| |
| |||||||
Log-Analyse und Auswertung: Trojaner gefunden Trojan.PR.Ranky.YU veruscht zu löschen aber kommt immer wiederWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
11.04.2010, 21:58
| #16 |
 |  Trojaner gefunden Trojan.PR.Ranky.YU veruscht zu löschen aber kommt immer wieder Hier das CS log: uInternet Settings,ProxyOverride = *.local FF - ProfilePath - c:\dokumente und einstellungen\daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\i6sj8irs.default\ FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2365318&SearchSource=3&q={searchTerms} FF - prefs.js: browser.search.selectedEngine - DAEMON Search FF - prefs.js: browser.startup.homepage - www.google.at FF - plugin: c:\dokumente und einstellungen\daniel\Anwendungsdaten\Move Networks\plugins\npqmp071505000010.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npPandoWebInst.dll FF - plugin: f:\programme\bin\new_plugin\npdeploytk.dll FF - plugin: f:\programme\bin\new_plugin\npjp2.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows.0\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); . - - - - Entfernte verwaiste Registrierungseinträge - - - - Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file) WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file) AddRemove-HitmanPro35 - c:\programme\Hitman Pro 3.5\HitmanPro35.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-04-11 21:39 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... c:\dokume~1\daniel\LOKALE~1\Temp\RGI4.tmp 7118 bytes Scan erfolgreich abgeschlossen versteckte Dateien: 1 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x89907AC8]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xba0ecf28 \Driver\ACPI -> ACPI.sys @ 0xb9e73cb8 \Driver\atapi -> atapi.sys @ 0xb9e08b40 IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8 \Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8 NDIS: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC -> SendCompleteHandler -> NDIS.sys @ 0xb9d11bb0 PacketIndicateHandler -> NDIS.sys @ 0xb9d1ea21 SendHandler -> NDIS.sys @ 0xb9cfc87b user & kernel MBR OK ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(688) c:\programme\SUPERAntiSpyware\SASWINLO.dll - - - - - - - > 'explorer.exe'(2988) c:\windows.0\system32\webcheck.dll c:\windows.0\system32\WPDShServiceObj.dll c:\windows.0\system32\PortableDeviceTypes.dll c:\windows.0\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\programme\Bonjour\mDNSResponder.exe f:\programme\bin\jqs.exe c:\windows.0\system32\nvsvc32.exe c:\windows.0\system32\WgaTray.exe c:\windows.0\system32\wscntfy.exe c:\windows.0\system32\RUNDLL32.EXE c:\windows.0\Microsoft.NET\Framework\v2.0.50727\dfsvc.exe c:\programme\Pando Networks\Media Booster\PMB .exe . ************************************************************************** . Zeit der Fertigstellung: 2010-04-11 21:44:10 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-04-11 19:44 Vor Suchlauf: 5.141.647.360 Bytes frei Nach Suchlauf: 5.110.161.408 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS.0 [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(2)\WINDOWS.0="Microsoft Windows XP Professional" /noexecute=optin /fastdetect multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn - - End Of File - - 16D5935EA686273FB474A4758B30332A ****************************************************************************************************************************************************** ************************ Und MAM log: Malwarebytes' Anti-Malware 1.45 www.malwarebytes.org Datenbank Version: 3978 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 11.04.2010 22:48:00 mbam-log-2010-04-11 (22-48-00).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|) Durchsuchte Objekte: 225503 Laufzeit: 1 Stunde(n), 2 Minute(n), 12 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
|
12.04.2010, 06:31
| #17 |
  | Trojaner gefunden Trojan.PR.Ranky.YU veruscht zu löschen aber kommt immer wieder Hi,
__________________das CF-log ist nicht vollständig, bitte noch mal posten... Daemon-Tools deinstallieren und GMER laufen lassen... Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. chris
__________________ |
|
12.04.2010, 08:15
| #18 |
| | Trojaner gefunden Trojan.PR.Ranky.YU veruscht zu löschen aber kommt immer wieder Tut mir echt leid. Hier nun das CF log hoffe diesmal fehlt nix sorry
__________________ ComboFix 10-04-10.02 - daniel 11.04.2010 21:31:18.1.2 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3007.2690 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\daniel\Desktop\ComboFix.exe AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\All Users.WINDOWS.0\Dokumente\Settings c:\dokumente und einstellungen\daniel\Anwendungsdaten\.# c:\recycler\S-1-5-21-73586283-1085031214-682003330-500 . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_RKHIT ((((((((((((((((((((((( Dateien erstellt von 2010-03-11 bis 2010-04-11 )))))))))))))))))))))))))))))) . 2010-04-11 16:51 . 2010-04-11 16:54 15944 ----a-w- c:\windows.0\system32\drivers\hitmanpro35.sys 2010-04-11 16:49 . 2010-04-11 18:58 -------- d-----w- c:\programme\Hitman Pro 3.5 2010-04-11 16:49 . 2010-04-11 16:49 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Hitman Pro 2010-04-11 13:28 . 2010-04-11 13:28 -------- d-----w- c:\dokumente und einstellungen\daniel\DoctorWeb 2010-04-08 23:54 . 2010-04-08 23:54 52224 ----a-w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll 2010-04-08 23:54 . 2010-04-09 15:31 117760 ----a-w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL 2010-04-08 23:53 . 2010-04-08 23:53 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\SUPERAntiSpyware.com 2010-04-08 23:53 . 2010-04-11 19:06 -------- d-----w- c:\programme\SUPERAntiSpyware 2010-04-08 23:53 . 2010-04-08 23:53 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\SUPERAntiSpyware.com 2010-04-07 20:20 . 2010-04-07 20:27 -------- d-----w- C:\Lop SD 2010-04-07 20:11 . 2010-04-07 20:11 -------- d-----w- C:\_OTL 2010-04-07 13:19 . 2010-04-07 21:16 51837 ----a-w- c:\windows.0\War3Unin.dat 2010-04-07 13:19 . 2010-04-07 21:15 2829 ----a-w- c:\windows.0\War3Unin.pif 2010-04-07 13:19 . 2010-04-07 21:15 139264 ----a-w- c:\windows.0\War3Unin.exe 2010-04-07 02:00 . 