| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Antivir meldet alle 10min. TR/PSW.Zbot.133169.YWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
09.07.2010, 11:11
| #16 |
 |  Antivir meldet alle 10min. TR/PSW.Zbot.133169.Y Hallo Arne, hier mein Log: Combofix Logfile: Code:
ATTFilter ComboFix 10-07-08.02 - Mario 09.07.2010 11:48:32.2.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1526.1034 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Mario\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Mario\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
((((((((((((((((((((((( Dateien erstellt von 2010-06-09 bis 2010-07-09 ))))))))))))))))))))))))))))))
.
2010-07-07 21:34 . 2010-07-07 21:34 -------- d-----w- C:\_OTL
2010-07-01 12:10 . 2010-07-01 12:10 -------- d-----w- c:\programme\trend micro
2010-07-01 12:10 . 2010-07-01 12:10 -------- d-----w- C:\rsit
2010-07-01 11:39 . 2010-07-01 11:39 -------- d-----w- c:\dokumente und einstellungen\Mario\Anwendungsdaten\Malwarebytes
2010-07-01 11:39 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-01 11:38 . 2010-07-01 11:38 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-01 11:38 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-07-01 11:38 . 2010-07-01 11:39 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-06-11 07:23 . 2010-05-06 10:31 743424 -c----w- c:\windows\system32\dllcache\iedvtool.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-08 13:42 . 2009-09-23 07:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-07-08 12:36 . 2009-11-12 11:57 -------- d-----w- c:\dokumente und einstellungen\Mario\Anwendungsdaten\Avow
2010-07-07 22:22 . 2009-10-07 06:59 -------- d-----w- c:\dokumente und einstellungen\Mario\Anwendungsdaten\Skype
2010-07-07 22:21 . 2009-10-07 07:00 -------- d-----w- c:\dokumente und einstellungen\Mario\Anwendungsdaten\skypePM
2010-07-07 08:55 . 2009-08-27 00:08 -------- d-----w- c:\programme\JDownloader 0.7
2010-07-01 07:12 . 2010-04-24 13:57 -------- d-----w- c:\dokumente und einstellungen\Mario\Anwendungsdaten\Media Player Classic
2010-07-01 07:07 . 2009-09-21 15:58 -------- d-----w- c:\programme\CCleaner
2010-06-23 07:10 . 2006-03-24 12:00 85694 ----a-w- c:\windows\system32\perfc007.dat
2010-06-23 07:10 . 2006-03-24 12:00 462840 ----a-w- c:\windows\system32\perfh007.dat
2010-05-28 09:20 . 2010-05-27 15:12 -------- d-----w- c:\dokumente und einstellungen\Mario\Anwendungsdaten\Academic Software Zurich
2010-05-27 14:49 . 2010-05-27 14:47 -------- d-----w- c:\programme\Citavi
2010-05-25 18:50 . 2010-05-25 18:50 4 ----a-w- c:\dokumente und einstellungen\Mario\Anwendungsdaten\ovczpx.dat
2010-05-22 15:26 . 2010-05-22 15:26 503808 ----a-w- c:\dokumente und einstellungen\Mario\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-5e1fb571-n\msvcp71.dll
2010-05-22 15:26 . 2010-05-22 15:26 499712 ----a-w- c:\dokumente und einstellungen\Mario\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-5e1fb571-n\jmc.dll
2010-05-22 15:26 . 2010-05-22 15:26 348160 ----a-w- c:\dokumente und einstellungen\Mario\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-5e1fb571-n\msvcr71.dll
2010-05-22 15:26 . 2010-05-22 15:26 61440 ----a-w- c:\dokumente und einstellungen\Mario\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-44b7fd7b-n\decora-sse.dll
2010-05-22 15:26 . 2010-05-22 15:26 12800 ----a-w- c:\dokumente und einstellungen\Mario\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-44b7fd7b-n\decora-d3d.dll
2010-05-16 14:39 . 2010-05-16 14:39 -------- d-----w- c:\programme\AviSynth 2.5
2010-05-16 14:38 . 2010-05-16 14:38 -------- d-----w- c:\programme\eRightSoft
2010-05-14 11:28 . 2009-09-10 08:32 -------- d-----w- c:\dokumente und einstellungen\Mario\Anwendungsdaten\U3
2010-05-10 13:14 . 2010-05-10 12:39 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
2010-05-06 10:31 . 2006-03-24 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-05-02 08:05 . 2006-03-24 12:00 1851392 ----a-w- c:\windows\system32\win32k.sys
2010-04-20 05:29 . 2006-03-24 12:00 285696 ----a-w- c:\windows\system32\atmfd.dll
2010-04-16 18:00 . 2010-04-24 13:53 85504 ----a-w- c:\windows\system32\ff_vfw.dll
2010-04-12 15:29 . 2010-04-19 14:52 411368 ----a-w- c:\windows\system32\deployJava1.dll
2009-09-25 16:41 . 2009-09-25 16:41 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-09-25 16:41 . 2009-09-25 16:41 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
2006-05-03 09:06 . 2010-05-16 14:39 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2010-05-16 14:39 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2010-05-16 14:39 216064 --sh--r- c:\windows\system32\nbDX.dll
.
