|
Log-Analyse und Auswertung: Ist der Wurm weg??Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
04.06.2010, 12:59 | #1 |
| Ist der Wurm weg?? Ich hab gestern beim Anstecken meines USB-Sticks auf einem anderen Computer eine Virenwarnung bekommen über Conficker.Z.37 auf dem Stick. Das Virenprogramm (Antivir) hat den Wurm dann gelöscht. Als ich den Stick dann an meinem Laptop angesteckt hab (dumm, ich weiß) hab ich ihn gescannt und Wurm wieder gefunden und abermals gelöscht. Ich hab sofort den Computer mit Antivir, dann Malwarebytes und Spybot gescannt und zwar ein paar wenige Sachen gefunden (Trojaner Trash.Gen und noch irgendwas, waren aber wahrscheinlich Fehlalarme), aber den Wurm hab ich nicht gesehen. Ich hab auch keine Probleme mit Passwörtern oder Zugriff auf Antivirus-Seiten, was ja beides Symptome eines Befalls sein sollen. Trotzdem bin ich mir nicht sicher, ob ich das Ding los bin. Deshalb hier mein HijackThis-File. Ich bitte um ÜBerprüfung! Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 13:50:02, on 04.06.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\Programme\Sygate\SPF\smc.exe E:\WINDOWS\system32\LEXBCES.EXE E:\WINDOWS\system32\spoolsv.exe E:\WINDOWS\system32\LEXPPS.EXE e:\programme\idt\wdm\STacSV.exe E:\Programme\Avira\AntiVir Desktop\sched.exe E:\Programme\LSI SoftModem\agrsmsvc.exe E:\Programme\Avira\AntiVir Desktop\avguard.exe E:\Programme\Java\jre6\bin\jqs.exe E:\WINDOWS\system32\svchost.exe E:\Programme\Avira\AntiVir Desktop\avshadow.exe E:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe E:\WINDOWS\Explorer.EXE E:\Programme\Avira\AntiVir Desktop\avgnt.exe E:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe E:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe E:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe E:\WINDOWS\system32\ctfmon.exe E:\Programme\Spybot - Search & Destroy\TeaTimer.exe E:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe E:\WINDOWS\system32\wbem\wmiapsrv.exe E:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe E:\Programme\Mozilla Firefox\firefox.exe E:\WINDOWS\system32\taskmgr.exe E:\Programme\Hewlett-Packard\Shared\hpqToaster.exe E:\Dokumente und Einstellungen\Heid\Desktop\HiJackThis204.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1FD79A59-37B1-459B-9097-09F9FAB8A523} - (no file) O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [QlbCtrl.exe] E:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start O4 - HKLM\..\Run: [SmcService] E:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [WirelessAssistant] E:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - E:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Senden an Bluetooth - E:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - E:\Programme\ICQ7.0\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - E:\Programme\ICQ7.0\ICQ.exe O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - E:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - E:\WINDOWS\system32\browseui.dll O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - E:\Programme\LSI SoftModem\agrsmsvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - E:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - E:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - E:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - E:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - E:\Programme\Sygate\SPF\smc.exe O23 - Service: Audio Service (STacSV) - IDT, Inc. - e:\programme\idt\wdm\STacSV.exe -- End of file - 6781 bytes |
05.06.2010, 23:04 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Ist der Wurm weg?? Hallo,
