|
Plagegeister aller Art und deren Bekämpfung: RKIT/Bubnix.S HILFEWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
14.05.2010, 13:19 | #1 |
| RKIT/Bubnix.S HILFE Hi, hab ein Problem mit dem Fund RKIT/Bubnix.S... Hier mal die Scans von Malewarebytes, OTL, Antivir. Bitte dringend um Hilfe!!! Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4099 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.2096 14.05.2010 14:17:23 mbam-log-2010-05-14 (14-17-23).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 141976 Laufzeit: 6 Minute(n), 54 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINDOWS\system32\antiwpa.dll (Trojan.I.Stole.Windows) -> No action taken. Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\antiwpa.dll (Trojan.I.Stole.Windows) -> No action taken. -------------------------------------------------------------------------- OTL logfile created on: 14.05.2010 13:27:50 - Run 1 OTL by OldTimer - Version 3.2.4.1 Folder = C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2096) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 85,00% Memory free 5,00 Gb Paging File | 5,00 Gb Available in Paging File | 93,00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 48,83 Gb Total Space | 40,30 Gb Free Space | 82,53% Space Free | Partition Type: NTFS Drive D: | 416,92 Gb Total Space | 407,68 Gb Free Space | 97,78% Space Free | Partition Type: NTFS E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: PC Current User Name: Administrator Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH) PRC - C:\Programme\TeamViewer3\TeamViewer.exe (TeamViewer GmbH) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe (Brother Industries, Ltd.) PRC - C:\Programme\Brother\ControlCenter3\BrccMCtl.exe (Brother Industries, Ltd.) PRC - C:\Programme\Brother\Brmfcmon\BrMfcMon.exe (Brother Industries, Ltd.) PRC - C:\Programme\ScanSoft\PaperPort\pptd40nt.exe (Nuance Communications, Inc.) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools) MOD - C:\Programme\TeamViewer3\TV.dll (TeamViewer GmbH) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation) SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation) ========== Driver Services (SafeList) ========== DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\USBAUDIO.sys (Microsoft Corporation) DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider) DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.) DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation) DRV - (nvnetbus) -- C:\WINDOWS\system32\drivers\nvnetbus.sys (NVIDIA Corporation) DRV - (NVENETFD) -- C:\WINDOWS\system32\drivers\NVENETFD.sys (NVIDIA Corporation) DRV - (BrScnUsb) -- C:\WINDOWS\system32\drivers\BrScnUsb.sys (Brother Industries Ltd.) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\..\URLSearchHook: {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Programme\Softonic_Deutsch\tbSoft.dll (Conduit Ltd.) IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.startup.homepage: "www.spiegel.de" FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.1.3 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {AB2CE124-6272-4b12-94A9-7303C7397BD1}:4.2.0.5198 FF - HKLM\software\mozilla\Firefox\extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\Program Files\Real\RealPlayer\browserrecord [2008.12.14 21:51:07 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.04.03 08:43:22 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.04.03 08:43:22 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.03.18 19:49:15 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2010.03.19 14:05:42 | 000,000,000 | ---D | M] [2008.06.05 01:45:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions [2010.05.13 21:30:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a741i4id.default\extensions [2010.03.18 19:26:31 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a741i4id.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} [2010.05.13 21:30:52 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.03.18 19:04:21 | 000,000,000 | ---D | M] (Skype extension for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} [2010.03.13 13:52:43 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.03.13 13:52:43 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.03.13 13:52:43 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.03.13 13:52:43 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.03.13 13:52:43 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2006.02.28 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll (RealPlayer) O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.) O2 - BHO: (Softonic Deutsch Toolbar) - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Programme\Softonic_Deutsch\tbSoft.dll (Conduit Ltd.) O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (Google Inc.) O3 - HKLM\..