((((((((((((((((((((((((((((( SnapShot@2010-07-08_12.57.45 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-07-09 09:43 . 2010-07-09 09:43 16384 c:\windows\Temp\Perflib_Perfdata_5e8.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}]
2010-01-08 02:17 700416 ----a-w- c:\programme\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{B922D405-6D13-4A2B-AE89-08A030DA4402}"= "c:\programme\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll" [2010-01-08 700416]
[HKEY_CLASSES_ROOT\clsid\{b922d405-6d13-4a2b-ae89-08a030da4402}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-05-09 94208]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-07-14 798810]
"RTHDCPL"="RTHDCPL.EXE" [2006-07-06 16251904]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-07-19 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-07-19 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-07-19 114688]
"SMSERIAL"="sm56hlpr.exe" [2005-09-16 557056]
"LaunchAp"="c:\programme\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
"HotkeyApp"="c:\programme\Launch Manager\HotkeyApp.exe" [2006-07-17 65536]
"CtrlVol"="c:\programme\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"LMgrOSD"="c:\programme\Launch Manager\OSD.exe" [2005-03-16 204800]
"Wbutton"="c:\programme\Launch Manager\Wbutton.exe" [2006-07-10 86016]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adolix Wallpaper Changer.lnk - c:\programme\Adolix\Adolix Wallpaper Changer\AWC.exe [2009-12-11 1946624]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\InterVideo\\DVD7\\WinDVD.exe"=
"c:\\Programme\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe"=
"c:\\Programme\\Java\\jdk1.6.0_17\\bin\\java.exe"=
"c:\\Downloads\\eclipse\\eclipse.exe"=
"c:\\Programme\\Eclipse-3.4\\eclipse\\eclipse.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.08.2009 15:31 135336]
R2 Application Updater;Application Updater;c:\programme\Application Updater\ApplicationUpdater.exe [08.01.2010 01:51 380928]
R2 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\programme\Firebird\Firebird_2_1\bin\fbserver.exe -s DefaultInstance --> c:\programme\Firebird\Firebird_2_1\bin\fbserver.exe -s DefaultInstance [?]
R2 vpnagent;Cisco AnyConnect VPN Agent;c:\programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe [11.12.2008 02:03 417464]
S1 mailKmd;mailKmd; [x]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [11.11.2009 17:47 691696]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: &Citavi Picker... - file://c:\programme\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Mario\Anwendungsdaten\Mozilla\Firefox\Profiles\tjqxeqh6.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=18&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www9.comunio.de/
FF - prefs.js: keyword.URL - hxxp://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=18&tid={3AAA471D-BB41-957C-0E56-EACF8599AB17}&q=
FF - component: c:\dokumente und einstellungen\Mario\Anwendungsdaten\Mozilla\Firefox\Profiles\tjqxeqh6.default\extensions\gwt-dev-plugin@google.com\lib\WINNT_x86-msvc\ff36\xpGwtDevPlugin.dll
FF - component: c:\programme\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll
FF - component: c:\programme\pdfforge Toolbar\SSFF\components\SearchSettingsFF.dll
FF - plugin: c:\dokumente und einstellungen\Mario\Anwendungsdaten\Mozilla\Firefox\Profiles\tjqxeqh6.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: c:\programme\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\programme\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-07-09 11:54
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(888)
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2010-07-09 11:56:35
ComboFix-quarantined-files.txt 2010-07-09 09:56
ComboFix2.txt 2010-07-08 12:59
Vor Suchlauf: 14 Verzeichnis(se), 18.260.516.864 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 18.242.207.744 Bytes frei
- - End Of File - - 738B9E981AADD648287A583BE90CECD3
Gruß, Mario |
|
09.07.2010, 11:22
| #17 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Antivir meldet alle 10min. TR/PSW.Zbot.133169.Y Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus
__________________
__________________ |
|
09.07.2010, 16:17
| #18 |
| | Antivir meldet alle 10min. TR/PSW.Zbot.133169.Y Hier erstmal der Log von Gmer:
__________________GMER Logfile: GMER Logfile: Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-07-09 17:12:36
Windows 5.1.2600 Service Pack 3
Running: kitflh63.exe; Driver: C:\DOKUME~1\Mario\LOKALE~1\Temp\pxldiaod.sys
---- System - GMER 1.0.15 ----
SSDT BA7FEE3E ZwCreateKey
SSDT BA7FEE34 ZwCreateThread
SSDT BA7FEE43 ZwDeleteKey
SSDT BA7FEE4D ZwDeleteValueKey
SSDT spwq.sys ZwEnumerateKey [0xB9ECDDA4]
SSDT spwq.sys ZwEnumerateValueKey [0xB9ECE132]
SSDT BA7FEE52 ZwLoadKey
SSDT spwq.sys ZwOpenKey [0xB9EB50C0]
SSDT BA7FEE20 ZwOpenProcess
SSDT BA7FEE25 ZwOpenThread
SSDT spwq.sys ZwQueryKey [0xB9ECE20A]
SSDT spwq.sys ZwQueryValueKey [0xB9ECE08A]
SSDT BA7FEE5C ZwReplaceKey
SSDT BA7FEE57 ZwRestoreKey
SSDT BA7FEE48 ZwSetValueKey
INT 0x62 ? 89ACABF8
INT 0x82 ? 89ACABF8
INT 0x83 ? 898CFBF8
INT 0xB4 ? 898CFBF8
---- Kernel code sections - GMER 1.0.15 ----
? spwq.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B92B48AC 5 Bytes JMP 898CF1D8
.text apcp9xu2.SYS B8FE2386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text apcp9xu2.SYS B8FE23AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text apcp9xu2.SYS B8FE23C4 3 Bytes [00, 80, 02]
.text apcp9xu2.SYS B8FE23C9 1 Byte [30]
.text apcp9xu2.SYS B8FE23C9 11 Bytes [30, 00, 00, 00, 5E, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESI; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text ...
