| |
| |||||||
Log-Analyse und Auswertung: PC total verseucht, versucht zu bereinigen, hijack-LogWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
03.01.2010, 05:32
| #1 |
 |  PC total verseucht, versucht zu bereinigen, hijack-Log hi, ich habe gestern Abend plötzlich eine Reihe von Viren-/ und Trojanerwarnungen bekommen.. als ich dann Avira (ich weiß, ein miserables Prog) öffnen wollte, hat sich ständig eine Warnmeldung geöffnet, dass mein PC gerade von einer fremden IP attackiert wird, obwohl ich bereits den W-Lan-Router ausgeschaltet habe und keine Verbindung zum Internet bestand. Die ersten Versuche, die Dateien zu finden und zu entfernen scheiterten, da sie sich zwar finden ließen, aber Entfernung war nicht möglich. Desweiteren hat sich dann Avira ohne mein zutun deinstalliert und es ließ sich auch nicht erneut installieren. Andere Virenprogramme ließen sich nicht installieren bzw. nicht öffnen. Ich habe dann über Umwege (anderer PC und Speicherstick) u.a. Dr.Web auf dem infizierten PC installieren können.. dadurch ließen sich 19 Trojaner und 1 Backdoor finden und entfernen.. ich habe den Scan sowohl im abgesicherten als auch im Normalen Modus gemacht und weiß jetzt leider nicht, ob meine Bemühungen Erfolg hatten, oder ob immer noch "was faul" ist. hier noch ein Screen vom ersten Durchlauf mit Dr.Web:  desweiteren fand das Antiviren-Prog noch folgendes: A0077826 (ließ sich nicht desinfizieren, kam in Quarantäne und ließ sich dann im abgesicherten Modus entfernen) A0079352 (das selbe wie oben) a.exe b.exe c.exe d.exe e.exe g.exe h.exe 74.tmp außerdem noch 2 weitere Backdoors, einmal unter IE (genauer Name leider nicht notiert) und einmal unter Firefox: C:\Programme\Mozilla Firefox\firefox.exe:3192 -> Status: Backdoor.Tdss.565 HTML-Code: Hier noch ein HiJackThis-Log: Logfile of Trend Micro HijackThis v2.0.3 (BETA) Scan saved at 05:15:18, on 03.01.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Unable to get Internet Explorer version! Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\system32\csrcs.exe C:\Programme\Gemeinsame Dateien\AOL\1232646138\ee\AOLSoftware.exe C:\Programme\AOL 9.0 VR\waol.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe C:\Programme\AOL 9.0 VR\shellmon.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\TUProgSt.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\taskmgr.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Gemeinsame Dateien\AOL\Topspeed\3.0\aoltpsd3.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\msiexec.exe C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url=http://go.microsoft.com/fwlink/?LinkId=69157]MSN.com[/url] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url=http://go.microsoft.com/fwlink/?LinkId=54896]Bing[/url] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://go.microsoft.com/fwlink/?LinkId=54896]Bing[/url] R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://go.microsoft.com/fwlink/?LinkId=69157]MSN.com[/url] R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file) F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG9\avgssie.dll (file missing) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file) O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\Easy Display Manager\DMLoader.exe O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1232646138\ee\AOLSoftware.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe O4 - HKCU\..\Run: [AOL Fast Start] "C:\Programme\AOL 9.0 VR\AOL.EXE" -b O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-21-2942685269-3486080272-3965615784-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Annabell') O4 - HKUS\S-1-5-21-2942685269-3486080272-3965615784-1005\..\Run: [Malware Defense] "C:\Programme\Malware Defense\mdefense.exe" -noscan (User 'Annabell') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - [url]http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab[/url] O17 - HKLM\System\CCS\Services\Tcpip\..\{89087535-ABFA-4AC1-8EB3-EEA271A719BD}: NameServer = 213.191.74.18 62.109.123.196 O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG9\avgpp.dll (file missing) O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Defragmentation-Service (DfSdkS) - mst software GmbH, Germany - D:\Programme\Ashampoo\Ashampoo WinOptimizer 6\Dfsdks.exe O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe -- End of file - 7446 bytes wäre nett, wenn mir da jemand weiterhelfen könnte.. edit: scheint immer noch etwas nicht zu stimmen, da sich Malwarebytes nach wie vor nicht öffnen lässt... erneute Scans finden aber nichts. Langsam bin ich mit meinen Latein am Ende... Geändert von Malaka (03.01.2010 um 06:14 Uhr) |
|
03.01.2010, 06:34
| #2 |
| |  PC total verseucht, versucht zu bereinigen, hijack-Log Nachtrag: Superantispyware lässt sich nicht installieren, es wird ständig beim Set-Up aufgrund eines Fehlers beendet.
__________________hier noch ein Bericht des Rootkit Revealer´s:  Geändert von Malaka (03.01.2010 um 06:46 Uhr) |
|
03.01.2010, 13:35
| #3 |
| | PC total verseucht, versucht zu bereinigen, hijack-Log nochmal ein Nachtrag, glaub das ist wichtig:
__________________Bei mir hat sich gestern auch noch ein Fake-Antivirenprog installiert (Windows Security Checks), das ließ sich zwar vollständig entfernen (glaube ich zumindest), allerdings muss irgendwo noch was fehlerhaftes versteckt sein weil sich nach vor einige Sicherheitsprogramme nicht installieren bzw. starten lassen.... Habe bereits den Adobe Reader deinstalliert weil nach dessen Update die Probleme aufgetreten sind... da war wohl was angeheftet beim Download^^ hier nochmal ein aktueller HijackThis-Log: HTML-Code: Logfile of Trend Micro HijackThis v2.0.3 (BETA) Scan saved at 13:27:58, on 03.01.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Unable to get Internet Explorer version! Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\system32\csrcs.exe C:\Programme\Samsung\Samsung EDS\EDSAgent.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe C:\Programme\Gemeinsame Dateien\AOL\1232646138\ee\AOLSoftware.exe C:\Programme\Samsung\Easy Display Manager\dmhkcore.exe C:\Programme\AOL 9.0 VR\waol.exe C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe C:\Programme\SAMSUNG\MagicKBD\PerformanceManager.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe C:\Programme\AOL 9.0 VR\shellmon.exe C:\Dokumente und Einstellungen\username\Eigene Dateien\Downloads\cureit.exe C:\DOKUME~1\username\Lokale Einstellungen\Temp\RarSFX1\fra4kf.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\TUProgSt.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\igfxext.exe C:\WINDOWS\system32\igfxsrvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Gemeinsame Dateien\AOL\Topspeed\3.0\aoltpsd3.exe C:\DOKUME~1\username\Lokale Einstellungen\Temp\RarSFX1\5cqxfXP.exe C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file) F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG9\avgssie.dll (file missing) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file) O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\Easy Display Manager\DMLoader.exe O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1232646138\ee\AOLSoftware.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe O4 - HKCU\..\Run: [AOL Fast Start] "C:\Programme\AOL 9.0 VR\AOL.EXE" -b O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-21-2942685269-3486080272-3965615784-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Annabell') O4 - HKUS\S-1-5-21-2942685269-3486080272-3965615784-1005\..\Run: [Malware Defense] "C:\Programme\Malware Defense\mdefense.exe" -noscan (User `"username") O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{89087535-ABFA-4AC1-8EB3-EEA271A719BD}: NameServer = 213.191.74.19 62.109.123.197 O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG9\avgpp.dll (file missing) O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Defragmentation-Service (DfSdkS) - mst software GmbH, Germany - D:\Programme\Ashampoo\Ashampoo WinOptimizer 6\Dfsdks.exe O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe -- End of file - 7326 bytes |
|
03.01.2010, 19:40
| #4 |
| | PC total verseucht, versucht zu bereinigen, hijack-Log Superantispyware und Malwarebytes funktionieren nach wie vor nicht.. und Mr.Web findet immer wieder neue Backdoors. wäre nett, wenn sich das mal jemand ansehen könnte. Geändert von Malaka (03.01.2010 um 19:47 Uhr) |
|
03.01.2010, 20:07
| #5 |
  | PC total verseucht, versucht zu bereinigen, hijack-Log Hi, RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Gmer: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
04.01.2010, 01:38
| #6 |