\Toolbar: (Softonic Deutsch Toolbar) - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Programme\Softonic_Deutsch\tbSoft.dll (Conduit Ltd.) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe (Brother Industries, Ltd.) O4 - HKLM..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.) O4 - HKLM..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe (Nuance Communications, Inc.) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe () O4 - HKLM..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe (Nuance Communications, Inc.) O4 - HKLM..\Run: [PPort11reminder] C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe (Nuance Communications, Inc.) O4 - HKLM..\Run: [SkyTel] C:\WINDOWS\SkyTel.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Nuance Communications, Inc.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\phase-6 Reminder.lnk = C:\Programme\phase-6\phase-6\reminder\reminder.exe (phase-6) O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Main present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktopCleanupWizard = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoInternetOpenWith = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoInternetIcon = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuPinnedList = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMConfigurePrograms = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation) O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation) O13 - ftp Prefix: missing O13 - gopher Prefix: missing O13 - home Prefix: missing O13 - mosaic Prefix: missing O13 - www Prefix: missing O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11) O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\Antiwpa: DllName - antiwpa.dll - C:\WINDOWS\System32\antiwpa.dll () O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2008.06.05 01:11:26 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.05.14 12:31:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\TeamViewer [2010.05.14 12:30:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\CSC [2010.05.14 11:14:43 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Recent [2010.05.14 10:40:52 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss [2010.05.14 10:12:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes [2010.05.14 10:12:02 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.05.14 10:12:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.05.14 10:12:00 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.05.14 10:12:00 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.05.14 09:51:30 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData [2010.05.14 09:49:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Avira [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.05.14 13:28:53 | 000,755,200 | ---- | M] () -- C:\WINDOWS\System32\drivers\dgsri.sys [2010.05.14 13:25:58 | 000,001,044 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job [2010.05.14 13:25:41 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2010.05.14 13:25:38 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.05.14 13:25:36 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.05.14 13:25:04 | 003,407,872 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT [2010.05.14 13:11:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2010.05.14 12:40:12 | 000,314,014 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.05.14 12:40:12 | 000,309,402 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.05.14 12:40:12 | 000,046,696 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.05.14 12:40:12 | 000,038,838 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.05.14 12:40:12 | 000,001,184 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.05.14 12:34:22 | 000,002,278 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.05.14 12:34:21 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Administrator\ntuser.ini [2010.05.14 12:31:08 | 000,000,196 | -HS- | M] () -- C:\boot.ini [2010.05.13 21:20:53 | 000,000,016 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\qvjsge.dat [2010.05.12 13:17:03 | 000,002,503 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Microsoft Office Word 2007.lnk [2010.04.29 22:15:47 | 000,300,048 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\LS 3; HP 4.docx [2010.04.29 20:04:41 | 000,002,243 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk [2010.04.29 15:39:38 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.04.29 15:39:26 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.04.20 19:13:54 | 000,001,893 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk [2010.04.18 09:55:14 | 000,012,714 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\vier. Gruppenraum