2010-02-12 10:03 293376 ------w- c:\windows.0\system32\browserchoice.exe 2010-04-07 00:33 . 2010-04-07 00:33 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\Malwarebytes 2010-04-07 00:33 . 2010-03-29 13:24 38224 ----a-w- c:\windows.0\system32\drivers\mbamswissarmy.sys 2010-04-07 00:33 . 2010-04-07 00:33 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Malwarebytes 2010-04-07 00:32 . 2010-04-07 06:39 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-04-07 00:32 . 2010-03-29 13:24 20824 ----a-w- c:\windows.0\system32\drivers\mbam.sys 2010-04-06 23:43 . 2010-04-06 23:43 -------- d-----w- c:\programme\Trend Micro 2010-04-06 23:19 . 2010-04-06 23:19 61440 ----a-w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-39738a10-n\decora-sse.dll 2010-04-06 23:19 . 2010-04-06 23:19 503808 ----a-w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-64d71a2c-n\msvcp71.dll 2010-04-06 23:19 . 2010-04-06 23:19 499712 ----a-w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-64d71a2c-n\jmc.dll 2010-04-06 23:19 . 2010-04-06 23:19 348160 ----a-w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-64d71a2c-n\msvcr71.dll 2010-04-06 23:19 . 2010-04-06 23:19 12800 ----a-w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-39738a10-n\decora-d3d.dll 2010-04-06 23:19 . 2010-04-06 23:18 411368 ----a-w- c:\windows.0\system32\deploytk.dll 2010-04-06 20:00 . 2010-04-06 20:05 -------- d-----w- c:\programme\RegCleaner 2010-04-06 19:57 . 2010-04-06 19:57 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\Uniblue 2010-04-05 15:44 . 2010-04-05 15:44 53760 ----a-w- c:\windows.0\system32\drivers\SSHDRV76.sys 2010-04-04 22:36 . 2010-04-04 22:36 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Solidshield 2010-04-04 21:37 . 2010-04-04 21:37 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Tages 2010-04-04 16:44 . 2010-04-04 16:44 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\Z-Software 2010-04-04 16:43 . 2010-04-04 16:43 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Z-Software 2010-04-04 15:07 . 2010-04-04 15:37 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\clp 2010-04-04 15:07 . 2010-04-07 19:47 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Common Toolkit Suite 2010-04-04 15:05 . 2010-04-04 15:05 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\Fighters 2010-04-04 15:05 . 2010-04-04 15:05 -------- d-----w- c:\dokumente und einstellungen\daniel\Lokale Einstellungen\Anwendungsdaten\PackageAware 2010-04-04 14:01 . 2010-04-04 14:01 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\The Humans 2010-04-04 12:31 . 2010-04-04 12:31 3909760 ----a-w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\ProtectDisc\pe17f5f3ba.dll 2010-04-03 22:24 . 2010-04-03 22:23 216064 ----a-r- c:\windows.0\iun3405.exe 2010-04-03 12:14 . 2010-04-03 12:14 -------- d-----w- c:\programme\Sparta II 2010-04-03 11:33 . 2010-04-11 19:06 -------- d-----w- c:\programme\DAEMON Tools Pro 2010-04-03 11:32 . 2010-04-03 11:33 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\DAEMON Tools Pro 2010-04-02 16:08 . 2010-04-02 22:55 -------- d-----w- c:\programme\DAEMON Tools Toolbar 2010-04-02 16:08 . 2010-04-02 16:09 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\DAEMON Tools Lite 2010-04-02 16:07 . 2010-04-02 16:08 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\DAEMON Tools Lite 2010-03-31 11:10 . 2010-03-31 11:10 -------- d-----w- c:\programme\7-Zip 2010-03-14 21:12 . 2010-01-13 15:48 230752 ----a-r- c:\windows.0\patchw32.dll 2010-03-14 21:12 . 2010-01-13 15:48 118176 ----a-r- c:\windows.0\patchw.dll 2010-03-14 21:05 . 2010-03-14 21:05 -------- d-----w- c:\programme\Outspark 2010-03-14 20:31 . 2010-04-11 19:40 -------- d-----w- c:\dokumente und einstellungen\daniel\Lokale Einstellungen\Anwendungsdaten\PMB Files 2010-03-14 20:31 . 2010-03-14 20:31 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\PMB Files 2010-03-14 20:30 . 2010-03-14 20:30 -------- d-----w- c:\programme\Pando Networks . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-04-11 19:09 . 2010-04-11 17:02 112 ----a-w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\54154G.dat 2010-04-11 19:09 . 2010-04-11 19:09 71170 ----a-w- c:\windows.0\Fonts\5Wpt60QJ.com_ 2010-04-11 19:06 . 2009-11-06 15:25 -------- d-----w- c:\programme\QuickTime 2010-04-11 19:06 . 2009-08-15 18:51 -------- d-----w- c:\programme\iTunes 2010-04-08 22:21 . 2009-04-19 13:36 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2010-04-07 19:57 . 2009-03-10 12:36 -------- d--h--w- c:\programme\InstallShield Installation Information 2010-04-07 06:48 . 2009-08-01 01:38 10176 ----a-w- c:\dokumente und einstellungen\daniel\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-04-06 23:19 . 2009-10-24 10:21 -------- d-----w- c:\programme\Gemeinsame Dateien\Java 2010-04-06 18:11 . 2009-12-08 17:28 -------- d-----w- c:\programme\Gemeinsame Dateien\Nero 2010-04-06 18:10 . 2009-12-08 17:28 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Nero 2010-04-06 14:35 . 2009-11-06 15:46 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\vlc 2010-04-04 21:36 . 2009-12-01 21:56 281760 ----a-w- c:\windows.0\system32\drivers\atksgt.sys 2010-04-04 21:36 . 2009-12-01 21:56 25888 ----a-w- c:\windows.0\system32\drivers\lirsgt.sys 2010-04-04 12:31 . 2009-11-24 12:54 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\ProtectDisc 2010-04-02 23:12 . 2009-04-20 15:49 -------- d-----w- c:\programme\World of Warcraft 2010-04-02 21:49 . 2009-08-15 19:36 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\TuneUpMedia 2010-03-28 17:04 . 2001-08-18 14:00 84326 ----a-w- c:\windows.0\system32\perfc007.dat 2010-03-28 17:04 . 2001-08-18 14:00 458822 ----a-w- c:\windows.0\system32\perfh007.dat 2010-03-22 08:39 . 2009-11-07 00:40 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\dvdcss 2010-03-20 13:54 . 2010-01-20 17:43 4906 ----a-w- c:\dokumente und einstellungen\daniel\FilterData.dat 2010-03-12 19:14 . 2009-04-23 16:29 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\teamspeak2 2010-02-25 06:15 . 2005-10-27 16:20 916480 ----a-w- c:\windows.0\system32\wininet.dll 2010-02-16 07:31 . 2010-02-16 07:31 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\Turbine 2010-02-16 06:41 . 2010-02-16 06:41 -------- d-----w- c:\programme\Safari 2010-02-16 06:40 . 2010-02-16 06:40 79144 ----a-w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Apple Computer\Installer Cache\Safari 5.31.21.10\SetupAdmin.exe 2010-02-16 01:11 . 2010-02-15 22:17 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\GetRightToGo 2010-02-04 08:01 . 2010-04-03 21:05 74072 ----a-w- c:\windows.0\system32\XAPOFX1_4.dll 2010-02-04 08:01 . 2010-04-03 21:05 528216 ----a-w- c:\windows.0\system32\XAudio2_6.dll 2010-02-04 08:01 . 2010-04-03 21:05 238936 ----a-w- c:\windows.0\system32\xactengine3_6.dll 2010-02-04 08:01 . 2010-04-03 21:05 22360 ----a-w- c:\windows.0\system32\X3DAudio1_7.dll 2010-01-20 11:28 . 2010-01-20 11:28 295432 ----a-w- c:\windows.0\system32\drivers\acedrv11.sys . Code:
ATTFilter <pre>