| | PC total verseucht, versucht zu bereinigen, hijack-Log Gmer ging nur im abgesicherten Modus, da er sich im Normalmodus währenddessen aufhängt: HTML-Code: GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-01-04 00:54:19 Windows 5.1.2600 Service Pack 3 Running: yvfjbwjb.exe; Driver: C:\DOKUME~1\Administrator\Lokale Einstellungen\Temp\pxtdrpow.sys ---- System - GMER 1.0.15 ---- Code 8635BE60 ZwEnumerateKey Code 86227700 ZwFlushInstructionCache Code 863734AE IofCallDriver Code 8626F8E6 IofCompleteRequest ---- Kernel code sections - GMER 1.0.15 ---- .text ntoskrnl.exe!IofCallDriver 804E13A7 5 Bytes JMP 863734B3 .text ntoskrnl.exe!IofCompleteRequest 804E17BD 5 Bytes JMP 8626F8EB PAGE ntoskrnl.exe!ZwEnumerateKey 80578E14 5 Bytes JMP 8635BE64 PAGE ntoskrnl.exe!ZwFlushInstructionCache 80587BFB 5 Bytes JMP 86227704 ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) ---- Modules - GMER 1.0.15 ---- Module \systemroot\system32\drivers\H8SRTroukucvpwv.sys (*** hidden *** ) F7295000-F72B2000 (118784 bytes) ---- Processes - GMER 1.0.15 ---- Library \\?\globalroot\systemroot\system32\H8SRTxbcaykjalp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [516] 0x10000000 Library \\?\globalroot\systemroot\system32\H8SRTxbcaykjalp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [592] 0x10000000 Library \\?\globalroot\systemroot\system32\H8SRTxbcaykjalp.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.exe [816] 0x10000000 ---- Services - GMER 1.0.15 ---- Service C:\WINDOWS\system32\drivers\H8SRTroukucvpwv.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys <-- ROOTKIT !!! ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@start 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTroukucvpwv.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group file system Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTroukucvpwv.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTmndoduysfo.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTdrhcngdkmi.dat Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTxbcaykjalp.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTwgpswfhnhv.dll Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@start 1 Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@type 1 Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTroukucvpwv.sys Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@group file system Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTroukucvpwv.sys Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTmndoduysfo.dll Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTdrhcngdkmi.dat Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTxbcaykjalp.dll Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTwgpswfhnhv.dll ---- EOF - GMER 1.0.15 ---- HTML-Code: Logfile of random's system information tool 1.06 (written by random/random) Run by username at 2010-01-04 01:36:17 Microsoft Windows XP Home Edition Service Pack 3 System drive C: has 33 GB (45%) free of 73 GB Total RAM: 1014 MB (33% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 01:36:24, on 04.01.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Unable to get Internet Explorer version! Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\system32\csrcs.exe C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe C:\Programme\Gemeinsame Dateien\AOL\1232646138\ee\AOLSoftware.exe C:\Programme\AOL 9.0 VR\waol.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe C:\Programme\AOL 9.0 VR\shellmon.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\taskmgr.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\msa.exe C:\Programme\Gemeinsame Dateien\AOL\Topspeed\3.0\aoltpsd3.exe C:\Dokumente und Einstellungen\username\Eigene Dateien\Downloads\cureit.exe C:\DOKUME~1\username\Lokale Einstellungen\Temp\RarSFX6\fra4kf.exe C:\DOKUME~1\username\Lokale Einstellungen\Temp\RarSFX6\5cqxfXP.exe C:\Dokumente und Einstellungen\username\Desktop\RSIT.exe C:\Programme\trend micro\username.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\net.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file) F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file) O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\Easy Display Manager\DMLoader.exe O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1232646138\ee\AOLSoftware.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe O4 - HKCU\..\Run: [AOL Fast Start] "C:\Programme\AOL 9.0 VR\AOL.EXE" -b O4 - HKCU\..\Run: [PUT2VIDQLG] C:\DOKUME~1\username\Lokale Einstellungen\Temp\c.exe O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-21-2942685269-3486080272-3965615784-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Annabell') O4 - HKUS\S-1-5-21-2942685269-3486080272-3965615784-1005\..\Run: [Malware Defense] "C:\Programme\Malware Defense\mdefense.exe" -noscan (User 'username') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{89087535-ABFA-4AC1-8EB3-EEA271A719BD}: NameServer = 213.191.92.87 62.109.123.6 O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file) O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Defragmentation-Service (DfSdkS) - mst software GmbH, Germany - D:\Programme\Ashampoo\Ashampoo WinOptimizer 6\Dfsdks.exe O23 - Service: MYEOC - Sysinternals - www.sysinternals.com - C:\DOKUME~1\Administrator\Lokale Einstellungen\Temp\MYEOC.exe O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe O23 - Service: SXBD - Sysinternals - www.sysinternals.com - C:\DOKUME~1\Marshall^^\Lokale Einstellungen\Temp\SXBD.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe -- End of file - 7126 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job C:\WINDOWS\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0347C33E-8762-4905-BF09-768834316C61}] HP Print Enhancer - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll [2008-03-27 322880] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}] Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}] Ask Toolbar - C:\Programme\Ask.com\GenericAskToolbar.dll [2009-06-16 1144712] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856}] HP Smart BHO Class - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll [2008-03-27 501056] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {D4027C7F-154A-4066-A1AD-4243D8127440} - Ask Toolbar - C:\Programme\Ask.com\GenericAskToolbar.dll [2009-06-16 1144712] {CCC7A320-B3CA-4199-B1A6-9F516DD69829} [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2008-06-20 57344] ""= [] "EDS"=C:\Programme\Samsung\Samsung EDS\EDSAgent.exe [2007-12-20 659456] "SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2008-08-28 1044480] "DMHotKey"=C:\Programme\Samsung\Easy Display Manager\DMLoader.exe [2006-12-27 466944] "BatteryManager"=C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe [2008-10-20 2768896] "MagicKeyboard"=C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe [2006-05-14 151552] "HostManager"=C:\Programme\Gemeinsame Dateien\AOL\1232646138\ee\AOLSoftware.exe [2006-09-26 50736] "KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k [] "avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] "csrcs"=C:\WINDOWS\system32\csrcs.exe [2008-04-14 656432] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "AOL Fast Start"=C:\Programme\AOL 9.0 VR\AOL.EXE [2007-06-21 50480] "PUT2VIDQLG"=C:\DOKUME~1\username\Lokale Einstellungen\Temp\c.exe [2010-01-03 176128] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui] C:\WINDOWS\system32\igfxdev.dll [2008-02-15 208896] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "undockwithoutlogon"=1 "ShutdownWithoutLogon"=1 "NoDispCPL"=0 "NoDispSettingsPage"=0 "NoDispScrSavPage"=0 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= "NoResolveTrack"= "NoViewContextMenu"= "NoFileAssociate"= "NoFind"= "NoRun"= "NoClose"= "StartMenuLogoff"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\Internet Explorer\IEXPLORE.EXE"="C:\Programme\Internet Explorer\IEXPLORE.EXE:*:Enabled:Internet Explorer" "C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test" "C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe"="C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe:*:Enabled:hpqtra08.exe" "C:\Programme\HP\Digital Imaging\bin\hpqste08.exe"="C:\Programme\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe" "C:\Programme\HP\Digital Imaging\bin\hposid01.exe"="C:\Programme\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe" "C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe"="C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe" "C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe"="C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe:*:Enabled:hpiscnapp.exe" "C:\Programme\HP\Digital Imaging\bin\hpqpsapp.exe"="C:\Programme\HP\Digital Imaging\bin\hpqpsapp.exe:*:Enabled:hpqpsapp.exe" "C:\Programme\HP\Digital Imaging\bin\hpqpse.exe"="C:\Programme\HP\Digital Imaging\bin\hpqpse.exe:*:Enabled:hpqpse.exe" "C:\Programme\HP\Digital Imaging\bin\hpqsudi.exe"="C:\Programme\HP\Digital Imaging\bin\hpqsudi.exe:*:Enabled:hpqsudi.exe" "C:\Programme\HP\Digital Imaging\bin\hpqgplgtupl.exe"="C:\Programme\HP\Digital Imaging\bin\hpqgplgtupl.exe:*:Enabled:hpqgplgtupl.exe" "C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe"="C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe:*:Enabled:hpqgpc01.exe" "C:\Programme\HP\Digital Imaging\bin\Lager\hpiscnapp.exe"="C:\Programme\HP\Digital Imaging\bin\Lager\hpiscnapp.exe:*:Enabled:hpiscnapp.exe" "C:\Programme\HP\Digital Imaging\bin\Lager\hpqkygrp.exe"="C:\Programme\HP\Digital Imaging\bin\Lager\hpqkygrp.exe:*:Enabled:hpqkygrp.exe" "C:\Programme\Gemeinsame Dateien\aol\acs\AOLDial.exe"="C:\Programme\Gemeinsame Dateien\aol\acs\AOLDial.exe:*:Enabled:AOL Optimized Dial-In" "C:\Programme\Gemeinsame Dateien\aol\acs\AOLacsd.exe"="C:\Programme\Gemeinsame Dateien\aol\acs\AOLacsd.exe:*:Enabled:AOL Optimized Dial-In" "C:\Programme\Gemeinsame Dateien\aol\1232646138\ee\aolsoftware.exe"="C:\Programme\Gemeinsame Dateien\aol\1232646138\ee\aolsoftware.exe:*:Enabled:AOL Shared Components" "C:\Programme\AOL 9.0 VR\waol.exe"="C:\Programme\AOL 9.0 VR\waol.exe:*:Enabled:AOL" "C:\Programme\Gemeinsame Dateien\aol\TopSpeed\3.0\aoltpsd3.exe"="C:\Programme\Gemeinsame Dateien\aol\TopSpeed\3.0\aoltpsd3.exe:*:Enabled:AOL TopSpeed" "C:\Programme\Gemeinsame Dateien\aol\Loader\aolload.exe"="C:\Programme\Gemeinsame Dateien\aol\Loader\aolload.exe:*:Enabled:AOL Loader" "C:\Programme\Gemeinsame Dateien\aol\System Information\sinf.exe"="C:\Programme\Gemeinsame Dateien\aol\System Information\sinf.exe:*:Enabled:AOL System Information" "C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call" "C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe"="C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe:*:Enabled:hpqtra08.exe" "C:\Programme\HP\Digital Imaging\bin\hpqste08.exe"="C:\Programme\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe" "C:\Programme\HP\Digital Imaging\bin\hposid01.exe"="C:\Programme\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe" "C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe"="C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe" "C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe"="C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe:*:Enabled:hpiscnapp.exe" "C:\Programme\HP\Digital