.qua' verschoben!
J:\Dev\Scripts, DLLs\gui\chat.dll
    [FUND]      Enthält verdächtigen Code: HEUR/Malware
    [HINWEIS]   Der Fund wurde als verdächtig eingestuft.
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b6051e2.qua' verschoben!


Ende des Suchlaufs: Sonntag, 15. November 2009  01:55
Benötigte Zeit:  1:29:41 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  22023 Verzeichnisse wurden überprüft
 871196 Dateien wurden geprüft
     84 Viren bzw. unerwünschte Programme wurden gefunden
      1 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
     49 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      3 Dateien konnten nicht durchsucht werden
 871108 Dateien ohne Befall
  11538 Archive wurden durchsucht
      9 Warnungen
     51 Hinweise
 103518 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
__________________
Geändert von trollbone (15.11.2009 um 19:07 Uhr)

Alt 15.11.2009, 19:03   #4
trollbone
 
TR/Dropper.Gen in twex.exe, twext.exe und sdra64.exe + mehr - Standard

TR/Dropper.Gen in twex.exe, twext.exe und sdra64.exe + mehr


[Post 4/4]

Dann hab ich mir CCleaner zugelegt und bin damit dann mal komplett durch.

Vorhin dann noch mit mbam dann auchnoch eineige funde die aber alle gelöscht wurden:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3174
Windows 5.1.2600 Service Pack 3

15.11.2009 17:49:12
mbam-log-2009-11-15 (17-49-12).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|J:\|)
Durchsuchte Objekte: 398372
Laufzeit: 1 hour(s), 10 minute(s), 3 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 13
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 11
Infizierte Verzeichnisse: 6
Infizierte Dateien: 37

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{0656a137-b161-cadd-9777-e37a75727e78} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0b682cc1-fb40-4006-a5dd-99edd3c9095d} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0e1230f8-ea50-42a9-983c-d22abc2eeb4c} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Classes\applications\accessdiver.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rundll32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wab (Trojan.Dropper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\4700208c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\4700208c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\4700208c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\4700208c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\4700208c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\4700208c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\4700208c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\4700208c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,C:\WINDOWS\system32\twex.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\twain_32 (Trojan.Zbot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\twain_32 (Trojan.Zbot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\twain_32 (Trojan.Zbot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain_32 (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain32 (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP476\A0101011.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP478\A0101149.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP480\A0101527.exe (Trojan.Banker) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP484\A0102552.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP484\A0102661.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP485\A0104477.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP485\A0104586.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP486\A0106968.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP486\A0107077.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP486\A0107453.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP486\A0107481.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\local(2)(2).ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\local(2)(3).ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\local(2)(4).ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\local(3)(2).ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\local(6)(2).ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain_32\user(2)(2).ds (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain_32\user(3)(2).ds (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain_32\user.ds.cla (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain32\user.ds.lll (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Basti\Favoriten\Online Security Test.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hxiwlgpm.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kbiwkmenxtnity.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\taack.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\aconti.ini (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\aconti.sdb (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\base64.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\msacm32.drv (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\wuasirvy.dll (Trojan.Banker) -> Quarantined and deleted successfully.
C:\WINDOWS\zip1.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zip2.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zip3.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zipped.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\4700208c19.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
Zum Schluss noch ein aktueller HijackThis log:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:00:56, on 15.11.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\LogMeIn Hamachi\hamachi-2.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\Programme\SMSC\SetIcon.exe
C:\Programme\Home Cinema\TV Enhance\TVEService.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Sceneo\Bonavista\Services\ODSBC\ODSBCApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wer-mit-wem.webhop.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Octh Class - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - J:\Programme\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - J:\Programme\FlashGet\getflash.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SetIcon] \Programme\SMSC\SetIcon.exe
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Programme\Home Cinema\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [TVEService] "C:\Programme\Home Cinema\TV Enhance\TVEService.exe"
O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c "
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [TVBroadcast] C:\Programme\Sceneo\Bonavista\Services\ODSBC\ODSBCApp.exe
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware  (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: DR-EasyUPnP.lnk = C:\Programme\EasyUPnP\EasyUPnP.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - J:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: &Mit FlashGet laden - J:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - J:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - J:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160402350437
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1161001832152
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O22 - SharedTaskScheduler: Fences - {EC654325-1273-C2A9-2B7C-45A29BCE2FBD} - C:\Programme\Stardock\Fences\DesktopDock.dll
O22 - SharedTaskScheduler: FencesShellExt - {1984DD45-52CF-49cd-AB77-18F378FEA264} - C:\Programme\Stardock\Fences\FencesMenu.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Programme\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: MSSQL$SONY_MEDIAMGR - Unknown owner - C:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: SQLAgent$SONY_MEDIAMGR - Unknown owner - C:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE (file missing)
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe
O23 - Service: TVEnhance Background Capture Service (TBCS) (TVECapSvc) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe
O23 - Service: TVEnhance Task Scheduler (TTS)) (TVESched) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 12005 bytes

Ok jetzt meine eigentlichen Fragen:
Hab ich wahrscheinlich alles erwischt und ist mein pc jetzt wieder sauber ?
Oder glaub ihr ich sollte doch lieber formatieren und neuaufsetzen (ich denke ich muss nicht sagen das ich da echt keinen bock und keine zeit zu hab )

Vielen Dank im vorraus wenn dich jemand die mühe macht da mal durchzugehen : ]

mfg trollbone

Alt 15.11.2009, 21:23   #5
handball10
/// Helfer-Team
 
TR/Dropper.Gen in twex.exe, twext.exe und sdra64.exe + mehr - Standard

TR/Dropper.Gen in twex.exe, twext.exe und sdra64.exe + mehr


moin Trollbone,

ich an deiner Stelle würde dringendst neuaufsetzen!