c:\programme\Adobe\Reader 9.0\Reader\Reader_sl .exe
c:\programme\Analog Devices\Core\smax4pnp .exe
c:\programme\Analog Devices\SoundMAX\Smax4 .exe
c:\programme\Analog Devices\SoundMAX\Smax4 .exe
c:\programme\DAEMON Tools Pro\DTProAgent .exe
c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM .exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier .exe
c:\programme\Gemeinsame Dateien\Java\Java Update\jusched .exe
c:\programme\Hitman Pro 3.5\HitmanPro35 .exe
c:\programme\iTunes\iTunesHelper .exe
c:\programme\Pando Networks\Media Booster\PMB .exe
c:\programme\QuickTime\QTTask .exe
c:\programme\QuickTime\QTTask .exe
c:\programme\Razer\DeathAdder\razerhid .exe
c:\programme\Razer\Tarantula\razerhid .exe
c:\programme\SUPERAntiSpyware\SUPERAntiSpyware .exe
</pre>
. . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PlayNC Launcher"="" [N/A] "NCsoft Launcher"="c:\programme\ncsoft\launcher\NCLauncher.exe" [2010-04-05 38184] "Pando Media Booster"="c:\programme\Pando Networks\Media Booster\PMB.exe" [2010-04-11 41480] "DAEMON Tools Pro Agent"="c:\programme\DAEMON Tools Pro\DTProAgent.exe" [2010-04-11 41480] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "QuickTime Task"="c:\programme\QuickTime\QTTask .exe -atboottime" [X] "SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [N/A] "nwiz"="nwiz.exe" [2009-03-27 1657376] "NvMediaCenter"="c:\windows.0\system32\NvMcTray.dll" [2009-03-27 86016] "DeathAdder"="c:\programme\Razer\DeathAdder\razerhid.exe" [N/A] "Tarantula"="c:\programme\Razer\Tarantula\razerhid.exe" [N/A] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [N/A] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [N/A] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [N/A] "AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2010-04-11 41476] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [N/A] "NvCplDaemon"="c:\windows.0\system32\NvCpl.dll" [2009-03-27 13684736] "HitmanPro35"="c:\programme\Hitman Pro 3.5\HitmanPro35.exe" [N/A] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows.0\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nlsf"="move" [X] "nlhr"="c:\windows.0\System32\AdvPack.Dll" [2009-03-08 128512] "tscuninstall"="c:\windows.0\system32\tscupgrd.exe" [2004-08-04 44544] c:\dokumente und einstellungen\daniel\Startmen\Programme\Autostart\ CurseClientStartup.ccip [2009-12-24 0] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] 2009-09-03 13:21 548352 ----a-w- c:\programme\SUPERAntiSpyware\SASWINLO.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\World of Warcraft\\Launcher.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\World of Warcraft\\BackgroundDownloader.exe"= "c:\\Programme\\World of Warcraft\\WoW-3.1.3.9947-to-3.2.0.10192-deDE-downloader.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\TuneUpMedia\\TuneUpApp.exe"= "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\\Programme\\World of Warcraft\\WoW-3.2.0.10192-to-3.2.0.10314-deDE-downloader.exe"= "c:\\Programme\\World of Warcraft\\WoW-3.2.0.10314-to-3.2.2.10482-deDE-downloader.exe"= "c:\\Programme\\World of Warcraft\\WoW-3.2.2.10482-to-3.2.2.10505-deDE-downloader.exe"= "f:\\Programme\\Starcraft\\StarCraft.exe"= "f:\\Programme\\World of Warcraft Public Test\\WoW-0.3.0.10522-deDE-ptr-downloader.exe"= "f:\\Programme\\World of Warcraft Public Test\\WoW-0.3.0.10522-to-0.3.0.10554-deDE-ptr-downloader.exe"= "f:\\Programme\\World of Warcraft Public Test\\Launcher.exe"= "f:\\Programme\\World of Warcraft Public Test\\WoW-0.3.0.10554-to-0.3.0.10571-deDE-ptr-downloader.exe"= "f:\\Programme\\World of Warcraft Public Test\\WoW-0.3.0.10571-to-0.3.0.10596-deDE-ptr-downloader.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "f:\\Programme\\Filme\\F Spiele Sammlung\\Prototyp !!!\\prototypef.exe"= "c:\\WINDOWS.0\\system32\\dpvsetup.exe"= "f:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\game.dat"= "f:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\patchget.dat"= "f:\\Programme\\LOTR\\Belagerung des Düsterwalds\\lotroclient.exe"= "c:\\Programme\\Pando Networks\\Media Booster\\PMB.exe"= "c:\\Dokumente und Einstellungen\\daniel\\Lokale Einstellungen\\Apps\\2.0\\7EC7XXZR.LM8\\G4Q1LRBP.BR3\\curs..tion_eee711038731a406_0004.0000_152ef8e82e8f5a48\\CurseClient.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3724:TCP"= 3724:TCP:Blizzard Downloader: 3724 "56856:TCP"= 56856:TCP:Pando Media Booster "56856:UDP"= 56856:UDP:Pando Media Booster R0 sptd;sptd;c:\windows.0\system32\drivers\sptd.sys [04.11.2009 21:55 691696] R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [17.02.2010 11:25 12872] R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [17.02.2010 11:15 66632] R1 SSHDRV76;SSHDRV76;c:\windows.0\system32\drivers\SSHDRV76.sys [05.04.2010 17:44 53760] R2 acedrv11;acedrv11;c:\windows.0\system32\drivers\acedrv11.sys [20.01.2010 13:28 295432] R3 DAdderFltr;DeathAdder Mouse;c:\windows.0\system32\drivers\dadder.sys [28.08.2009 15:49 22784] S3 AVFSFilter;AVFSFilter;c:\windows.0\system32\DRIVERS\avfsfilter.sys --> c:\windows.0\system32\DRIVERS\avfsfilter.sys [?] S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [17.02.2010 11:15 12872] S3 TarFltr;Razer Tarantula USB Keyboard;c:\windows.0\system32\drivers\UsbFltr.sys [28.08.2009 15:57 44800] . Inhalt des "geplante Tasks" Ordners 2010-02-16 c:\windows.0\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = www.google.at mStart Page = about:blank uInternet Settings,ProxyOverride = *.local FF - ProfilePath - c:\dokumente und einstellungen\daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\i6sj8irs.default\ FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2365318&SearchSource=3&q={searchTerms} FF - prefs.js: browser.search.selectedEngine - DAEMON Search FF - prefs.js: browser.startup.homepage - www.google.at FF - plugin: c:\dokumente und einstellungen\daniel\Anwendungsdaten\Move Networks\plugins\npqmp071505000010.