__________________poste auch die anderen Logfiles, insbesondere das von Malwarebytes!
__________________ |
06.06.2010, 15:49 | #3 |
| Ist der Wurm weg?? Hier das Antivir-Log:
__________________Code:
ATTFilter Avira AntiVir Personal Erstellungsdatum der Reportdatei: Sonntag, 6. Juni 2010 13:59 Es wird nach 2189644 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : CASTOR2 Versionsinformationen: BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00 AVSCAN.EXE : 10.0.3.0 433832 Bytes 19.04.2010 18:07:47 AVSCAN.DLL : 10.0.3.0 56168 Bytes 19.04.2010 18:07:47 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 22:54:20 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 22:54:35 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 22:54:39 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 09:07:42 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 09:46:49 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 10:51:21 VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 10:51:21 VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 10:51:21 VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 10:51:21 VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 10:51:21 VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 10:51:21 VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 10:51:22 VBASE013.VDF : 7.10.7.225 2048 Bytes 02.06.2010 10:51:22 VBASE014.VDF : 7.10.7.226 2048 Bytes 02.06.2010 10:51:22 VBASE015.VDF : 7.10.7.227 2048 Bytes 02.06.2010 10:51:22 VBASE016.VDF : 7.10.7.228 2048 Bytes 02.06.2010 10:51:22 VBASE017.VDF : 7.10.7.229 2048 Bytes 02.06.2010 10:51:22 VBASE018.VDF : 7.10.7.230 2048 Bytes 02.06.2010 10:51:22 VBASE019.VDF : 7.10.7.231 2048 Bytes 02.06.2010 10:51:23 VBASE020.VDF : 7.10.7.232 2048 Bytes 02.06.2010 10:51:23 VBASE021.VDF : 7.10.7.233 2048 Bytes 02.06.2010 10:51:23 VBASE022.VDF : 7.10.7.234 2048 Bytes 02.06.2010 10:51:23 VBASE023.VDF : 7.10.7.235 2048 Bytes 02.06.2010 10:51:23 VBASE024.VDF : 7.10.7.236 2048 Bytes 02.06.2010 10:51:24 VBASE025.VDF : 7.10.7.237 2048 Bytes 02.06.2010 10:51:24 VBASE026.VDF : 7.10.7.238 2048 Bytes 02.06.2010 10:51:24 VBASE027.VDF : 7.10.7.239 2048 Bytes 02.06.2010 10:51:24 VBASE028.VDF : 7.10.7.240 2048 Bytes 02.06.2010 10:51:25 VBASE029.VDF : 7.10.7.241 2048 Bytes 02.06.2010 10:51:25 VBASE030.VDF : 7.10.7.242 2048 Bytes 02.06.2010 10:51:26 VBASE031.VDF : 7.10.7.251 73728 Bytes 04.06.2010 09:32:37 Engineversion : 8.2.2.6 AEVDF.DLL : 8.1.2.0 106868 Bytes 26.04.2010 10:53:52 AESCRIPT.DLL : 8.1.3.31 1352058 Bytes 02.06.2010 09:07:49 AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 09:40:00 AESBX.DLL : 8.1.3.1 254324 Bytes 26.04.2010 10:53:53 AERDL.DLL : 8.1.4.6 541043 Bytes 16.04.2010 09:47:04 AEPACK.DLL : 8.2.1.1 426358 Bytes 26.03.2010 13:25:38 AEOFFICE.DLL : 8.1.1.0 201081 Bytes 13.05.2010 09:40:00 AEHEUR.DLL : 8.1.1.33 2724214 Bytes 05.06.2010 09:32:43 AEHELP.DLL : 8.1.11.5 242038 Bytes 02.06.2010 09:07:40 AEGEN.DLL : 8.1.3.10 377205 Bytes 02.06.2010 09:07:39 AEEMU.DLL : 8.1.2.0 393588 Bytes 26.04.2010 10:53:49 AECORE.DLL : 8.1.15.3 192886 Bytes 13.05.2010 09:39:59 AEBB.DLL : 8.1.1.0 53618 Bytes 26.04.2010 10:53:48 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40 AVREG.DLL : 10.0.3.0 53096 Bytes 19.04.2010 18:07:47 AVSCPLR.DLL : 10.0.3.0 83816 Bytes 19.04.2010 18:07:47 AVARKT.DLL : 10.0.0.14 227176 Bytes 19.04.2010 18:07:47 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08 RCTEXT.DLL : 10.0.53.0 98152 Bytes 19.04.2010 18:07:47 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: e:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, E:, Z:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Optimierter Suchlauf..................: ein Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Auszulassende Dateien.................: Z:, Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Sonntag, 6. Juni 2010 13:59 Der Suchlauf nach versteckten Objekten wird begonnen. HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\RNG\seed [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'WINWORD.EXE' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'msdtc.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '66' Modul(e) wurden durchsucht Durchsuche Prozess 'mbam.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqToaster.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'Com4QLBEx.exe' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqwmiex.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '80' Modul(e) wurden durchsucht Durchsuche Prozess 'TeaTimer.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '24' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '19' Modul(e) wurden durchsucht Durchsuche Prozess 'HPWAMain.exe' - '66' Modul(e) wurden durchsucht Durchsuche Prozess 'QlbCtrl.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '88' Modul(e) wurden durchsucht Durchsuche Prozess 'btwdins.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '85' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'agrsmsvc.exe' - '10' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'STacSV.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'LEXPPS.EXE' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'LEXBCES.EXE' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'smc.exe' - '83' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '166' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '73' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'Z:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '1680' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' Beginne mit der Suche in 'E:\' Beginne mit der Suche in 'Z:\' <Volume> Ende des Suchlaufs: Sonntag, 6. Juni 2010 14:58 Benötigte Zeit: 58:27 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 7040 Verzeichnisse wurden überprüft 277945 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 277945 Dateien ohne Befall 1248 Archive wurden durchsucht 0 Warnungen 0 Hinweise 494809 Objekte wurden beim Rootkitscan durchsucht 2 Versteckte Objekte wurden gefunden Code:
ATTFilter Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4167 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 06.06.2010 15:47:37 mbam-log-2010-06-06 (15-47-37).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|G:\|Z:\|) Durchsuchte Objekte: 233078 Laufzeit: 47 Minute(n), 1 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
06.06.2010, 19:41 | #4 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Ist der Wurm weg?? Sieht rel. unauffällig aus. Auch die versteckten Objekte, die AntiVir fand. Zitat:
Probier jetzt mal Logs mit GMER und OSAM zu erstellen. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus.