Imaging\bin\hpqpsapp.exe"="C:\Programme\HP\Digital Imaging\bin\hpqpsapp.exe:*:Enabled:hpqpsapp.exe" "C:\Programme\HP\Digital Imaging\bin\hpqpse.exe"="C:\Programme\HP\Digital Imaging\bin\hpqpse.exe:*:Enabled:hpqpse.exe" "C:\Programme\HP\Digital Imaging\bin\hpqsudi.exe"="C:\Programme\HP\Digital Imaging\bin\hpqsudi.exe:*:Enabled:hpqsudi.exe" "C:\Programme\HP\Digital Imaging\bin\hpqgplgtupl.exe"="C:\Programme\HP\Digital Imaging\bin\hpqgplgtupl.exe:*:Enabled:hpqgplgtupl.exe" "C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe"="C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe:*:Enabled:hpqgpc01.exe" "C:\Programme\HP\Digital Imaging\bin\Lager\hpiscnapp.exe"="C:\Programme\HP\Digital Imaging\bin\Lager\hpiscnapp.exe:*:Enabled:hpiscnapp.exe" "C:\Programme\HP\Digital Imaging\bin\Lager\hpqkygrp.exe"="C:\Programme\HP\Digital Imaging\bin\Lager\hpqkygrp.exe:*:Enabled:hpqkygrp.exe" "C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call" "C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5f945e01-db67-11dd-aeb5-001377d2bbef}] shell\AutoRun\command - E:\labIqj.eXE shell\OPEn\command - E:\lABIqj.exE ======List of files/folders created in the last 1 months====== 2010-01-03 23:36:27 ----A---- C:\WINDOWS\ntbtlog.txt 2010-01-03 20:56:41 ----A---- C:\WINDOWS\msa.exe 2010-01-03 20:55:56 ----A---- C:\WINDOWS\system32\sshnas.dll 2010-01-03 20:55:37 ----A---- C:\WINDOWS\system32\xv.exe 2010-01-03 20:53:21 ----A---- C:\WINDOWS\system32\cftu.exe 2010-01-03 20:15:51 ----D---- C:\Programme\trend micro 2010-01-03 20:15:49 ----D---- C:\rsit 2010-01-03 08:38:04 ----D---- C:\WINDOWS\pss 2010-01-03 07:46:46 ----D---- C:\Programme\CCleaner 2010-01-03 05:13:51 ----D---- C:\Programme\TrendMicro 2010-01-03 02:10:14 ----D---- C:\Dokumente und Einstellungen\username\Anwendungsdaten\TuneUp Software 2010-01-02 23:34:51 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2010-01-02 23:34:51 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-01-02 22:48:12 ----A---- C:\WINDOWS\system32\ctfmon.exe.backup 2010-01-02 22:00:20 ----D---- C:\Programme\Avira 2010-01-02 21:04:15 ----D---- C:\Dokumente und Einstellungen\username\Anwendungsdaten\Mozilla 2010-01-02 21:03:30 ----D---- C:\Dokumente und Einstellungen\username\Anwendungsdaten\AOL 2010-01-02 21:03:29 ----D---- C:\Dokumente und Einstellungen\username\Anwendungsdaten\Macromedia 2010-01-02 20:50:50 ----D---- C:\Programme\Malware Defense 2010-01-02 20:39:39 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg9 2010-01-02 11:26:11 ----A---- C:\WINDOWS\system32\krl32mainweq.dll 2009-12-06 19:03:13 ----D---- C:\Programme\ICQ6Toolbar ======List of files/folders modified in the last 1 months====== 2010-01-04 01:29:07 ----D---- C:\WINDOWS\Temp 2010-01-04 01:29:07 ----D---- C:\WINDOWS\system32 2010-01-04 01:28:04 ----SD---- C:\WINDOWS\Tasks 2010-01-04 01:27:57 ----D---- C:\Programme\Mozilla Firefox 2010-01-04 01:24:49 ----D---- C:\WINDOWS\system32\CatRoot2 2010-01-04 01:21:21 ----AC---- C:\WINDOWS\win.ini 2010-01-04 00:54:14 ----D---- C:\WINDOWS 2010-01-03 23:17:13 ----A---- C:\WINDOWS\SchedLgU.Txt 2010-01-03 20:48:38 ----D---- C:\WINDOWS\Prefetch 2010-01-03 20:48:38 ----D---- C:\WINDOWS\Minidump 2010-01-03 20:36:00 ----D---- C:\WINDOWS\system32\drivers 2010-01-03 20:15:51 ----RD---- C:\Programme 2010-01-03 08:41:12 ----SHD---- C:\WINDOWS\Installer 2010-01-03 08:41:11 ----D---- C:\WINDOWS\WinSxS 2010-01-03 08:40:06 ----HD---- C:\Config.Msi 2010-01-03 08:28:30 ----D---- C:\Programme\Gemeinsame Dateien\DVDVideoSoft 2010-01-03 08:15:31 ----SD---- C:\WINDOWS\Downloaded Program Files 2010-01-03 08:14:46 ----D---- C:\WINDOWS\system32\Restore 2010-01-03 07:51:34 ----D---- C:\WINDOWS\system32\LogFiles 2010-01-03 07:50:15 ----D---- C:\WINDOWS\Debug 2010-01-03 05:13:52 ----SD---- C:\Dokumente und Einstellungen\username\Anwendungsdaten\Microsoft 2010-01-03 04:04:20 ----D---- C:\Programme\Internet Explorer 2010-01-03 03:33:30 ----RSHDC---- C:\WINDOWS\system32\dllcache 2010-01-03 03:33:30 ----A---- C:\WINDOWS\system32\ctfmon.exe 2010-01-03 03:16:42 ----SHD---- C:\RECYCLER 2010-01-02 23:45:52 ----D---- C:\Dokumente und Einstellungen 2010-01-02 22:39:53 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft 2010-01-02 22:35:48 ----HD---- C:\WINDOWS\inf 2010-01-02 22:00:20 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2010-01-02 20:50:13 ----D---- C:\Programme\QIP 2010-01-02 19:44:41 ----D---- C:\Programme\Adobe 2010-01-02 19:44:40 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe 2010-01-02 06:37:14 ----D---- C:\Programme\Gemeinsame Dateien\Adobe 2009-12-23 02:02:15 ----RSD---- C:\WINDOWS\Fonts 2009-12-10 03:40:25 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI 2009-12-10 03:17:31 ----HD---- C:\WINDOWS\$hf_mig$ ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104] R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448] R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520] R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-11-25 56816] R2 DOSMEMIO;MEMIO; \??\C:\WINDOWS\system32\MEMIO.SYS [] R2 NwlnkIpx;NWLink IPX/SPX/NetBIOS-kompatibles Transportprotokoll; C:\WINDOWS\system32\DRIVERS\nwlnkipx.sys [2008-04-14 88320] R2 NwlnkNb;NWLink-NetBIOS; C:\WINDOWS\system32\DRIVERS\nwlnknb.sys [2008-04-14 63232] R2 NwlnkSpx;NWLink SPX/SPXII-Protokoll; C:\WINDOWS\system32\DRIVERS\nwlnkspx.sys [2008-04-14 55936] R3 AR5416;Atheros AR5008 Wireless Network Adapter Service; C:\WINDOWS\system32\DRIVERS\athw.sys [2008-10-08 1334432] R3 ATWPKT2;ATWPKT2; \??\C:\WINDOWS\system32\drivers\ATWPKT2.SYS [] R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2008-04-14 13952] R3 DNSeFilter;DNSeFilter; C:\WINDOWS\system32\drivers\SamsungEDS.sys [2008-01-14 30208] R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-14 144384] R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-14 144384] R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368] R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\igxpmp32.sys [2008-02-15 5854752] R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2008-08-27 4753920] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288] R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2008-08-28 224736] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208] R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520] R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-14 20608] R3 VMC326;Vimicro Camera Service VMC326; C:\WINDOWS\System32\Drivers\VMC326.sys [2008-09-23 238464] R3 wanatw;WAN Miniport (ATW); C:\WINDOWS\system32\DRIVERS\wanatw4.sys [2003-01-10 33588] S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720] S3 BTWUSB;WIDCOMM USB Bluetooth Driver; C:\WINDOWS\System32\Drivers\btwusb.sys [2007-03-23 67960] S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-14 17024] S3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2008-01-24 49920] S3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2008-01-24 16496] S3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2008-01-24 21568] S3 hwdatacard;Huawei DataCard USB Modem and USB Serial; C:\WINDOWS\system32\DRIVERS\ewusbmdm.sys [2008-03-17 101376] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-14 5504] S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-14 85248] S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-14 10880] S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-14 11136] S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-14 15232] S3 tunmp;Microsoft Tun-Miniportadaptertreiber; C:\WINDOWS\system32\DRIVERS\tunmp.sys [2008-04-14 12288] S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032] S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-14 32128] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-14 25856] S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-14 15104] S3 usbvideo;USB-Videogerät (WDM); C:\WINDOWS\System32\Drivers\usbvideo.sys [2008-04-14 121984] S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528] S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-14 19200] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944] S3 yukonwxp;NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller; C:\WINDOWS\system32\DRIVERS\yk51x86.sys [2008-06-27 289024] S4 dwshd;dwshd; C:\WINDOWS\System32\drivers\dwshd.sys [] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] S4 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2008-04-14 12032] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 hpqddsvc;HP CUE DeviceDiscovery Service; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336] R2 Net Driver HPZ12;Net Driver HPZ12; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336] R2 NwSapAgent;SAP-Agent; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336] R2 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336] R2 SNM WLAN Service;SNM WLAN Service; C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe [2006-10-30 36864] R2 SSHNAS;SSHNAS; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336] R2 UxTuneUp;TuneUp Designerweiterung; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336] R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336] R3 hpqcxs08;hpqcxs08; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336] S2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289] S2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089] S2 AOL ACS;AOL Connectivity Service; C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe [2006-10-23 46640] S2 Samsung Update Plus;Samsung Update Plus; C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe [2008-05-13 77480] S2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service; C:\WINDOWS\System32\TUProgSt.exe [2009-06-28 604416] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632] S3 DfSdkS;Defragmentation-Service; D:\Programme\Ashampoo\Ashampoo WinOptimizer 6\Dfsdks.exe [2009-01-09 410976] S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104] S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664] S3 MYEOC;MYEOC; C:\DOKUME~1\Administrator\Lokale Einstellungen\Temp\MYEOC.exe [2010-01-03 502656] S3 SXBD;SXBD; C:\DOKUME~1\Marshall^^\Lokale Einstellungen\Temp\SXBD.exe [2010-01-03 424832] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst; C:\WINDOWS\System32\TuneUpDefragService.exe [2009-06-28 361216] S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576] S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096] -----------------EOF----------------- HTML-Code: info.txt logfile of random's system information tool 1.06 2010-01-03 21:10:00