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npPandoWebInst.dll FF - plugin: f:\programme\bin\new_plugin\npdeploytk.dll FF - plugin: f:\programme\bin\new_plugin\npjp2.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows.0\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); . - - - - Entfernte verwaiste Registrierungseinträge - - - - Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file) WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file) AddRemove-HitmanPro35 - c:\programme\Hitman Pro 3.5\HitmanPro35.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-04-11 21:39 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... c:\dokume~1\daniel\LOKALE~1\Temp\RGI4.tmp 7118 bytes Scan erfolgreich abgeschlossen versteckte Dateien: 1 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x89907AC8]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xba0ecf28 \Driver\ACPI -> ACPI.sys @ 0xb9e73cb8 \Driver\atapi -> atapi.sys @ 0xb9e08b40 IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8 \Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8 NDIS: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC -> SendCompleteHandler -> NDIS.sys @ 0xb9d11bb0 PacketIndicateHandler -> NDIS.sys @ 0xb9d1ea21 SendHandler -> NDIS.sys @ 0xb9cfc87b user & kernel MBR OK ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(688) c:\programme\SUPERAntiSpyware\SASWINLO.dll - - - - - - - > 'explorer.exe'(2988) c:\windows.0\system32\webcheck.dll c:\windows.0\system32\WPDShServiceObj.dll c:\windows.0\system32\PortableDeviceTypes.dll c:\windows.0\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\programme\Bonjour\mDNSResponder.exe f:\programme\bin\jqs.exe c:\windows.0\system32\nvsvc32.exe c:\windows.0\system32\WgaTray.exe c:\windows.0\system32\wscntfy.exe c:\windows.0\system32\RUNDLL32.EXE c:\windows.0\Microsoft.NET\Framework\v2.0.50727\dfsvc.exe c:\programme\Pando Networks\Media Booster\PMB .exe . ************************************************************************** . Zeit der Fertigstellung: 2010-04-11 21:44:10 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-04-11 19:44 Vor Suchlauf: 5.141.647.360 Bytes frei Nach Suchlauf: 5.110.161.408 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS.0 [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(2)\WINDOWS.0="Microsoft Windows XP Professional" /noexecute=optin /fastdetect multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn - - End Of File - - 16D5935EA686273FB474A4758B30332A |
|
12.04.2010, 09:22
| #19 |
| | Trojaner gefunden Trojan.PR.Ranky.YU veruscht zu löschen aber kommt immer wieder Hi, folgende Auffälligkeiten im CF-log (bei virustotal.com prüfen lassen): Code:
ATTFilter c:\windows.0\War3Unin.exe prüfen lassen (es gibt einen gleichnamingen Wurm!)
c:\windows.0\Fonts\5Wpt60QJ.com_
c:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Apps\2.0\7EC7XXZR.LM8\G4Q1LRBP.BR3\curs..tion_eee711038731a406_0004.0000_152ef8e82e8f5a48\CurseClient.exe
Bitte Daemon-Tools deinstallieren und nach GMER noch OSAM: OSAM Prüft Programme/Treiber die gestartet werden online. Folge den Anweisungen hier ( http://www.trojaner-board.de/84180-anleitung-osam-autorun-manager.html ) zur Erstellung eines Logs und poste das hier in Deinem Thread. chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
12.04.2010, 10:11
| #20 |
| | Trojaner gefunden Trojan.PR.Ranky.YU veruscht zu löschen aber kommt immer wieder Gmer stürtzt mir immer ab weiß nicht was ich machen soll. Kann nicht mal log posten. Weil wenn ich auf copie geh funkt garnichts mehr. Kann dann nicht mal GMER beende oder sonst irgendwas machen. Beim 1. Bericht hat er mir was rot angezeigt in den Gemeinsamen dokumenten als *hidden*. Soll ich mit den anderen schritten weiter machen oder meinst du das ich es weiter probieren soll? Lg badabus Edit: Deamon Tools deinstalliert =) Geändert von Badabus (12.04.2010 um 10:21 Uhr) |
|
12.04.2010, 10:40
| #21 |
| | Trojaner gefunden Trojan.PR.Ranky.YU veruscht zu löschen aber kommt immer wieder Hi, wahrscheinlichkeit ist hoch, das wir es tatsächlich noch mit einem Rootkit zu tun haben. Boote in den abgesicherten Modus (F8 beim Booten) und probiere dann GMER laufen zu lassen... chris
__________________ --> Trojaner gefunden Trojan.PR.Ranky.YU veruscht zu löschen aber kommt immer wieder |
|
12.04.2010, 13:28
| #22 |
| | Trojaner gefunden Trojan.PR.Ranky.YU veruscht zu löschen aber kommt immer wieder ok ichversuche es sofort. post dir dann gleich den log. vielen dank lg badabus |
|
12.04.2010, 14:27
| #23 |
| | Trojaner gefunden Trojan.PR.Ranky.YU veruscht zu löschen aber kommt immer wieder hier die GMER daten mache gleich mit OSAM weiter. GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit scan 2010-04-12 15:20:01 Windows 5.1.2600 Service Pack 3 Running: mwrzyf5n.exe; Driver: C:\DOKUME~1\daniel\LOKALE~1\Temp\uwldipow.sys ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS.0\system32\drivers\SSHDRV76.sys section is writeable [0xBA4C2000, 0x16204, 0xE8000020] .pklstb C:\WINDOWS.0\system32\drivers\SSHDRV76.sys entry point in ".pklstb" section [0xBA4E0000] .relo2 C:\WINDOWS.0\system32\drivers\SSHDRV76.sys unknown last section [0xBA4F0000, 0x86, 0x42000040] ---- User IAT/EAT - GMER 1.0.15 ---- IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\Explorer.EXE [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\system32\Secur32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\system32\ole32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\system32\USERENV.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x7A 0x21 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xCF 0x2B 0x8C 0xEE ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x7A 0x21 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xCF 0x2B 0x8C 0xEE ... ---- EOF - GMER 1.0.15 ---- Lg Badabus |