Dein PC war bzw. ist mit etlichen Dingen infiziert, die freudig nach und nach immer mehr Schrott laden...

Deine "Freunde" waren u.a. :
Code:
ATTFilter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\4700208c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\4700208c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\4700208c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\4700208c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\4700208c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\4700208c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\4700208c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\4700208c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY
Silentbanker → Silent Banker: Leiser Trojaner spezialisiert auf Online-Bankraub - Man-in-the-Middle-Angrife leichtgemacht | TecChannel.de

Code:
ATTFilter
C:\WINDOWS\system32\kbiwkmenxtnity.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP476\A0101011.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP478\A0101149.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP480\A0101527.exe (Trojan.Banker) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP484\A0102552.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP484\A0102661.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP485\A0104477.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP485\A0104586.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP486\A0106968.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP486\A0107077.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP486\A0107453.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP486\A0107481.dll (Trojan.Agent) -> Quarantined and deleted successfully.
Das TDSS-Rootkit (Gebe hier mal in der Suche TDSS ein und du wirst sehr viele unschöne Dinge finden...)

Code:
ATTFilter
C:\WINDOWS\system32\lowsec\local(2)(2).ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\local(2)(3).ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\local(2)(4).ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\local(3)(2).ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\local(6)(2).ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain_32\user(2)(2).ds (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain_32\user(3)(2).ds (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain_32\user.ds.cla (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain32\user.ds.lll (Backdoor.Bot) -> Quarantined and deleted successfully.
Und zu guter Letzt noch einen ZBot:
http://threatexpert.com/report.aspx?...789eaa127b1031


Du solltest schnellstmöglich Neuaufsetzen!

Gruß
Handball10

Geändert von handball10 (15.11.2009 um 21:58 Uhr)

Antwort

Themen zu TR/Dropper.Gen in twex.exe, twext.exe und sdra64.exe + mehr
antivir, antivir guard, avira, bonjour, computer, desktop, downloader, einstellungen, excel, firefox, google, hijack, hijackthis, hijackthis logfile, hkus\s-1-5-18, install.exe, installation, internet, internet explorer, logfile, mozilla, mssql, plug-ins, rundll, sdra64.exe, server, software, system, userinit.exe, windows, windows xp, zbot twex twext sdra64


« Trojaner eingefangen Windows System Defender | IE Öffnen sich mit Werbung (Mas.exe und b.exe vorhanden) »


Ähnliche Themen: TR/Dropper.Gen in twex.exe, twext.exe und sdra64.exe + mehr


  1. sdra64.exe
    Plagegeister aller Art und deren Bekämpfung - 03.05.2015 (1)
  2. Trojaner sdra64
    Plagegeister aller Art und deren Bekämpfung - 19.07.2010 (12)
  3. sdra64.exe
    Plagegeister aller Art und deren Bekämpfung - 28.05.2010 (15)
  4. Trojaner TR/Dropper.Gen in C:\\windows\system32\sdra64.exe - was muss ich tun?
    Plagegeister aller Art und deren Bekämpfung - 21.05.2010 (34)
  5. sdra64.exe
    Plagegeister aller Art und deren Bekämpfung - 20.05.2010 (28)
  6. sdra64.exe ++
    Log-Analyse und Auswertung - 30.04.2010 (17)
  7. sdra64.exe, msmsgrs.exe
    Plagegeister aller Art und deren Bekämpfung - 08.04.2010 (10)
  8. sdra64.exe... was nun?
    Plagegeister aller Art und deren Bekämpfung - 24.03.2010 (1)
  9. C:\Windows\system32\twext.exe TR/Spy.ZBot.dp.6 Trojan gefunden
    Log-Analyse und Auswertung - 29.09.2009 (2)
  10. 'TR/Crypt.ZPACK.Gen' in der Datei 'C:\WINDOWS\System32\twext.exe'
    Plagegeister aller Art und deren Bekämpfung - 31.08.2009 (2)
  11. twext.exe trojaner?
    Plagegeister aller Art und deren Bekämpfung - 01.08.2009 (2)
  12. twext.exe zbot-Trojaner war auf meinem Compi - und jetzt?
    Plagegeister aller Art und deren Bekämpfung - 26.07.2009 (15)
  13. Trojaner.DropperGen; twext.exe
    Log-Analyse und Auswertung - 16.05.2009 (12)
  14. dropper.gen in twext.exe
    Plagegeister aller Art und deren Bekämpfung - 14.05.2009 (0)
  15. Trojanerfund bei jedem Neustart? Twex.exe
    Log-Analyse und Auswertung - 04.02.2009 (26)
  16. TR/Crypt.XPACK.Gen twex.exe - computer reagiert erst nach 2minuten
    Log-Analyse und Auswertung - 16.01.2009 (2)
  17. Google spielt verrückt, IE stürzt ab - wegen twex.exe?
    Log-Analyse und Auswertung - 06.01.2009 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema TR/Dropper.Gen in twex.exe, twext.exe und sdra64.exe + mehr - [Post 1/4] Hallo Trojanerboard, mein antivir hat von ein paar tagen alarm geschlagen als die zbots (wenn ichs richtig verstanden hab) twex.exe, twext.exe und sdra64.exe (alle in C:\Windows\system32) beim winlogon - TR/Dropper.Gen in twex.exe, twext.exe und sdra64.exe + mehr...
Archiv
Du betrachtest: TR/Dropper.Gen in twex.exe, twext.exe und sdra64.exe + mehr auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130