======Uninstall list======
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
32 Bit HP CIO Components Installer-->MsiExec.exe /I{F7B0E599-C114-4493-BC4D-D8FC7CBBABBB}
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
AOL Deinstallation-->C:\Programme\Gemeinsame Dateien\AOL\uninstaller.exe
AOL Installations-Manager-->C:\Programme\AOL\AOL Installations-Manager\uninst.exe
Ashampoo WinOptimizer 6.24-->"D:\Programme\Ashampoo\Ashampoo WinOptimizer 6\unins000.exe"
Ask Toolbar-->MsiExec.exe /I{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Atheros WLAN Client-->"C:\Programme\InstallShield Installation Information\{F4F41D14-E0DD-4FB4-AA09-A14225C769BD}\setup.exe" -runfromtemp -l0x0007 -removeonly
Audacity 1.2.6-->"D:\Programme\Audacity\unins000.exe"
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE
CCleaner-->"C:\Programme\CCleaner\uninst.exe"
Easy Display Manager-->"C:\Programme\InstallShield Installation Information\{17283B95-21A8-4996-97DA-547A48DB266F}\setup.exe" -runfromtemp -l0x0009 -removeonly
Free Audio CD Burner version 1.2-->"C:\Programme\DVDVideoSoft\Free Audio CD Burner\unins000.exe"
GIMP 2.6.7-->"C:\Programme\GIMP-2.0\setup\unins000.exe"
HijackThis 2.0.2-->"C:\Programme\trend micro\HijackThis.exe" /uninstall
HiJackThis-->MsiExec.exe /X{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
HP Customer Participation Program 11.0-->C:\Programme\HP\Digital Imaging\ExtCapUninstall\hpzscr01.exe -datfile hpqhsc01.dat -forcereboot
HP Imaging Device Functions 11.0-->C:\Programme\HP\Digital Imaging\DeviceManagement\hpzscr01.exe -datfile hpqbud01.dat
HP Photosmart C4400 All-In-One Driver Software 11.0 Rel .3-->C:\Programme\HP\Digital Imaging\{86732AE7-CB91-4f15-B091-FBA3D3926CD6}\setup\hpzscr01.exe -datfile hposcr29.dat -onestop
HP Photosmart Essential 3.0-->C:\Programme\HP\Digital Imaging\PhotoSmartEssential\hpzscr01.exe -datfile hpqbud13.dat -forcereboot
HP Smart Web Printing-->C:\Programme\HP\Digital Imaging\Smart Web Printing\hpzscr01.exe -datfile hpqbud15.dat
HP Solution Center 11.0-->C:\Programme\HP\Digital Imaging\eSupport\hpzscr01.exe -datfile hpqbud05.dat -forcereboot
HP Update-->MsiExec.exe /X{D063F201-FAC4-4D5C-B10B-615058ADE5A7}
imagine digital freedom - Samsung-->MsiExec.exe /X{8E106A57-A17E-431D-B48F-175E42EB9F74}
Intel(R) Graphics Media Accelerator Driver-->C:\WINDOWS\system32\igxpun.exe -uninstall
J2SE Runtime Environment 5.0-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150000}
LADSPA_plugins-win-0.4.15-->"D:\Programme\Audacity\Plug-Ins\unins000.exe"
Magic Keyboard-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{BD723E53-A42C-4702-AA04-1D74A0311590}\Setup.exe" -l0x9 Remove
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Marvell Miniport Driver-->C:\Programme\Marvell\Miniport Driver\Uninst.exe
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{837b34e3-7c30-493c-8f6a-2b0f04e2912c}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mozilla Firefox (3.5.6)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
MSXML 4.0 SP2 Parser and SDK-->MsiExec.exe /I{716E0306-8318-4364-8B8F-0CC4E9376BAC}
Namuga 1.3M Webcam-->C:\Programme\InstallShield Installation Information\{71A51B59-E7D3-11DB-A386-005056C00008}\setup.exe -runfromtemp -l0x0009 -removeonly
OCR Software by I.R.I.S. 11.0-->C:\Programme\HP\Digital Imaging\OCR\hpzscr01.exe -datfile hpqbud11.dat
Play Camera-->C:\Programme\InstallShield Installation Information\{7B46F9CF-CF60-492E-816E-95EB1A9D1BB4}\setup.exe -runfromtemp -l0x0407
PrintKey2000-->C:\PROGRA~1\PrintKey2000\UNWISE.EXE C:\PROGRA~1\PrintKey2000\INSTALL.LOG
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\setup.exe" -l0x7 -removeonly
Recorder-->C:\WINDOWS\st6unst.exe -n "C:\Programme\Recorder\ST6UNST.LOG"
Samsung Battery Manager-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6F730513-8688-4C3C-90A3-6B9792CE2EF3}\Setup.exe" -l0x7 Remove
Samsung EDS-->MsiExec.exe /X{ABB14904-A11B-4F42-996C-80FD608A0F17}
Samsung Magic Doctor-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{32D6A58F-9659-446C-BBFC-E6F2B41F24DC}\Setup.exe" -l0x7 Remove
Samsung Network Manager 2.0-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe /M{DEA48EFD-22C1-4CD6-B887-EB2E6B2E4735} /l1031
Samsung Recovery Solution III-->"C:\Programme\InstallShield Installation Information\{145DE957-0679-4A2A-BB5C-1D3E9808FAB2}\setup.exe" -runfromtemp -l0x0007 -removeonly
Samsung Update Plus-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe /M{685707A4-911C-468D-BFC4-64A50E5E3A0C} /l1031
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
Shop for HP Supplies-->C:\Programme\HP\Digital Imaging\HPSSupply\hpzscr01.exe -datfile hpqbud16.dat
Sicherheitsupdate für Windows Internet Explorer 8 (KB969897)-->"C:\WINDOWS\ie8updates\KB969897-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)-->"C:\WINDOWS\ie8updates\KB971961-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8 (KB972260)-->"C:\WINDOWS\ie8updates\KB972260-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8 (KB974455)-->"C:\WINDOWS\ie8updates\KB974455-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8 (KB976325)-->"C:\WINDOWS\ie8updates\KB976325-IE8\spuninst\spuninst.exe"
SweetIM for Messenger 2.7-->MsiExec.exe /X{EC87E256-B0A4-4A41-8682-AB57FF21196D}
Synaptics Pointing Device Driver-->rundll32.exe "C:\Programme\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
TeamSpeak 2 RC2-->C:\Programme\Teamspeak2_RC2\unins000.exe
TuneUp Utilities 2009-->MsiExec.exe /I{55A29068-F2CE-456C-9148-C869879E2357}
Uninstall 1.0.0.1-->"C:\Programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe"
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
Update für Windows Internet Explorer 8 (KB976749)-->"C:\WINDOWS\ie8updates\KB976749-IE8\spuninst\spuninst.exe"
User Guide-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{BAE68339-B0F6-4D33-9554-5A3DB2DFF5DA}\setup.exe" -l0x7 Remove
Viewpoint Media Player-->C:\Programme\Viewpoint\Viewpoint Experience Technology\mtsAxInstaller.exe /u
VST Bridge 1.1-->"D:\Programme\Audacity\Plug-ins\VST Bridge\unins000.exe"
Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"
Windows Live Anmelde-Assistent-->MsiExec.exe /I{52B97218-98CB-4B8B-9283-D213C85E1AA4}
Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6}
Windows Live Communications Platform-->MsiExec.exe /I{ED00D08A-3C5F-488D-93A0-A04F21F23956}
Windows Live Essentials-->C:\Programme\Windows Live\Installer\wlarp.exe
Windows Live Essentials-->MsiExec.exe /I{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}
Windows Live Messenger-->MsiExec.exe /X{41E654A9-26D0-4EAC-854B-0FA824FFFABB}
Windows Live-Uploadtool-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
XML Notepad 2007-->MsiExec.exe /I{FC7BACF0-1FFA-4605-B3B4-A66AB382752D}
======Security center information======
AV: Malware Defense (outdated)
AV: AntiVir Desktop (disabled) (outdated)
AV: McAfee VirusScan
======System event log======
Computer Name: ANNA
Event Code: 20158
Message: Der Benutzer "" hat eine Verbindung mit "The Internet (1)" hergestellt, unter Verwendung des Geräts "IRDA13-1".
Record Number: 21157
Source Name: RemoteAccess
Time Written: 20091201182708.000000+060
Event Type: Informationen
User:
Computer Name: ANNA
Event Code: 31008
Message: Der DNS-Proxy-Agent konnte aus der Registrierung die Liste der
Namensauflösungsserver nicht lesen.
Die Daten enthalten den Fehlercode.
Record Number: 21156
Source Name: ipnathlp
Time Written: 20091201182708.000000+060
Event Type: Fehler
User:
Computer Name: ANNA
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "ATWPKT2" gesendet.
Record Number: 21155
Source Name: Service Control Manager
Time Written: 20091201182706.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM
Computer Name: ANNA
Event Code: 7036
Message: Dienst "Computerbrowser" befindet sich jetzt im Status "Beendet".
Record Number: 21154
Source Name: Service Control Manager
Time Written: 20091201182647.000000+060
Event Type: Informationen
User:
Computer Name: ANNA
Event Code: 7036
Message: Dienst "HTTP-SSL" befindet sich jetzt im Status "Ausgeführt".
Record Number: 21153
Source Name: Service Control Manager
Time Written: 20091201182646.000000+060
Event Type: Informationen
User:
=====Application event log=====
Computer Name: ANNA
Event Code: 0
Message: Service started successfully.
Record Number: 5
Source Name: VMCService
Time Written: 20091202051221.000000+060
Event Type: Informationen
User:
Computer Name: ANNA
Event Code: 0
Message: OnStart -> 1740 ms
Record Number: 4
Source Name: VMCService
Time Written: 20091202051220.000000+060
Event Type: Informationen
User:
Computer Name: ANNA
Event Code: 0
Message: conflictManagerTypeValue
Record Number: 3
Source Name: VMCService
Time Written: 20091202051219.000000+060
Event Type: Fehler
User:
Computer Name: ANNA
Event Code: 0
Message: CreateEventSource -> 1126 ms
Record Number: 2
Source Name: VMCService
Time Written: 20091202051218.000000+060
Event Type: Informationen
User:
Computer Name: ANNA
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.