|
12.04.2010, 14:38
| #24 |
| | Trojaner gefunden Trojan.PR.Ranky.YU veruscht zu löschen aber kommt immer wieder Hi, das sieht i. O. aus, "SSHDRV76.sys" ist ein Kopierschutztreiber... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
12.04.2010, 14:39
| #25 |
| | Trojaner gefunden Trojan.PR.Ranky.YU veruscht zu löschen aber kommt immer wieder Schau was ich gefunden hab. Hattest recht gab in Windows.0 3.Dateien mit dem namen War3Unin.exe eine davon mit virus glaub ich ich schick dir mal die auswertung von VIrus Total und scanne lieber die anderen 2 die du mir gesagt hast auch. =) Datei War3Unin.exe empfangen 2010.04.12 13:34:26 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 1/39 (2.57%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 2. Geschätzte Startzeit ist zwischen 46 und 66 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.50 2010.04.12 - AhnLab-V3 5.0.0.2 2010.04.10 - AntiVir 7.10.6.62 2010.04.12 - Antiy-AVL 2.0.3.7 2010.04.12 - Authentium 5.2.0.5 2010.04.12 - Avast 4.8.1351.0 2010.04.12 - Avast5 5.0.332.0 2010.04.12 - AVG 9.0.0.787 2010.04.12 - BitDefender 7.2 2010.04.12 - CAT-QuickHeal 10.00 2010.04.12 - ClamAV 0.96.0.3-git 2010.04.12 - Comodo 4575 2010.04.12 - DrWeb 5.0.2.03300 2010.04.12 - eSafe 7.0.17.0 2010.04.11 Virus in password protected archive eTrust-Vet 35.2.7420 2010.04.12 - F-Prot 4.5.1.85 2010.04.12 - F-Secure 9.0.15370.0 2010.04.12 - Fortinet 4.0.14.0 2010.04.12 - GData 19 2010.04.12 - Ikarus T3.1.1.80.0 2010.04.12 - Jiangmin 13.0.900 2010.04.12 - Kaspersky 7.0.0.125 2010.04.12 - McAfee-GW-Edition 6.8.5 2010.04.12 - Microsoft 1.5605 2010.04.12 - NOD32 5020 2010.04.12 - Norman 6.04.11 2010.04.12 - nProtect 2009.1.8.0 2010.04.06 - Panda 10.0.2.2 2010.04.11 - PCTools 7.0.3.5 2010.04.12 - Prevx 3.0 2010.04.12 - Rising 22.43.00.04 2010.04.12 - Sophos 4.52.0 2010.04.12 - Sunbelt 6166 2010.04.12 - Symantec 20091.2.0.41 2010.04.12 - TheHacker 6.5.2.0.259 2010.04.12 - TrendMicro 9.120.0.1004 2010.04.12 - VBA32 3.12.12.4 2010.04.09 - ViRobot 2010.4.12.2272 2010.04.12 - VirusBuster 5.0.27.0 2010.04.12 - weitere Informationen File size: 139264 bytes MD5...: 682d2ab104bc8ad3bcdfa152f9b31d5f SHA1..: 290a9ffc155656b68fae24c23c90f1a65115d185 SHA256: 37fba145c4781a1517b2cf8f67d1513d16b71050d4daf1d88e0ab75af7ec9bb4 ssdeep: 3072:hnswMRCqbt+LdY3+tNguwG+eC6KQyyBiP:hnL+t+JW7eky PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x13860 timedatestamp.....: 0x3ecc56c9 (Thu May 22 04:49:13 2003) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x12da2 0x13000 6.47 6b9f6a1b7c6ac93d4331c9fb510200c9 .rdata 0x14000 0x2dc2 0x3000 4.68 be1a9fce320bb5cedcf6bd4c9aa12f90 .data 0x17000 0x11e0c 0x4000 5.15 26b94a000c908725d0e95d0f284af051 .rsrc 0x29000 0x6bb0 0x7000 5.83 f4b0ba5cc3fd78d2b2f1bb80979f40a3 ( 6 imports ) > MSVCRT.dll: strrchr, _controlfp, qsort, _onexit, __dllonexit, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, __1type_info@@UAE@XZ, free, calloc, strtoul, _except_handler3, sprintf, _purecall, fclose, fprintf, fopen, _vsnprintf, __CxxFrameHandler, strpbrk, vsprintf, strncpy, isprint > KERNEL32.dll: InterlockedIncrement, HeapAlloc, GetStartupInfoA, FormatMessageA, GetLastError, ExitProcess, lstrcatA, lstrcpyA, lstrcmpA, lstrlenA, SetLastError, SetCurrentDirectoryA, GetCurrentDirectoryA, CreateDirectoryA, RemoveDirectoryA, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, lstrcmpiA, CloseHandle, CreateFileA, GetFileAttributesA, GetFileSize, WriteFile, ReadFile, GetModuleHandleA, GetCurrentProcess, MoveFileA, GetSystemInfo, lstrcpynA, GetVersion, GetCurrentThread, CreateEventA, GetModuleFileNameA, DeleteCriticalSection, GetProcessHeap, InterlockedDecrement, EnterCriticalSection, InitializeCriticalSection, LeaveCriticalSection, TerminateProcess, GetExitCodeProcess, VirtualAlloc, OutputDebugStringA, FreeLibrary, GetProcAddress, LoadLibraryA, GetLocalTime, IsBadReadPtr, VirtualFree, GetComputerNameA, IsBadWritePtr, VirtualQuery > USER32.dll: IsWindow, GetDlgItem, IsWindowVisible, RegisterWindowMessageA, CheckDlgButton, FindWindowA, LoadCursorA, SetCursor, EnableWindow, GetDC, ReleaseDC, GetWindowRect, SetWindowPos, LoadStringA, PostMessageA, EndDialog, SetDlgItemTextA, DialogBoxParamA, wvsprintfA, MessageBoxA, wsprintfA > GDI32.dll: GetDeviceCaps > ADVAPI32.dll: RegDeleteKeyA, GetUserNameA, RegEnumKeyA, RegEnumValueA, RegDeleteValueA, RegQueryValueExA, RegQueryInfoKeyA, RegCloseKey, RegOpenKeyExA > SHELL32.dll: ShellExecuteA ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win64 Executable Generic (59.6%) Win32 Executable MS Visual C++ (generic) (26.2%) Win32 Executable Generic (5.9%) Win32 Dynamic Link Library (generic) (5.2%) Generic Win/DOS Executable (1.3%) sigcheck: publisher....: Blizzard Entertainment copyright....: Copyright (c) 2002 product......: Warcraft III Uninstaller description..: Warcraft III Uninstaller original name: W3Unin.exe internal name: W3Unin file version.: 1, 0, 0, 0 comments.....: signers......: - signing date.: - verified.....: Unsigned Was meinst du löschen? Lg Badabus |
|
12.04.2010, 14:41
| #26 |
| | Trojaner gefunden Trojan.PR.Ranky.YU veruscht zu löschen aber kommt immer wieder Was ist ein kopierschutztreiber? kenn mich da leider nicht so aus. c:\windows.0\Fonts\5Wpt60QJ.com_ die datei war auch einer avira hat den wie ich reingegangen bin sofort rausgenommen. =) die datei in dokumente und einstellungen hab ich nicht gefunden. Kann sein das den avira bereits entfernt hat schlägt leider immer wieder an.... lg |
|
12.04.2010, 14:54
| #27 |
| | Trojaner gefunden Trojan.PR.Ranky.YU veruscht zu löschen aber kommt immer wieder Hi, für das File "c:\windows.0\War3Unin.exe" halte ich es für ein Fehlalarm... Hänge hinten ein .vir an, für den Fall das es noch gebraucht wird (umbennenen auf War3Unin.exe.vir)... Welche Meldung bringt Avira wo? Lass auch noch OSAM laufen... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
12.04.2010, 14:54
| #28 |