__________________ Logfiles bitte immer in CODE-Tags posten |
06.06.2010, 20:03 | #5 |
| Ist der Wurm weg?? Hier das OSAM-Log: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 21:01:05 on 06.06.2010 OS: Windows XP Home Edition Service Pack 3 (Build 2600) Default Browser: Mozilla Corporation Firefox 3.6.3 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "AppleSoftwareUpdate.job" - "Apple Inc." - E:\Programme\Apple Software Update\SoftwareUpdate.exe "RealUpgradeLogonTaskS-1-5-21-776561741-682003330-839522115-1004.job" - "RealNetworks, Inc." - E:\Programme\Real\RealUpgrade\realupgrade.exe "RealUpgradeScheduledTaskS-1-5-21-776561741-682003330-839522115-1004.job" - "RealNetworks, Inc." - E:\Programme\Real\RealUpgrade\realupgrade.exe [Control Panel Objects] -----( %SystemRoot%\system32 )----- "btcpl.cpl" - "Broadcom Corporation." - E:\WINDOWS\system32\btcpl.cpl "infocardcpl.cpl" - "Microsoft Corporation" - E:\WINDOWS\system32\infocardcpl.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - E:\WINDOWS\system32\javacpl.cpl "TWEAKUI.CPL" - "Microsoft Corporation" - E:\WINDOWS\system32\TWEAKUI.CPL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - E:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl "Cm106cpl" - "C-Media Corporation" - E:\WINDOWS\System\cm106.cpl "QuickTime" - "Apple Inc." - E:\Programme\QuickTime\QTSystem\QuickTime.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "avgio" (avgio) - "Avira GmbH" - E:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - E:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - E:\WINDOWS\System32\DRIVERS\avipbb.sys "Changer" (Changer) - ? - E:\WINDOWS\system32\drivers\Changer.sys (File not found) "i2omgmt" (i2omgmt) - ? - E:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "lbrtfdc" (lbrtfdc) - ? - E:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "PCIDump" (PCIDump) - ? - E:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - E:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - E:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - E:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - E:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "ssmdrv" (ssmdrv) - "Avira GmbH" - E:\WINDOWS\System32\DRIVERS\ssmdrv.sys "SyGate for NT, wg3n" (wg3n) - "Sygate Technologies, Inc." - E:\WINDOWS\SYSTEM32\Drivers\wg3n.sys "SyGate for NT, wg4n" (wg4n) - "Sygate Technologies, Inc." - E:\WINDOWS\SYSTEM32\Drivers\wg4n.sys "SyGate for NT, wg5n" (wg5n) - "Sygate Technologies, Inc." - E:\WINDOWS\SYSTEM32\Drivers\wg5n.sys "SyGate for NT, wg6n" (wg6n) - "Sygate Technologies, Inc." - E:\WINDOWS\SYSTEM32\Drivers\wg6n.sys "Teefer for NT" (Teefer) - "Sygate Technologies, Inc." - E:\WINDOWS\System32\Drivers\Teefer.sys "USB Multi-Channel Audio Device Interface" (USBMULCD) - "C-Media Electronics Inc" - E:\WINDOWS\System32\drivers\CM106.sys "WDICA" (WDICA) - ? - E:\WINDOWS\system32\drivers\WDICA.sys (File not found) "wpsdrvnt" (wpsdrvnt) - "Sygate Technologies, Inc." - E:\WINDOWS\system32\drivers\wpsdrvnt.sys [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - E:\WINDOWS\system32\Rundll32.exe E:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - E:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - E:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - E:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - E:\WINDOWS\system32\mscoree.dll -----( HKLM\Software\Classes\Protocols\Handler )----- {3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - E:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - E:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL {CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - E:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {6af09ec9-b429-11d4-a1fb-0090960218cb} "Bluetooth-Umgebung" - "Broadcom Corporation." - E:\WINDOWS\system32\BTNEIG~1.DLL {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - E:\Programme\Microsoft Office\Office10\msohev.dll {7842554E-6BED-11D2-8CDB-B05550C10000} "Monitor Class" - "Broadcom Corporation." - E:\WINDOWS\system32\btncopy.dll {F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - E:\Programme\Real\RealPlayer\rpshell.dll {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - E:\Programme\Avira\AntiVir Desktop\shlext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - E:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - E:\WINDOWS\system32\dfshim.dll {5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - "Advanced Micro Devices, Inc." - E:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - E:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - E:\Programme\WinRAR\rarext.dll [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - E:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - E:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - E:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- "@btrez.dll,-4015" - ? - E:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm {53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - E:\PROGRA~1\SPYBOT~1\SDHelper.dll "ICQ7" - "ICQ, LLC." - E:\Programme\ICQ7.0\ICQ.exe -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader Link Helper" - "Adobe Systems Incorporated" - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - E:\Programme\Java\jre6\bin\jp2ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - E:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll {3049C3E9-B461-4BC5-8870-4C09146192CA} "RealPlayer Download and Record Plugin for Internet Explorer" - "RealPlayer" - E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll {53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - E:\PROGRA~1\SPYBOT~1\SDHelper.dll {1FD79A59-37B1-459B-9097-09F9FAB8A523} "{1FD79A59-37B1-459B-9097-09F9FAB8A523}" - ? - (File not found | COM-object registry key not found) [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - E:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - E:\Dokumente und Einstellungen\Heid\Startmenü\Programme\Autostart\desktop.ini -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "SpybotSD TeaTimer" - "Safer-Networking Ltd." - E:\Programme\Spybot - Search & Destroy\TeaTimer.exe -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "avgnt" - "Avira GmbH" - "E:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min "QlbCtrl.exe" - " Hewlett-Packard Development Company, L.P." - E:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start "SmcService" - "Sygate Technologies, Inc." - E:\PROGRA~1\Sygate\SPF\smc.exe -startgui "SunJavaUpdateSched" - "Sun Microsystems, Inc." - "E:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" "WirelessAssistant" - "Hewlett-Packard" - E:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "Bluetooth-Druckeranschluss" - "Broadcom Corporation." - E:\WINDOWS\system32\bthcrp.dll [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - E:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "Anwendungsverwaltung" (AppMgmt) - ? - E:\WINDOWS\System32\appmgmts.dll (File not found) "ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - E:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - E:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - E:\Programme\Avira\AntiVir Desktop\sched.exe "Bluetooth Service" (btwdins) - "Broadcom Corporation." - E:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe "Com4QLBEx" (Com4QLBEx) - "Hewlett-Packard Development Company, L.P." - E:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe "hpqwmiex" (hpqwmiex) - "Hewlett-Packard Development Company, L.P." - E:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe "InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe "Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - E:\Programme\Java\jre6\bin\jqs.exe "Sygate Personal Firewall" (SmcService) - "Sygate Technologies, Inc." - E:\Programme\Sygate\SPF\smc.exe "Windows CardSpace" (idsvc) - "Microsoft Corporation" - E:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - E:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )----- {c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll (File not found) ===[ Logfile end ]=========================================[ Logfile end ]=== |
06.06.2010, 20:05 | #6 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Ist der Wurm weg??Zitat:
Dann war Dein Konzept insgesamt für die Tonne. Sygate kann wenn überhaupt nur unerwünschte Verbindungen verhindern, aber eine FW erkennt keine Schädlinge!
__________________ --> Ist der Wurm weg?? |
Themen zu Ist der Wurm weg?? |
agere systems, antivir, antivir guard, avira, bho, browseui preloader, computer, desktop, excel, firefox, helper, hijack, hkus\s-1-5-18, internet, internet explorer, launch, logfile, mozilla, nicht sicher, plug-in, programm, senden, server, software, system, trojaner, warnung, windows, windows xp, wurm |