Record Number: 1
Source Name: SecurityCenter
Time Written: 20091202051215.000000+060
Event Type: Informationen
User:
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 28 Stepping 2, GenuineIntel
"PROCESSOR_REVISION"=1c02
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
-----------------EOF-----------------  edit: da läuft ganz sicher noch was "böses" im Hintergrund, habe bei geschlossenen Anwendungen und Programmen teilweise bis zu 40 Prozesse am laufen, manachmal 10x svchost.exe (die alle sehr viel Prozessorleistung beanspruchen) und einige andere dubiose Prozesse, die sich kurz nach beenden wieder starten.. Geändert von Malaka (04.01.2010 um 02:08 Uhr) |
|
04.01.2010, 10:15
| #7 |
| | PC total verseucht, versucht zu bereinigen, hijack-Log Hi, da läuft ein Rootkit und jede Menge andere Sachen mit: Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\net.exe
C:\WINDOWS\system32\sshnas.dll
C:\WINDOWS\system32\xv.exe
C:\WINDOWS\system32\cftu.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\MEMIO.SYS
Falls Files erkannt werden, unten bei "Files to delete" mit vollem Pfad aufnehmen... Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:  2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Drivers to delete:
H8SRTd.sys
Files to delete:
C:\WINDOWS\system32\drivers\H8SRTroukucvpwv.sys
C:\WINDOWS\system32\H8SRTxbcaykjalp.dll
C:\WINDOWS\system32\H8SRTmndoduysfo.dll
C:\WINDOWS\system32\H8SRTdrhcngdkmi.dat
C:\WINDOWS\system32\H8SRTwgpswfhnhv.dll
C:\WINDOWS\msa.exe
C:\WINDOWS\system32\csrcs.exe
C:\Programme\Ask.com\GenericAskToolbar.dll
C:\DOKUME~1\username\Lokale Einstellungen\Temp\c.exe
C:\Programme\Malware Defense\mdefense.exe
C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
C:\WINDOWS\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
E:\lABIqj.exE
C:\WINDOWS\system32\krl32mainweq.dll
Folders to delete:
C:\Programme\Ask.com
C:\DOKUME~1\username\Lokale Einstellungen\Temp
C:\Programme\Malware Defense
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKCU\..\Run: [PUT2VIDQLG] C:\DOKUME~1\username\Lokale Einstellungen\Temp\c.exe
O4 - HKUS\S-1-5-21-2942685269-3486080272-3965615784-1005\..\Run: [Malware Defense] "C:\Programme\Malware Defense\mdefense.exe" -noscan (User 'username')
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
Poste ein neues HJ-Log... Chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
05.01.2010, 00:46
| #8 |
| | PC total verseucht, versucht zu bereinigen, hijack-Log Logfile des Avenger´s: HTML-Code: Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
Hidden driver "H8SRTd.sys" found!
ImagePath: \systemroot\system32\drivers\H8SRTroukucvpwv.sys
Start Type: 4 (Disabled)
Rootkit scan completed.
Driver "H8SRTd.sys" deleted successfully.
File "C:\WINDOWS\system32\drivers\H8SRTroukucvpwv.sys" deleted successfully.
File "C:\WINDOWS\system32\H8SRTxbcaykjalp.dll" deleted successfully.
File "C:\WINDOWS\system32\H8SRTmndoduysfo.dll" deleted successfully.
File "C:\WINDOWS\system32\H8SRTdrhcngdkmi.dat" deleted successfully.
File "C:\WINDOWS\system32\H8SRTwgpswfhnhv.dll" deleted successfully.
Error: file "C:\WINDOWS\msa.exe" not found!
Deletion of file "C:\WINDOWS\msa.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
File "C:\WINDOWS\system32\csrcs.exe" deleted successfully.
Error: could not open file "C:\Programme\Ask.com\GenericAskToolbar.dll"
Deletion of file "C:\Programme\Ask.com\GenericAskToolbar.dll" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist
Error: could not open file "C:\DOKUME~1\username\Lokale Einstellungen\Temp\c.exe"
Deletion of file "C:\DOKUME~1\username\Lokale Einstellungen\Temp\c.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist
Error: could not open file "C:\Programme\Malware Defense\mdefense.exe"
Deletion of file "C:\Programme\Malware Defense\mdefense.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist
File "C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job" deleted successfully.
File "C:\WINDOWS\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job" deleted successfully.
Error: could not open file "E:\lABIqj.exE"
Deletion of file "E:\lABIqj.exE" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist
Error: file "C:\WINDOWS\system32\krl32mainweq.dll" not found!
Deletion of file "C:\WINDOWS\system32\krl32mainweq.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: folder "C:\Programme\Ask.com" not found!
Deletion of folder "C:\Programme\Ask.com" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: could not open folder "C:\DOKUME~1\username\Lokale Einstellungen\Temp"
Deletion of folder "C:\DOKUME~1\username\Lokale Einstellungen\Temp" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist
Error: folder "C:\Programme\Malware Defense" not found!
Deletion of folder "C:\Programme\Malware Defense" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate. Scan der cmd.exe-Datei: HTML-Code: Datei cmd.exe empfangen 2010.01.04 21:50:59 (UTC) Status: Beendet Ergebnis: 0/41 (0%) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.46 2010.01.04 - AhnLab-V3 5.0.0.2 2010.01.04 - AntiVir 7.9.1.122 2009.12.31 - Antiy-AVL 2.0.3.7 2010.01.04 - Authentium 5.2.0.5 2010.01.04 - Avast 4.8.1351.0 2010.01.04 - AVG 8.5.0.430 2010.01.04 - BitDefender 7.2 2010.01.04 - CAT-QuickHeal 10.00 2010.01.04 - ClamAV 0.94.1 2010.01.04 - Comodo 3468 2010.01.04 - DrWeb 5.0.1.12222 2010.01.04 - eSafe 7.0.17.0 2010.01.04 - eTrust-Vet 35.1.7215 2010.01.04 - F-Prot 4.5.1.85 2010.01.04 - F-Secure 9.0.15370.0 2010.01.04 - Fortinet 4.0.14.0 2010.01.04 - GData 19 2010.01.04 - Ikarus T3.1.1.79.0 2009.12.31 - Jiangmin 13.0.900 2010.01.04 - K7AntiVirus 7.10.937 2010.01.04 - Kaspersky 7.0.0.125 2010.01.04 - McAfee 5851 2010.01.04 - McAfee+Artemis 5851 2010.01.04 - McAfee-GW-Edition 6.8.5 2010.01.04 - Microsoft 1.5302 2010.01.04 - NOD32 4743 2010.01.04 - Norman 6.04.03 2010.01.04 - nProtect 2009.1.8.0 2010.01.04 - Panda 10.0.2.2 2010.01.04 - PCTools 7.0.3.5 2010.01.04 - Prevx 3.0 2010.01.04 - Rising 22.29.00.04 2010.01.04 - Sophos 4.49.0 2010.01.04 - Sunbelt 3.2.1858.2 2010.01.04 - Symantec 20091.2.0.41 2010.01.04 - TheHacker 6.5.0.3.131 2010.01.04 - TrendMicro 9.120.0.1004 2010.01.04 - VBA32 3.12.12.1 2010.01.04 - ViRobot 2010.1.4.2120 2010.01.04 - VirusBuster 5.0.21.0 2010.01.04 - weitere Informationen File size: 401920 bytes MD5...: 9b890f756d087991322464912fe68e75 SHA1..: 1bce682e638f9ee949b344d22011f5840145f985 SHA256: 57bf326c1afc57803f6e5e77458080fe5a1c1413c6f9bd3cc37add07008e6812 ssdeep: 3072:NhRx1q315oF8opcnD1hOOrWGzN2lcR2u8JnxIbU+qwlTMbxrCsmqwju5HeE UcWjS:bUF5oXpcFb5DRsNxIbUNaMWOmyiA PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x5046 timedatestamp.....: 0x48025baf (Sun Apr 13 19:14:55 2008) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1f620 0x1f800 6.58 740783b607d882838dc736c2540b49d5 .data 0x21000 0x1ca24 0x1ca00 0.17 ac08e12c2ca9c0b872b354378edde336 .rsrc 0x3e000 0x25aa0 0x25c00 3.87 f387127006010233a6733ac143defa83 ( 3 imports ) > KERNEL32.dll: FlushConsoleInputBuffer, LoadLibraryA, InterlockedExchange, FreeLibrary, LocalAlloc, GetVDMCurrentDirectories, CmdBatNotification, GetModuleHandleA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetThreadLocale, GetDiskFreeSpaceExW, CompareFileTime, RemoveDirectoryW, GetCurrentDirectoryW, SetCurrentDirectoryW, TerminateProcess, WaitForSingleObject, GetExitCodeProcess, CopyFileW, SetFileAttributesW, DeleteFileW, SetFileTime, CreateDirectoryW, FillConsoleOutputAttribute, SetConsoleTextAttribute, ScrollConsoleScreenBufferW, FormatMessageW, DuplicateHandle, FlushFileBuffers, HeapReAlloc, HeapSize, GetFileAttributesExW, LocalFree, GetDriveTypeW, InitializeCriticalSection, SetConsoleCtrlHandler, GetWindowsDirectoryW, GetConsoleTitleW, GetModuleFileNameW, GetVersion, EnterCriticalSection, LeaveCriticalSection, ExpandEnvironmentStringsW, SearchPathW, WriteFile, GetVolumeInformationW, SetLastError, MoveFileW, SetConsoleTitleW, MoveFileExW, GetBinaryTypeW, GetFileAttributesW, GetCurrentThreadId, CreateProcessW, LoadLibraryW, ReadProcessMemory, SetErrorMode, GetConsoleMode, SetConsoleMode, VirtualAlloc, VirtualFree, SetEnvironmentVariableW, GetEnvironmentVariableW, GetCommandLineW, GetEnvironmentStringsW, GetLocalTime, GetTimeFormatW, FileTimeToLocalFileTime, GetDateFormatW, GetLastError, CloseHandle, SetThreadLocale, GetProcAddress, GetModuleHandleW, SetFilePointer, lstrcmpW, lstrcmpiW, HeapAlloc, GetProcessHeap, HeapFree, MultiByteToWideChar, ReadFile, WriteConsoleW, FillConsoleOutputCharacterW, SetConsoleCursorPosition, ReadConsoleW, GetConsoleScreenBufferInfo, GetStdHandle, GetFileType, VirtualQuery, RaiseException, GetCPInfo, GetConsoleOutputCP, WideCharToMultiByte, GetFileSize, CreateFileW, FindClose, FindNextFileW, FindFirstFileW, GetFullPathNameW, GetUserDefaultLCID, GetLocaleInfoW, SetLocalTime, SystemTimeToFileTime, GetSystemTime, FileTimeToSystemTime > msvcrt.dll: __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, __initenv, _cexit, _XcptFilter, _exit, _c_exit, calloc, _wcslwr, qsort, _vsnwprintf, wcsstr, _dup2, _dup, _open_osfhandle, _close, swscanf, _ultoa, _pipe, _seh_longjmp_unwind, _setmode, wcsncmp, iswxdigit, fflush, exit, _wtol, time, srand, __set_app_type, wcsrchr, malloc, free, wcstoul, _errno, iswalpha, printf, rand, swprintf, _iob, fprintf, towlower, realloc, setlocale, _snwprintf, wcscat, _wcsupr, wcsncpy, _wpopen, fgets, _pclose, memmove, wcschr, iswspace, _tell, longjmp, wcscmp, _wcsnicmp, _wcsicmp, wcstol, iswdigit, _getch, _get_osfhandle, _controlfp, _setjmp3, _except_handler3, wcscpy, wcslen, wcsspn, towupper > USER32.dll: GetUserObjectInformationW, GetThreadDesktop, MessageBeep, GetProcessWindowStation ( 0 exports ) RDS...: NSRL Reference Data Set - sigcheck: publisher....: Microsoft Corporation copyright....: (c) Microsoft Corporation. Alle Rechte vorbehalten. product......: Betriebssystem Microsoft_ Windows_ description..: Windows-Befehlsprozessor original name: Cmd.Exe internal name: cmd file version.: 5.1.2600.5512 (xpsp.080413-2111) comments.....: n/a signers......: - signing date.: - verified.....: Unsigned pdfid.: - trid..: Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) HTML-Code: Datei ctfmon.exe empfangen 2010.01.04 22:11:13 (UTC) Status: Beendet Ergebnis: 0/41 (0%) a-squared 4.5.0.46 2010.01.04 - AhnLab-V3 5.0.0.2 2010.01.04 - AntiVir 7.9.1.122 2009.12.31 - Antiy-AVL 2.0.3.7 2010.01.04 - Authentium 5.2.0.5 2010.01.04 - Avast 4.8.1351.0 2010.01.04 - AVG 8.5.0.430 2010.01.04 - BitDefender 7.2 2010.01.04 - CAT-QuickHeal 10.00 2010.01.04 - ClamAV 0.94.1 2010.01.04 - Comodo 3468 2010.01.04 - DrWeb 5.0.1.12222 2010.01.04 - eSafe 7.0.17.0 2010.01.04 - eTrust-Vet 35.1.7215 2010.01.04 - F-Prot 4.5.1.85 2010.01.04 - F-Secure 9.0.15370.0 2010.01.04 - Fortinet 4.0.14.0 2010.01.04 - GData 19 2010.01.04 - Ikarus T3.1.1.79.0 2009.12.31 - Jiangmin 13.0.900 2010.01.04 - K7AntiVirus 7.10.937 2010.01.04 - Kaspersky 7.0.0.125 2010.01.04 - McAfee 5851 2010.01.04 - McAfee+Artemis 5851 2010.01.04 - McAfee-GW-Edition 6.8.5 2010.01.04 - Microsoft 1.5302 2010.01.04 - NOD32 4743 2010.01.04 - Norman 6.04.03 2010.01.04 - nProtect 2009.1.8.0 2010.01.04 - Panda 10.0.2.2 2010.01.04 - PCTools 7.0.3.5 2010.01.04 - Prevx 3.0 2010.01.04 - Rising 22.29.00.04 2010.01.04 - Sophos 4.49.0 2010.01.04 - Sunbelt 3.2.1858.2 2010.01.04 - Symantec 20091.2.0.41 2010.01.04 - TheHacker 6.5.0.3.131 2010.01.04 - TrendMicro 9.120.0.1004 2010.01.04 - VBA32 3.12.12.1 2010.01.04 - ViRobot 2010.1.4.2120 2010.01.04 - VirusBuster 5.0.21.0 2010.01.04 - weitere Informationen File size: 24064 bytes MD5...: c3a2915c71ae6f225eb906c25ccd29b5 SHA1..: 1cf5830c4870e9c898ca2405a9bffd3e262951c8 SHA256: e70818d0dc35a6aaf26c2d48a74f98509f9d0c53cfa1ab604cf47532f044010f ssdeep: 384:e8NcccLxxfAA2BwRyb1vL11j9rCzlagxvY1NvJmlTZgO:e8ehLfAjhBT11j9 mRaglOslTqO PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1028 timedatestamp.....: 0x48353dd4 (Thu May 22 09:33:08 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x3bb8 0x3c00 6.58 59c51a38dacc13381152af9207eb91db .rdata 0x5000 0x121a 0x1400 4.50 01373b9a6d623aded004dd1276f8d82c .data 0x7000 0x858 0x400 2.13 b5d87e54f49741bb78b88012aacb4d30 .rsrc 0x8000 0x418 0x600 2.48 b02570ee42377c71d5bca68d75c2ba72 ( 1 imports ) > KERNEL32.dll: GetModuleHandleA, GetCommandLineA, GetVersionExA, ExitProcess, GetProcAddress, TerminateProcess, GetCurrentProcess, WriteFile, GetStdHandle, GetModuleFileNameA, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetLastError, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, HeapDestroy, HeapCreate, VirtualFree, HeapFree, LoadLibraryA, HeapAlloc, GetACP, GetOEMCP, GetCPInfo, VirtualAlloc, HeapReAlloc, RtlUnwind, InterlockedExchange, VirtualQuery, HeapSize, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, LCMapStringA, MultiByteToWideChar, LCMapStringW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, VirtualProtect, GetSystemInfo ( 0 exports ) RDS...: NSRL Reference Data Set - sigcheck: publisher....: Gerhard Schlager copyright....: Copyright (c) 2002-2008 Gerhard Schlager product......: Dummy CTFMON.EXE (part of the CTFMON-Remover) description..: Dummy to replace the annoying CTFMON.EXE original name: CTFMON.EXE internal name: n/a file version.: 1.0.0.5 comments.....: http://www.gerhard-schlager.at/projects/ctfmonremover/ signers......: - signing date.: - verified.....: Unsigned pdfid.: - trid..: Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) HTML-Code: Datei net.exe empfangen 2010.01.04 21:58:51 (UTC) Status: Beendet Ergebnis: 0/38 (0%) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.46 2010.01.04 - AhnLab-V3 5.0.0.2 2010.01.04 - AntiVir 7.9.1.122 2009.12.31 - Antiy-AVL 2.0.3.7 2010.01.04 - Authentium 5.2.0.5 2010.01.04 - Avast 4.8.1351.0 2010.01.04 - BitDefender 7.2 2010.01.04 - CAT-QuickHeal 10.00 2010.01.04 - ClamAV 0.94.1 2010.01.04 - Comodo 3468 2010.01.04 - DrWeb 5.0.1.12222 2010.01.04 - eSafe 7.0.17.0 2010.01.04 - eTrust-Vet 35.1.7215 2010.01.04 - F-Prot 4.5.1.85 2010.01.04 - F-Secure 9.0.15370.0 2010.01.04 - Fortinet 4.0.14.0 2010.01.04 - GData 19 2010.01.04 - Ikarus T3.1.1.79.0 2009.12.31 - Jiangmin 13.0.900 2010.01.04 - K7AntiVirus 7.10.937 2010.01.04 - Kaspersky 7.0.0.125 2010.01.04 - McAfee 5851 2010.01.04 - McAfee+Artemis 5851 2010.01.04 - McAfee-GW-Edition 6.8.5 2010.01.04 - Microsoft 1.5302 2010.01.04 - NOD32 4743 2010.01.04 - Norman 6.04.03 2010.01.04 - nProtect 2009.1.8.0 2010.01.04 - Panda 10.0.2.2 2010.01.04 - PCTools 7.0.3.5 2010.01.04 - Rising 22.29.00.04 2010.01.04 - Sophos 4.49.0 2010.01.04 - Sunbelt 3.2.1858.2 2010.01.04 - TheHacker 6.5.0.3.131 2010.01.04 - TrendMicro 9.120.0.1004 2010.01.04 - VBA32 3.12.12.1 2010.01.04 - ViRobot 2010.1.4.2120 2010.01.04 - VirusBuster 5.0.21.0 2010.01.04 - weitere Informationen File size: 42496 bytes MD5...: 5fbd9fb053c30b67c630f30f1b36f5e4 SHA1..: 22f535a06bd98f26b47372b4da4cb59b46632734 SHA256: 5bd1116fbe3799fa06ba575af2ef77cebd75a250723af5fa61911bfc5644c79e ssdeep: 768:nVO7C3e89lrLy3yDKtniWmXapYnkqXS5RQjRPzSmPcW6GxeqNg:U7Cblrmti 5XZkqXSYjRPumr6keqNg PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x49d1 timedatestamp.....: 0x4802520b (Sun Apr 13 18:33:47 2008) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x7e12 0x8000 6.34 c7b841d39ab89f3eb3984f4ea36c8d9c .data 0x9000 0xb240 0x1e00 3.10 0e00cfb88f6785358b16e87756415cd0 .rsrc 0x15000 0x3c0 0x400 3.25 5f273c18a2573174c757799e4aaac4d5 ( 6 imports ) > msvcrt.dll: _setmode, qsort, wcsncmp, wcsncpy, wcsrchr, _c_exit, _exit, _XcptFilter, _cexit, __initenv, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _except_handler3, _controlfp, _ultow, wcspbrk, iswctype, _wcsupr, wcscmp, _wcsicmp, wcschr, wcscpy, wcscat, exit, sprintf, setlocale, _wcsnicmp, wcslen, _iob, _vsnwprintf, _snwprintf, putchar, malloc, swprintf, wcsspn, wcscspn, calloc, fread, ftell, _wcsdup, wcstok, _wfopen, _local_unwind2, memmove, _ultoa > ADVAPI32.dll: RegOpenKeyExW, RegQueryValueExW, RegCloseKey, RegEnumValueW > KERNEL32.dll: LoadLibraryW, FormatMessageW, LocalFree, GetModuleFileNameW, SetLastError, PeekConsoleInputW, GetConsoleMode, SetConsoleMode, ReadConsoleW, GetFileType, DelayLoadFailureHook, GetModuleHandleA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetConsoleScreenBufferInfo, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, LoadLibraryA, InterlockedCompareExchange, FreeLibrary, WriteConsoleW, GetDriveTypeW, WriteProfileStringW, GetProfileStringW, CreateProcessW, CloseHandle, WaitForSingleObject, WriteFile, WideCharToMultiByte, LocalAlloc, GetCurrentProcess, GetProcAddress, GetCommandLineW, GetLastError, GetStdHandle, SetThreadLocale, GetSystemDefaultLangID, GetCPInfo, GetConsoleOutputCP, GetExitCodeProcess > NETAPI32.dll: NetServerGetInfo, NetServerEnum, NetWkstaGetInfo, NetWkstaUserGetInfo, I_NetPathType, I_NetNameValidate, NetApiBufferReallocate, NetApiBufferAllocate, NetapipBufferAllocate, NetShareEnum, NetApiBufferFree, NetUseEnum, NetUseGetInfo, NetUserGetInfo > MPR.dll: WNetGetLastErrorW, WNetAddConnection2W, WNetCancelConnection2W, WNetCloseEnum, WNetGetConnectionW, WNetOpenEnumW, WNetEnumResourceW > ntdll.dll: RtlAllocateHeap, RtlInitUnicodeString, RtlOemStringToUnicodeString, RtlInitAnsiString ( 0 exports ) RDS...: NSRL Reference Data Set - sigcheck: publisher....: Microsoft Corporation copyright....: (c) Microsoft Corporation. All rights reserved. product......: Microsoft_ Windows_ Operating System description..: Net Command original name: net.exe internal name: net.exe file version.: 5.1.2600.5512 (xpsp.080413-2113) comments.....: n/a signers......: - signing date.: - verified.....: Unsigned trid..: Win64 Executable Generic (80.9%) Win32 Executable Generic (8.0%) Win32 Dynamic Link Library (generic) (7.1%) Generic Win/DOS Executable (1.8%) DOS Executable Generic (1.8%) pdfid.: - HTML-Code: Datei sshnas.dll empfangen 2010.01.04 22:07:11 (UTC) Status: Beendet Ergebnis: 7/41 (17.08%) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.46 2010.01.04 Trojan.Win32.FakeAV!IK AhnLab-V3 5.0.0.2 2010.01.04 - AntiVir 7.9.1.122 2009.12.31 - Antiy-AVL 2.0.3.7 2010.01.04 - Authentium 5.2.0.5 2010.01.04 - Avast 4.8.1351.0 2010.01.04 - AVG 8.5.0.430 2010.01.04 - BitDefender 7.2 2010.01.04 - CAT-QuickHeal 10.00 2010.01.04 - ClamAV 0.94.1 2010.01.04 - Comodo 3468 2010.01.04 - DrWeb 5.0.1.12222 2010.01.04 Trojan.Click.39880 eSafe 7.0.17.0 2010.01.04 - eTrust-Vet 35.1.7215 2010.01.04 Win32/Warduncrypt!packed F-Prot 4.5.1.85 2010.01.04 - F-Secure 9.0.15370.0 2010.01.04 - Fortinet 4.0.14.0 2010.01.04 - GData 19 2010.01.04 - Ikarus T3.1.1.79.0 2009.12.31 - Jiangmin 13.0.900 2010.01.04 - K7AntiVirus 7.10.937 2010.01.04 - Kaspersky 7.0.0.125 2010.01.04 Trojan.Win32.FraudPack.ajpq McAfee 5851 2010.01.04 - McAfee+Artemis 5851 2010.01.04 - McAfee-GW-Edition 6.8.5 2010.01.04 - Microsoft 1.5302 2010.01.04 TrojanDownloader:Win32/Renos.JZ NOD32 4743 2010.01.04 Win32/TrojanDownloader.FakeAlert.ARF Norman 6.04.03 2010.01.04 - nProtect 2009.1.8.0 2010.01.04 - Panda 10.0.2.2 2010.01.04 - PCTools 7.0.3.5 2010.01.04 - Prevx 3.0 2010.01.04 Medium Risk Malware Rising 22.29.00.04 2010.01.04 - Sophos 4.49.0 2010.01.04 - Sunbelt 3.2.1858.2 2010.01.04 - Symantec 20091.2.0.41 2010.01.04 - TheHacker 6.5.0.3.131 2010.01.04 - TrendMicro 9.120.0.1004 2010.01.04 - VBA32 3.12.12.1 2010.01.04 - ViRobot 2010.1.4.2120 2010.01.04 - VirusBuster 5.0.21.0 2010.01.04 - weitere Informationen File size: 233984 bytes MD5...: a5a2f8864993520632e2a851303eb111 SHA1..: 63fb070c9ad656b1c198d79896dea03cc44d9d9d SHA256: 99aed3650e34e29766cb2e55ac1b3654feaa49e52ab0bd2092ac306d09bd42a3 ssdeep: 6144:boNhKXWARLUcoLr6lMSHzHqJbrtda+u4W8C6Nx:boNhmWARQcoiyGHEbad4 v PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x144a timedatestamp.....: 0x457b6339 (Sun Dec 10 01:30:33 2006) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .kpjbc 0x1000 0x7be5 0x7c00 1.28 32190fa98c062ca319b9758a6fb3bfe6 .inml 0x9000 0x7721 0x7800 4.19 4b7f1f5c6e49718216b74aebd9fc3eb2 .lcdm 0x11000 0x72eae 0x28000 7.03 2512ff2b2e91e889e7e351d234fccd95 .jgjbo 0x84000 0x721 0x800 0.81 e2dd6685dd44a4dfc7361767b2252c6a .pinkj 0x85000 0x119b 0x1200 0.01 79e8ec7bca25385f3a2e2aa6d1448882 ( 4 imports ) > kernel32.dll: ExitProcess > user32.dll: GetWindowTextLengthA > advapi32.dll: RegEnumValueW > kernel32.dll: CopyFileExA ( 0 exports ) RDS...: NSRL Reference Data Set - sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned pdfid.: - trid..: Win32 Executable Generic (38.4%) Win32 Dynamic Link Library (generic) (34.2%) Clipper DOS Executable (9.1%) Generic Win/DOS Executable (9.0%) DOS Executable Generic (9.0%) <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=C0B4678700C4239A925003F4ABA1100004822B27' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=C0B4678700C4239A925003F4ABA1100004822B27</a> HTML-Code: Datei MEMIO.SYS empfangen 2010.01.04 22:14:02 (UTC) Status: Beendet Ergebnis: 0/41 (0%) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.46 2010.01.04 - AhnLab-V3 5.0.0.2 2010.01.04 - AntiVir 7.9.1.122 2009.12.31 - Antiy-AVL 2.0.3.7 2010.01.04 - Authentium 5.2.0.5 2010.01.04 - Avast 4.8.1351.0 2010.01.04 - AVG 8.5.0.430 2010.01.04 - BitDefender 7.2 2010.01.04 - CAT-QuickHeal 10.00 2010.01.04 - ClamAV 0.94.1 2010.01.04 - Comodo 3468 2010.01.04 - DrWeb 5.0.1.12222 2010.01.04 - eSafe 7.0.17.0 2010.01.04 - eTrust-Vet 35.1.7215 2010.01.04 - F-Prot 4.5.1.85 2010.01.04 - F-Secure 9.0.15370.0 2010.01.04 - Fortinet 4.0.14.0 2010.01.04 - GData 19 2010.01.04 - Ikarus T3.1.1.79.0 2009.12.31 - Jiangmin 13.0.900 2010.01.04 - K7AntiVirus 7.10.937 2010.01.04 - Kaspersky 7.0.0.125 2010.01.04 - McAfee 5851 2010.01.04 - McAfee+Artemis 5851 2010.01.04 - McAfee-GW-Edition 6.8.5 2010.01.04 - Microsoft 1.5302 2010.01.04 - NOD32 4743 2010.01.04 - Norman 6.04.03 2010.01.04 - nProtect 2009.1.8.0 2010.01.04 - Panda 10.0.2.2 2010.01.04 - PCTools 7.0.3.5 2010.01.04 - Prevx 3.0 2010.01.04 - Rising 22.29.00.04 2010.01.04 - Sophos 4.49.0 2010.01.04 - Sunbelt 3.2.1858.2 2010.01.04 - Symantec 20091.2.0.41 2010.01.04 - TheHacker 6.5.0.3.131 2010.01.04 - TrendMicro 9.120.0.1004 2010.01.04 - VBA32 3.12.12.1 2010.01.04 - ViRobot 2010.1.4.2120 2010.01.04 - VirusBuster 5.0.21.0 2010.01.04 - weitere Informationen File size: 4300 bytes MD5...: 8a4cb9438571814b128b6dc30d698064 SHA1..: d62d435a5d9b799e36d05fc32237397602b3dd8c SHA256: 2ce7dc464723c427c88e6ffb086330719dfe57f9ef0fe31ae9e0d8d0c910c388 ssdeep: 96:10rzOx7yxqQvQlwSBEhE9v1eNbsh+8i1T:Wrz87yxq/5EiA/BT PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x536 timedatestamp.....: 0x39a3f999 (Wed Aug 23 16:19:37 2000) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x260 0x3d4 0x3e0 5.56 cff4fa2b6a2447cdaafb75c219574d08 INIT 0x640 0x1c8 0x1e0 4.69 f74ffb39ec6562bc6e4dd88d6efb84a0 .reloc 0x820 0x62 0x80 2.84 83b34193848d7c2bab1ad0d9fee784a4 ( 2 imports ) > ntoskrnl.exe: RtlInitUnicodeString, IoCreateDevice, IoCreateSymbolicLink, IofCompleteRequest, IoDeleteDevice, MmUnmapIoSpace, IoDeleteSymbolicLink, MmMapIoSpace > HAL.dll: READ_PORT_UCHAR, READ_PORT_ULONG, WRITE_PORT_USHORT, HalTranslateBusAddress, READ_PORT_USHORT, WRITE_PORT_UCHAR, WRITE_PORT_ULONG ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Generic Win/DOS Executable (49.9%) DOS Executable Generic (49.8%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned C:\WINDOWS\system32\xv.exe C:\WINDOWS\system32\cftu.exe und der neue HijackThis-Log: HTML-Code: Logfile of Trend Micro HijackThis v2.0.3 (BETA) Scan saved at 00:29:37, on 05.01.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Unable to get Internet Explorer version! Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Samsung\Samsung EDS\EDSAgent.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe C:\Programme\Gemeinsame Dateien\AOL\1232646138\ee\AOLSoftware.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Samsung\Easy Display Manager\dmhkcore.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\TUProgSt.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file) O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file) O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\Easy Display Manager\DMLoader.exe O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1232646138\ee\AOLSoftware.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file) O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Defragmentation-Service (DfSdkS) - mst software GmbH, Germany - D:\Programme\Ashampoo\Ashampoo WinOptimizer 6\Dfsdks.exe O23 - Service: MYEOC - Unknown owner - C:\DOKUME~1\Administrator\Lokale Einstellungen\Temp\MYEOC.exe (file missing) O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe O23 - Service: SXBD - Sysinternals - www.sysinternals.com - C:\DOKUME~1\Marshall^^\Lokale Einstellungen\Temp\SXBD.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe -- End of file - 5877 bytes |
|
05.01.2010, 11:13
| #9 |
| | PC total verseucht, versucht zu bereinigen, hijack-Log Hi, hast Du vergessen MAM im Fullscan mode laufen zu lassen (alles bereinigen?). Das Log fehlt? Undbdingt ggf. nacholen! Die Datei "C:\WINDOWS\system32\sshnas.dll" löschen! Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter O23 - Service: MYEOC - Unknown owner - C:\DOKUME~1\Administrator\Lokale Einstellungen\Temp\MYEOC.exe (file missing)
O23 - Service: SXBD - Sysinternals - www.sysinternals.com - C:\DOKUME~1\Marshall^^\Lokale Einstellungen\Temp\SXBD.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.html Führe einen Systemscan durch und poste das Ergebnis! chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
05.01.2010, 11:41
| #10 |
| | PC total verseucht, versucht zu bereinigen, hijack-Log hi, hab nur vergessen den Log zu posten^^ HTML-Code: Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3458
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
05.01.2010 00:26:27
mbam-log-2010-01-05 (00-26-27).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 181272
Laufzeit: 40 minute(s), 50 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
c:\WINDOWS\system32\sshnas.dll (Trojan.FakeAlert) -> Delete on reboot.