oben,1docx.docx [2010.04.15 22:06:08 | 000,003,584 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.05.13 21:21:17 | 000,755,200 | ---- | C] () -- C:\WINDOWS\System32\drivers\dgsri.sys [2010.05.13 21:20:53 | 000,000,016 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\qvjsge.dat [2010.04.20 19:13:54 | 000,001,893 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk [2010.04.18 09:55:13 | 000,012,714 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\vier. Gruppenraum oben,1docx.docx [2010.04.15 22:06:08 | 000,003,584 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2008.12.14 14:48:03 | 000,001,795 | ---- | C] () -- C:\WINDOWS\if42le.ini [2008.12.14 14:48:03 | 000,000,296 | ---- | C] () -- C:\WINDOWS\Pexplore.ini [2008.06.05 03:10:44 | 000,000,425 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI [2008.06.05 03:10:44 | 000,000,027 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI [2008.06.05 03:06:55 | 000,031,664 | ---- | C] () -- C:\WINDOWS\maxlink.ini [2008.06.05 03:00:27 | 000,000,034 | ---- | C] () -- C:\WINDOWS\cdplayer.ini [2008.06.05 02:50:56 | 000,005,376 | ---- | C] () -- C:\WINDOWS\System32\antiwpa.dll [2007.04.20 15:32:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll [2007.04.20 15:32:00 | 001,474,560 | ---- | C] () -- C:\WINDOWS\System32\nview.dll [2007.04.20 15:32:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll [2007.04.20 15:32:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll [2007.04.20 15:32:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll < End of report > -------------------------------------------------------------------------- Avira AntiVir Personal Erstellungsdatum der Reportdatei: Freitag, 14. Mai 2010 12:46 Es wird nach 2114554 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : PC Versionsinformationen: BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00 AVSCAN.EXE : 10.0.3.0 433832 Bytes 20.04.2010 16:49:24 AVSCAN.DLL : 10.0.3.0 56168 Bytes 20.04.2010 16:49:24 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:55:32 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 08:55:32 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 19:43:35 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 17:06:25 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 20:59:53 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 16:49:24 VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 16:49:24 VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 16:49:24 VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 16:49:24 VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 16:49:24 VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 16:49:24 VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 16:49:24 VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 16:49:24 VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 16:49:24 VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 16:49:24 VBASE015.VDF : 7.10.6.152 123392 Bytes 21.04.2010 21:47:24 VBASE016.VDF : 7.10.6.178 122880 Bytes 22.04.2010 15:12:45 VBASE017.VDF : 7.10.6.206 120320 Bytes 26.04.2010 15:12:46 VBASE018.VDF : 7.10.6.232 99328 Bytes 28.04.2010 15:12:46 VBASE019.VDF : 7.10.7.2 155648 Bytes 30.04.2010 15:12:47 VBASE020.VDF : 7.10.7.26 119808 Bytes 04.05.2010 15:12:48 VBASE021.VDF : 7.10.7.51 118272 Bytes 06.05.2010 15:12:48 VBASE022.VDF : 7.10.7.75 404992 Bytes 10.05.2010 15:12:50 VBASE023.VDF : 7.10.7.76 2048 Bytes 10.05.2010 15:12:50 VBASE024.VDF : 7.10.7.77 2048 Bytes 10.05.2010 15:12:50 VBASE025.VDF : 7.10.7.78 2048 Bytes 10.05.2010 15:12:50 VBASE026.VDF : 7.10.7.79 2048 Bytes 10.05.2010 15:12:50 VBASE027.VDF : 7.10.7.80 2048 Bytes 10.05.2010 15:12:51 VBASE028.VDF : 7.10.7.81 2048 Bytes 10.05.2010 15:12:51 VBASE029.VDF : 7.10.7.82 2048 Bytes 10.05.2010 15:12:51 VBASE030.VDF : 7.10.7.83 2048 Bytes 10.05.2010 15:12:51 VBASE031.VDF : 7.10.7.98 127488 Bytes 14.05.2010 07:50:27 Engineversion : 8.2.1.242 AEVDF.DLL : 8.1.2.0 106868 Bytes 11.05.2010 15:12:59 AESCRIPT.DLL : 8.1.3.29 1343866 Bytes 14.05.2010 07:50:32 AESCN.DLL : 8.1.6.1 127347 Bytes 14.05.2010 07:50:30 AESBX.DLL : 8.1.3.1 254324 Bytes 11.05.2010 15:13:00 AERDL.DLL : 8.1.4.6 541043 Bytes 20.04.2010 16:49:24 AEPACK.DLL : 8.2.1.1 426358 Bytes 28.03.2010 14:51:56 AEOFFICE.DLL : 8.1.1.0 201081 Bytes 14.05.2010 07:50:29 AEHEUR.DLL : 8.1.1.27 2670967 Bytes 11.05.2010 15:12:58 AEHELP.DLL : 8.1.11.3 242039 Bytes 14.04.2010 16:53:30 AEGEN.DLL : 8.1.3.9 377203 Bytes 14.05.2010 07:50:29 AEEMU.DLL : 8.1.2.0 393588 Bytes 11.05.2010 15:12:54 AECORE.DLL : 8.1.15.3 192886 Bytes 14.05.2010 07:50:28 AEBB.DLL : 8.1.1.0 53618 Bytes 11.05.2010 15:12:52 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40 AVREG.DLL : 10.0.3.0 53096 Bytes 20.04.2010 16:49:24 AVSCPLR.DLL : 10.0.3.0 83816 Bytes 20.04.2010 