| | Trojaner gefunden Trojan.PR.Ranky.YU veruscht zu löschen aber kommt immer wieder Hier der Osam log: Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 15:53:29 on 12.04.2010 OS: Windows XP Professional Service Pack 3 (Build 2600) Default Browser: Mozilla Corporation Firefox 3.5.9 Scanner Settings Rootkits detection (hidden registry) Rootkits detection (hidden files) Retrieve files information Check Microsoft signatures Filters Trusted entries Empty entries Hidden registry entries (rootkit activity) Exclusively opened files Not found files Files without detailed information Existing files Non-startable services Non-startable drivers Active entries Disabled entries Risk Name Publisher Full Path Status Common %SystemRoot%\Tasks |||| "AppleSoftwareUpdate.job" "Apple Inc." C:\Programme\Apple Software Update\SoftwareUpdate.exe File exists Control Panel Objects %SystemRoot%\system32 |||||| "DeathAdder.cpl" "Razer Inc." C:\WINDOWS.0\system32\DeathAdder.cpl File exists |||||| "infocardcpl.cpl" "Microsoft Corporation" C:\WINDOWS.0\system32\infocardcpl.cpl File exists |||||| "javacpl.cpl" "Sun Microsystems, Inc." C:\WINDOWS.0\system32\javacpl.cpl File exists |||||| "nvcpl.cpl" "NVIDIA Corporation" C:\WINDOWS.0\system32\nvcpl.cpl File exists |||||| "nvtuicpl.cpl" "NVIDIA Corporation" C:\WINDOWS.0\system32\nvtuicpl.cpl File exists |||||| "PhysX.cpl" "NVIDIA Corporation" C:\WINDOWS.0\system32\PhysX.cpl File exists |||||| "Tarantula.cpl" "Razer Inc." C:\WINDOWS.0\system32\Tarantula.cpl File exists HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls |||||| "Avira AntiVir Personal - Free Antivirus " "Avira GmbH" C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl File exists |||||| "Pando" "Pando Networks" C:\Programme\Pando Networks\Media Booster\PMB.cpl File exists |||||| "QuickTime" "Apple Inc." C:\Programme\QuickTime\QTSystem\QuickTime.cpl File exists |||||| "SMAX4CP" "Analog Devices, Inc." C:\Programme\Analog Devices\SoundMAX\SMax4.cpl File exists Drivers HKLM\SYSTEM\CurrentControlSet\Services "acedrv11" (acedrv11) "Protect Software GmbH" C:\WINDOWS.0\system32\drivers\acedrv11.sys File exists |||||| "Anchorfree HSS Adapter" (taphss) "AnchorFree Inc" C:\WINDOWS.0\System32\DRIVERS\taphss.sys File exists |||||| "atksgt" (atksgt) C:\WINDOWS.0\System32\DRIVERS\atksgt.sys File found, but it contains no detailed information "AVFSFilter" (AVFSFilter) C:\WINDOWS.0\System32\DRIVERS\avfsfilter.sys File not found |||||| "avgio" (avgio) "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\avgio.sys File exists |||||| "avgntflt" (avgntflt) "Avira GmbH" C:\WINDOWS.0\System32\DRIVERS\avgntflt.sys File exists |||||| "avipbb" (avipbb) "Avira GmbH" C:\WINDOWS.0\System32\DRIVERS\avipbb.sys File exists "catchme" (catchme) C:\ComboFix\catchme.sys File not found "Changer" (Changer) C:\WINDOWS.0\system32\drivers\Changer.sys File not found "i2omgmt" (i2omgmt) C:\WINDOWS.0\system32\drivers\i2omgmt.sys File not found "lbrtfdc" (lbrtfdc) C:\WINDOWS.0\system32\drivers\lbrtfdc.sys File not found |||||| "lirsgt" (lirsgt) C:\WINDOWS.0\System32\DRIVERS\lirsgt.sys File found, but it contains no detailed information "PCIDump" (PCIDump) C:\WINDOWS.0\system32\drivers\PCIDump.sys File not found "PDCOMP" (PDCOMP) C:\WINDOWS.0\system32\drivers\PDCOMP.sys File not found "PDFRAME" (PDFRAME) C:\WINDOWS.0\system32\drivers\PDFRAME.sys File not found "PDRELI" (PDRELI) C:\WINDOWS.0\system32\drivers\PDRELI.sys File not found "PDRFRAME" (PDRFRAME) C:\WINDOWS.0\system32\drivers\PDRFRAME.sys File not found |||||| "Razer Tarantula USB Keyboard" (TarFltr) "Waytech Development, Inc." C:\WINDOWS.0\System32\Drivers\UsbFltr.sys File exists |||||| "Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver" (RTLE8023xp) "Realtek Semiconductor Corporation " C:\WINDOWS.0\System32\DRIVERS\Rtenicxp.sys File exists |||||| "SASDIFSV" (SASDIFSV) "SUPERAdBlocker.com and SUPERAntiSpyware.com" C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS File exists |||||| "SASENUM" (SASENUM) " SUPERAdBlocker.com and SUPERAntiSpyware.com" C:\Programme\SUPERAntiSpyware\SASENUM.SYS File exists |||||| "SASKUTIL" (SASKUTIL) "SUPERAdBlocker.com and SUPERAntiSpyware.com" C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS File exists |||||| "sptd" (sptd) "Duplex Secure Ltd." C:\WINDOWS.0\System32\Drivers\sptd.sys File is exclusively opened, access blocked |||||| "SSHDRV76" (SSHDRV76) C:\WINDOWS.0\system32\drivers\SSHDRV76.sys File exists |||||| "ssmdrv" (ssmdrv) "Avira GmbH" C:\WINDOWS.0\System32\DRIVERS\ssmdrv.sys File exists "WDICA" (WDICA) C:\WINDOWS.0\system32\drivers\WDICA.sys File not found Explorer HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components |||||| {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" "Microsoft Corporation" C:\WINDOWS.0\system32\Rundll32.exe C:\WINDOWS.0\system32\mscories.dll,Install File exists HKLM\Software\Classes\Folder\shellex\ColumnHandlers |||||| {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" "Adobe Systems, Inc." C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll File exists HKLM\Software\Classes\Protocols\Filter |||||| {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" "Microsoft Corporation" C:\WINDOWS.0\system32\mscoree.dll File exists |||||| {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" "Microsoft Corporation" C:\WINDOWS.0\system32\mscoree.dll File exists |||||| {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" "Microsoft Corporation" C:\WINDOWS.0\system32\mscoree.dll File exists HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks |||||| {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} "SABShellExecuteHook Class" "SuperAdBlocker.com" C:\Programme\SUPERAntiSpyware\SASSEH.DLL File exists HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved |||||| {23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" "Igor Pavlov" C:\Programme\7-Zip\7-zip.dll File exists |||||| {6230EF55-8E71-4F40-861A-DBA282584FF5} "AVSVideoConverter Object" "Online Media Technologies Ltd." F:\Programme\AVSVideoConverter6\AVSVideoConverterShExt.dll File exists {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" deskpan.dll File not found |||||| {1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" "NVIDIA Corporation" C:\WINDOWS.0\system32\nvshell.dll File exists |||||| {1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" "NVIDIA Corporation" C:\WINDOWS.0\system32\nvshell.dll File exists |||||| {1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" "Microsoft Corporation" C:\WINDOWS.0\system32\mscoree.dll File exists {FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" File not found | COM-object registry key not found |||||| {B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" "Apple Inc." C:\Programme\iTunes\iTunesMiniPlayer.dll File exists {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" File not found | COM-object registry key not found |||||| {1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" "NVIDIA Corporation" C:\WINDOWS.0\system32\nvshell.dll File exists |||||| {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\shlext.dll File exists |||||| {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" "Microsoft Corporation" C:\WINDOWS.0\system32\dfshim.dll File exists {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" File not found | COM-object registry key not found |||||| {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" "Microsoft Corporation" C:\WINDOWS.0\system32\dfshim.dll File exists |||||| {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" "Alexander Roshal" C:\Programme\WinRAR\rarext.dll File exists Internet Explorer HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser "BearShare MediaBar" C:\Programme\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll File not found "DAEMON Tools Toolbar" C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll File exists ITBar7Height "ITBar7Height" File not found | COM-object registry key not found "ITBar7Layout" File not found | COM-object registry key not found "ITBarLayout" File not found | COM-object registry key not found "{A057A204-BACC-4D26-9990-79A187E2698E}" File not found | COM-object registry key not found HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units |||| {CAFEEFAC-0014-0002-0000-ABCDEFFEDCBA} "Java Plug-in 1.4.2" hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab "JavaSoft / Sun Microsystems, Inc." C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll File exists |||| {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_19" hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab "Sun Microsystems, Inc." F:\Programme\bin\npjpi160_19.dll File exists |||| {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} "Java Plug-in 1.6.0_19" hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab "Sun Microsystems, Inc." F:\Programme\bin\npjpi160_19.dll File exists |||| {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_19" hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab "Sun Microsystems, Inc." F:\Programme\bin\npjpi160_19.dll File exists |||| {1E54D648-B804-468d-BC78-4AFFED8E262E} "System Requirements Lab Class" hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab "Husdawg, LLC" C:\WINDOWS.0\Downloaded Program Files\sysreqlab_srl.dll File exists HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar "BearShare MediaBar" C:\Programme\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll File not found "DAEMON Tools Toolbar" C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll File exists HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |||| {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" "Sun Microsystems, Inc." F:\Programme\bin\jp2ssv.dll File exists |||| {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" "Sun Microsystems, Inc." F:\Programme\lib\deploy\jqs\ie\jqs_plugin.dll File exists Logon %AllUsersProfile%\Startmenü\Programme\Autostart |||||| "desktop.ini" C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Startmenü\Programme\Autostart\desktop.ini File exists %UserProfile%\Startmenü\Programme\Autostart "CurseClientStartup.ccip" C:\Dokumente und Einstellungen\daniel\Startmenü\Programme\Autostart\CurseClientStartup.ccip File exists |||||| "desktop.ini" C:\Dokumente und Einstellungen\daniel\Startmenü\Programme\Autostart\desktop.ini File exists HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "NCsoft Launcher" "NCSoft" C:\programme\ncsoft\launcher\NCLauncher.exe /Minimized File exists HKLM\Software\Microsoft\Windows\CurrentVersion\Run "Adobe ARM" "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" File not found "Adobe Reader Speed Launcher" "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" File not found |||||| "avgnt" "Avira GmbH" "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min File exists "DeathAdder" C:\Programme\Razer\DeathAdder\razerhid.exe File not found "HitmanPro35" "C:\Programme\Hitman Pro 3.5\HitmanPro35.exe" /scan:boot File not found "iTunesHelper" "C:\Programme\iTunes\iTunesHelper.exe" File not found |||| "nwiz" "NVIDIA Corporation" nwiz.exe /install File exists |||| "QuickTime Task" "Apple Inc." "C:\Programme\QuickTime\QTTask .exe" -atboottime File exists "SoundMAXPnP" C:\Programme\Analog Devices\Core\smax4pnp.exe File not found "SunJavaUpdateSched" "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" File not found "Tarantula" C:\Programme\Razer\Tarantula\razerhid.exe File not found Services HKLM\SYSTEM\CurrentControlSet\Services |||||| ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) "Microsoft Corporation" c:\WINDOWS.0\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe File exists |||||| "Apple Mobile Device" (Apple Mobile Device) "Apple Inc." C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe File exists |||||| "ASP.NET-Zustandsdienst" (aspnet_state) "Microsoft Corporation" C:\WINDOWS.0\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe File exists |||||| "Avira AntiVir Guard" (AntiVirService) "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\avguard.exe File exists |||||| "Avira AntiVir Planer" (AntiVirSchedulerService) "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\sched.exe File exists |||||| "Bonjour-Dienst" (Bonjour Service) "Apple Inc." C:\Programme\Bonjour\mDNSResponder.exe File exists |||| "InstallDriver Table Manager" (IDriverT) "Macrovision Corporation" C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe File exists |||||| "iPod-Dienst" (iPod Service) "Apple Inc." C:\Programme\iPod\bin\iPodService.exe