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\xml.xml (Worm.Allaple) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xml.xml.1 (Worm.Allaple) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{9233c3c0-1472-4091-a505-5580a23bb4ac} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\PUT2VIDQLG (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\B1RQJ7YJ0U (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\put2vidqlg (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe csrcs.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\wscsvc32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\Installer.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\settdebugx.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Delete on reboot.
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\H8SRT7b18.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\a.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\b.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\c.exe (Trojan.Dropper) -> Delete on reboot.
C:\WINDOWS\system32\sshnas.dll (Trojan.FakeAlert) -> Delete on reboot. Geändert von Malaka (05.01.2010 um 11:54 Uhr) |
|
05.01.2010, 12:24
| #11 |
| | PC total verseucht, versucht zu bereinigen, hijack-LogHTML-Code:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 5. Januar 2010 11:38
Es wird nach 1499407 Virenstämmen gesucht.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ANNA
Versionsinformationen:
BUILD.DAT : 9.0.0.418 21723 Bytes 02.12.2009 16:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 02:35:57
VBASE002.VDF : 7.10.1.1 2048 Bytes 19.11.2009 02:35:57
VBASE003.VDF : 7.10.1.2 2048 Bytes 19.11.2009 02:35:57
VBASE004.VDF : 7.10.1.3 2048 Bytes 19.11.2009 02:35:58
VBASE005.VDF : 7.10.1.4 2048 Bytes 19.11.2009 02:35:58
VBASE006.VDF : 7.10.1.5 2048 Bytes 19.11.2009 02:35:58
VBASE007.VDF : 7.10.1.6 2048 Bytes 19.11.2009 02:35:58
VBASE008.VDF : 7.10.1.7 2048 Bytes 19.11.2009 02:35:58
VBASE009.VDF : 7.10.1.8 2048 Bytes 19.11.2009 02:35:58
VBASE010.VDF : 7.10.1.9 2048 Bytes 19.11.2009 02:35:59
VBASE011.VDF : 7.10.1.10 2048 Bytes 19.11.2009 02:35:59
VBASE012.VDF : 7.10.1.11 2048 Bytes 19.11.2009 02:35:59
VBASE013.VDF : 7.10.1.79 209920 Bytes 25.11.2009 02:36:04
VBASE014.VDF : 7.10.1.128 197632 Bytes 30.11.2009 02:36:08
VBASE015.VDF : 7.10.1.178 195584 Bytes 07.12.2009 02:36:12
VBASE016.VDF : 7.10.1.224 183296 Bytes 14.12.2009 02:36:17
VBASE017.VDF : 7.10.1.247 182272 Bytes 15.12.2009 02:36:22
VBASE018.VDF : 7.10.2.30 198144 Bytes 21.12.2009 02:36:27
VBASE019.VDF : 7.10.2.63 187392 Bytes 24.12.2009 02:36:34
VBASE020.VDF : 7.10.2.93 195072 Bytes 29.12.2009 02:36:38
VBASE021.VDF : 7.10.2.94 2048 Bytes 29.12.2009 02:36:39
VBASE022.VDF : 7.10.2.95 2048 Bytes 29.12.2009 02:36:39
VBASE023.VDF : 7.10.2.96 2048 Bytes 29.12.2009 02:36:39
VBASE024.VDF : 7.10.2.97 2048 Bytes 29.12.2009 02:36:39
VBASE025.VDF : 7.10.2.98 2048 Bytes 29.12.2009 02:36:39
VBASE026.VDF : 7.10.2.99 2048 Bytes 29.12.2009 02:36:40
VBASE027.VDF : 7.10.2.100 2048 Bytes 29.12.2009 02:36:40
VBASE028.VDF : 7.10.2.101 2048 Bytes 29.12.2009 02:36:40
VBASE029.VDF : 7.10.2.102 2048 Bytes 29.12.2009 02:36:40
VBASE030.VDF : 7.10.2.103 2048 Bytes 29.12.2009 02:36:40
VBASE031.VDF : 7.10.2.119 167424 Bytes 04.01.2010 02:36:44
Engineversion : 8.2.1.130
AEVDF.DLL : 8.1.1.2 106867 Bytes 08.11.2009 06:38:52
AESCRIPT.DLL : 8.1.3.7 594296 Bytes 05.01.2010 02:37:35
AESCN.DLL : 8.1.3.0 127348 Bytes 05.01.2010 02:37:30
AESBX.DLL : 8.1.1.1 246132 Bytes 08.11.2009 06:38:44
AERDL.DLL : 8.1.3.4 479605 Bytes 05.01.2010 02:37:29
AEPACK.DLL : 8.2.0.4 422263 Bytes 05.01.2010 02:37:23
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 08.11.2009 06:38:38
AEHEUR.DLL : 8.1.0.192 2195833 Bytes 05.01.2010 02:37:18
AEHELP.DLL : 8.1.9.0 237943 Bytes 05.01.2010 02:36:55
AEGEN.DLL : 8.1.1.83 369014 Bytes 05.01.2010 02:36:52
AEEMU.DLL : 8.1.1.0 393587 Bytes 08.11.2009 06:38:26
AECORE.DLL : 8.1.9.1 180598 Bytes 05.01.2010 02:36:47
AEBB.DLL : 8.1.0.3 53618 Bytes 08.11.2009 06:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,
Beginn des Suchlaufs: Dienstag, 5. Januar 2010 11:38
Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '28625' Objekte überprüft, '0' versteckte Objekte wurden gefunden.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aoltpsd3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxext.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'shellmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TUProgSt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SNMWLANService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AOLacsd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dmhkcore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aolsoftware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'waol.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BatteryManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EDSAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '39' Prozesse mit '39' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '54' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'D:\'
Ende des Suchlaufs: Dienstag, 5. Januar 2010 12:19
Benötigte Zeit: 40:32 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
4694 Verzeichnisse wurden überprüft
250094 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
250092 Dateien ohne Befall
7223 Archive wurden durchsucht
2 Warnungen
2 Hinweise
28625 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden |
|
05.01.2010, 18:21
| #12 |
| | PC total verseucht, versucht zu bereinigen, hijack-Log Hi, das sieht gut aus, MAM updaten und auch noch mal laufen lassen, dann sollten wir durch sein (wenn nichts mehr gefunden wird)... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
05.01.2010, 19:33
| #13 |
| | PC total verseucht, versucht zu bereinigen, hijack-Log die Kiste is wieder clean: HTML-Code: Malwarebytes' Anti-Malware 1.43 Datenbank Version: 3496 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 05.01.2010 19:31:59 mbam-log-2010-01-05 (19-31-59).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|) Durchsuchte Objekte: 183261 Laufzeit: 43 minute(s), 45 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden)  |
|
05.01.2010, 19:47
| #14 |
| | PC total verseucht, versucht zu bereinigen, hijack-Log Hi, Okay, Bye (auf "Wiedersehen" will ich nicht schreiben ;o)... chris & Out
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
| Themen zu PC total verseucht, versucht zu bereinigen, hijack-Log |
| abgesicherten modus, antivir, antivir guard, ask toolbar, ask.com, avg, avgnt, avgnt.exe, avira, backdoor, bho, browseui preloader, desinfizieren, desktop, dr.web, entfernen, explorer, fast start, firefox, firefox.exe, hijack, hkus\s-1-5-18, icq, infizierte, internet, internet explorer, malware, malware defense, malwarebytes, microsoft, mozilla, programme, scan, stimme, system, vodafone, windows, windows xp, wlan |
Linear-Darstellung