16:49:24 AVARKT.DLL : 10.0.0.14 227176 Bytes 20.04.2010 16:49:24 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08 RCTEXT.DLL : 10.0.53.0 98152 Bytes 20.04.2010 16:49:24 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Freitag, 14. Mai 2010 12:46 Der Suchlauf nach versteckten Objekten wird begonnen. HKEY_USERS\S-1-5-21-583907252-1532298954-682003330-500\Software\SecuROM\License information\datasecu [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_USERS\S-1-5-21-583907252-1532298954-682003330-500\Software\SecuROM\License information\rkeysecu [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dgsri\type [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dgsri\start [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dgsri\errorcontrol [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dgsri\group [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dgsri\group HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dgsri\iaq7itxn4 [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dgsri\kngs7m [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dgsri\e6aln6l2 [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet002\Services\dgsri\type [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet002\Services\dgsri\start [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet002\Services\dgsri\errorcontrol [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet002\Services\dgsri\iaq7itxn4 [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet002\Services\dgsri\kngs7m [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet002\Services\dgsri\e6aln6l2 [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'rsmsink.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '72' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '65' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'msdtc.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '61' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'notepad.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'TeamViewer.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '19' Modul(e) wurden durchsucht Durchsuche Prozess 'TeamViewer_Host.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '74' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '56' Modul(e) wurden durchsucht Durchsuche Prozess 'BrMfcmon.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'brccMCtl.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'BrMfcWnd.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'pptd40nt.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.EXE' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'RUNDLL32.EXE' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '99' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '133' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '65' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD3 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '326' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <System> C:\WINDOWS\system32\drivers\dgsri.sys [FUND] Enthält Erkennungsmuster des Rootkits RKIT/Bubnix.S Beginne mit der Suche in 'D:\' <Daten> Beginne mit der Desinfektion: C:\WINDOWS\system32\drivers\dgsri.sys [FUND] Enthält Erkennungsmuster des Rootkits RKIT/Bubnix.S [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f159e03.qua' verschoben! Ende des Suchlaufs: Freitag, 14. Mai 2010 13:16 Benötigte Zeit: 12:40 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 3521 Verzeichnisse wurden überprüft 206127 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 206126 Dateien ohne Befall 1646 Archive wurden durchsucht 0 Warnungen 0 Hinweise 201015 Objekte wurden beim Rootkitscan durchsucht 16 Versteckte Objekte wurden gefunden |
14.05.2010, 13:26 | #2 |
/// Selecta Jahrusso | RKIT/Bubnix.S HILFE C:\WINDOWS\system32\antiwpa.dll (Trojan.I.Stole.Windows) -> No action taken.
__________________Lege dir ein originales Windows zu, dann werden, können und dürfen wir Dir helfen.
__________________ |
14.05.2010, 16:48 | #3 |
| RKIT/Bubnix.S HILFE ....Hab den PC von jemandem bekommen...da war das Windows so drauf wie es ist....keinen Schimmer was antiwpa.dll ist..
__________________Keine Hilfe? |
Themen zu RKIT/Bubnix.S HILFE |
.com, 0 bytes, 0x00000001, adblock, avgntflt.sys, avira, bho, components, conduit, controlset002, desktop, dllhost.exe, dringend, einstellungen, excel.exe, firefox, firefox 3.6.3, format, ftp, google, gruppe, helper, hilfe!!, location, logfile, microsoft office word, mozilla, mozilla thunderbird, notepad.exe, nt.dll, object, oldtimer, otl.exe, plug-in, problem, realtek, registry, rundll, sched.exe, searchplugins, senden, server, server 2003, services.exe, softonic, softonic deutsch toolbar, software, svchost.exe, system, versteckte objekte, verweise, virus gefunden |