File exists |||||| "Java Quick Starter" (JavaQuickStarterService) "Sun Microsystems, Inc." F:\Programme\bin\jqs.exe File exists |||||| "Windows CardSpace" (idsvc) "Microsoft Corporation" c:\WINDOWS.0\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe File exists |||||| "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) "Microsoft Corporation" c:\WINDOWS.0\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe File exists Winlogon HKCU\Control Panel\IOProcs "MVB" mvfs32.dll File not found HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |||||| "!SASWinLogon" "SUPERAntiSpyware.com" C:\Programme\SUPERAntiSpyware\SASWINLO.dll File exists |||| "WgaLogon" "Microsoft Corporation" C:\WINDOWS.0\system32\WgaLogon.dll File exists Winsock Providers HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries |||||| "mdnsNSP" "Apple Inc." C:\Programme\Bonjour\mdnsNSP.dll File exists If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru lg badabus |
|
12.04.2010, 14:58
| #29 |
| | Trojaner gefunden Trojan.PR.Ranky.YU veruscht zu löschen aber kommt immer wieder Hi, auch nichts aussergewöhnliches (ich werde hier noch zum Elch), was meldet Avira und wo? chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
12.04.2010, 14:59
| #30 |
| | Trojaner gefunden Trojan.PR.Ranky.YU veruscht zu löschen aber kommt immer wieder HIer avira bericht: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 12. April 2010 15:42 Es wird nach 1988803 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : DANIEL-JATRAUNI Versionsinformationen: BUILD.DAT : 10.0.0.561 32098 Bytes 18.03.2010 15:35:00 AVSCAN.EXE : 10.0.2.3 433832 Bytes 07.03.2010 15:57:03 AVSCAN.DLL : 10.0.2.0 55144 Bytes 15.02.2010 14:03:11 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 20:55:50 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 20:55:50 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 20:55:51 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 20:55:51 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 20:55:51 VBASE005.VDF : 7.10.4.204 2048 Bytes 05.03.2010 20:55:51 VBASE006.VDF : 7.10.4.205 2048 Bytes 05.03.2010 20:55:51 VBASE007.VDF : 7.10.4.206 2048 Bytes 05.03.2010 20:55:51 VBASE008.VDF : 7.10.4.207 2048 Bytes 05.03.2010 20:55:51 VBASE009.VDF : 7.10.4.208 2048 Bytes 05.03.2010 20:55:51 VBASE010.VDF : 7.10.4.209 2048 Bytes 05.03.2010 20:55:51 VBASE011.VDF : 7.10.4.210 2048 Bytes 05.03.2010 20:55:51 VBASE012.VDF : 7.10.4.211 2048 Bytes 05.03.2010 20:55:51 VBASE013.VDF : 7.10.4.242 153088 Bytes 08.03.2010 20:55:51 VBASE014.VDF : 7.10.5.17 99328 Bytes 10.03.2010 20:55:51 VBASE015.VDF : 7.10.5.44 107008 Bytes 11.03.2010 20:55:51 VBASE016.VDF : 7.10.5.69 92672 Bytes 12.03.2010 20:55:51 VBASE017.VDF : 7.10.5.91 119808 Bytes 15.03.2010 20:55:51 VBASE018.VDF : 7.10.5.121 112640 Bytes 18.03.2010 20:55:51 VBASE019.VDF : 7.10.5.138 139776 Bytes 18.03.2010 07:18:08 VBASE020.VDF : 7.10.5.164 113152 Bytes 22.03.2010 07:18:08 VBASE021.VDF : 7.10.5.182 108032 Bytes 23.03.2010 07:18:08 VBASE022.VDF : 7.10.5.199 123904 Bytes 24.03.2010 07:18:09 VBASE023.VDF : 7.10.5.217 279552 Bytes 25.03.2010 07:18:09 VBASE024.VDF : 7.10.5.234 202240 Bytes 26.03.2010 07:18:09 VBASE025.VDF : 7.10.5.254 187904 Bytes 30.03.2010 07:18:10 VBASE026.VDF : 7.10.6.18 130560 Bytes 01.04.2010 07:18:10 VBASE027.VDF : 7.10.6.34 136192 Bytes 06.04.2010 07:18:10 VBASE028.VDF : 7.10.6.44 232448 Bytes 07.04.2010 07:18:11 VBASE029.VDF : 7.10.6.45 2048 Bytes 07.04.2010 07:18:11 VBASE030.VDF : 7.10.6.46 2048 Bytes 07.04.2010 07:18:11 VBASE031.VDF : 7.10.6.56 122368 Bytes 11.04.2010 07:18:11 Engineversion : 8.2.1.210 AEVDF.DLL : 8.1.1.3 106868 Bytes 11.04.2010 20:55:52 AESCRIPT.DLL : 8.1.3.24 1282425 Bytes 12.04.2010 07:18:14 AESCN.DLL : 8.1.5.0 127347 Bytes 11.04.2010 20:55:52 AESBX.DLL : 8.1.2.1 254323 Bytes 11.04.2010 20:55:52 AERDL.DLL : 8.1.4.3 541043 Bytes 11.04.2010 20:55:52 AEPACK.DLL : 8.2.1.1 426358 Bytes 12.04.2010 07:18:13 AEOFFICE.DLL : 8.1.0.41 201083 Bytes 11.04.2010 20:55:52 AEHEUR.DLL : 8.1.1.16 2503031 Bytes 12.04.2010 07:18:13 AEHELP.DLL : 8.1.11.3 242039 Bytes 12.04.2010 07:18:12 AEGEN.DLL : 8.1.3.6 373108 Bytes 12.04.2010 07:18:12 AEEMU.DLL : 8.1.1.0 393587 Bytes 11.04.2010 20:55:51 AECORE.DLL : 8.1.13.1 188790 Bytes 12.04.2010 07:18:11 AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40 AVREG.DLL : 10.0.1.2 52072 Bytes 29.01.2010 09:47:36 AVSCPLR.DLL : 10.0.2.3 83304 Bytes 07.03.2010 16:02:25 AVARKT.DLL : 10.0.0.13 227176 Bytes 07.03.2010 15:48:35 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08 RCTEXT.DLL : 10.0.46.0 98664 Bytes 05.03.2010 08:09:35 Konfiguration für den aktuellen Suchlauf: Job Name..............................: avguard_async_scan Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_cf504f51\guard_slideup.avp Protokollierung.......................: niedrig Primäre Aktion........................: reparieren Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Abweichende Gefahrenkategorien........: +APPL, Beginn des Suchlaufs: Montag, 12. April 2010 15:42 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dfsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WgaTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\WINDOWS.0\Fonts\5Wpt60QJ.com_' C:\WINDOWS.0\Fonts\5Wpt60QJ.com_ [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e3b82df.qua' verschoben! Ende des Suchlaufs: Montag, 12. April 2010 15:42 Benötigte Zeit: 00:09 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 29 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 28 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 1 Hinweise Die Suchergebnisse werden an den Guard übermittelt. |
|
| Themen zu Trojaner gefunden Trojan.PR.Ranky.YU veruscht zu löschen aber kommt immer wieder |
| adobe, antivir, antivir guard, ask toolbar, avg, avira, bho, bonjour, desktop, einstellungen, explorer, fehlermeldung, festplatte, festplatte c, firefox, hijackthis, hkus\s-1-5-18, internet, internet explorer, jusched.exe, kommt immer wieder, mozilla, pando media booster, plug-in, rojaner gefunden, rundll, softonic, software, spielen, starten, starten., system, trojaner, trojaner gefunden, windows, windows xp |
Linear-Darstellung