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9EB6042] spwq.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9EB613E] spwq.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9EB60C0] spwq.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9EB6800] spwq.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9EB66D6] spwq.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B9EC5B90] spwq.sys
IAT \SystemRoot\System32\Drivers\apcp9xu2.SYS[HAL.dll!KfAcquireSpinLock] 18C4830E
IAT \SystemRoot\System32\Drivers\apcp9xu2.SYS[HAL.dll!READ_PORT_UCHAR] 1C959E88
IAT \SystemRoot\System32\Drivers\apcp9xu2.SYS[HAL.dll!KeGetCurrentIrql] 9E880000
IAT \SystemRoot\System32\Drivers\apcp9xu2.SYS[HAL.dll!KfRaiseIrql] 00001CB1
IAT \SystemRoot\System32\Drivers\apcp9xu2.SYS[HAL.dll!KfLowerIrql] 0E798366
IAT \SystemRoot\System32\Drivers\apcp9xu2.SYS[HAL.dll!HalGetInterruptVector] 74AAB000
IAT \SystemRoot\System32\Drivers\apcp9xu2.SYS[HAL.dll!HalTranslateBusAddress] 8986C636
IAT \SystemRoot\System32\Drivers\apcp9xu2.SYS[HAL.dll!KeStallExecutionProcessor] 1A00001C
IAT \SystemRoot\System32\Drivers\apcp9xu2.SYS[HAL.dll!KfReleaseSpinLock] 1C8B86C6
IAT \SystemRoot\System32\Drivers\apcp9xu2.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] C6020000
IAT \SystemRoot\System32\Drivers\apcp9xu2.SYS[HAL.dll!READ_PORT_USHORT] 001C9686
IAT \SystemRoot\System32\Drivers\apcp9xu2.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 86C60200
IAT \SystemRoot\System32\Drivers\apcp9xu2.SYS[HAL.dll!WRITE_PORT_UCHAR] 00001CB2
IAT \SystemRoot\System32\Drivers\apcp9xu2.SYS[WMILIB.SYS!WmiSystemControl] 8800001C
IAT \SystemRoot\System32\Drivers\apcp9xu2.SYS[WMILIB.SYS!WmiCompleteRequest] 001CB99E
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 89AC91F8
Device \FileSystem\Fastfat \FatCdrom 899071F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{15DC7F1F-E083-4D97-8EFF-A5085F8A3CF6} 895AB408
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
Device \Driver\usbuhci \Device\USBPDO-0 895951F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 89A5D1F8
Device \Driver\dmio \Device\DmControl\DmConfig 89A5D1F8
Device \Driver\dmio \Device\DmControl\DmPnP 89A5D1F8
Device \Driver\dmio \Device\DmControl\DmInfo 89A5D1F8
Device \Driver\usbuhci \Device\USBPDO-1 895951F8
Device \Driver\usbehci \Device\USBPDO-2 8957E500
Device \Driver\PCI_PNP7910 \Device\00000046 spwq.sys
Device \Driver\sptd \Device\708526660 spwq.sys
Device \Driver\usbuhci \Device\USBPDO-3 895951F8
Device \Driver\usbuhci \Device\USBPDO-4 895951F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 89ACB1F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 89ACB1F8
Device \Driver\Cdrom \Device\CdRom0 8959B500
Device \Driver\Cdrom \Device\CdRom1 8959B500
Device \Driver\atapi \Device\Ide\IdePort0 [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort1 [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c [B9E08B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\NetBT \Device\NetBt_Wins_Export 895AB408
Device \Driver\NetBT \Device\NetbiosSmb 895AB408
Device \Driver\NetBT \Device\NetBT_Tcpip_{918D5993-8F55-4D0B-827B-D12F95C9DAFA} 895AB408
Device \Driver\usbuhci \Device\USBFDO-0 895951F8
Device \Driver\usbuhci \Device\USBFDO-1 895951F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8959E500
Device \Driver\usbuhci \Device\USBFDO-2 895951F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8959E500
Device \Driver\usbuhci \Device\USBFDO-3 895951F8
Device \Driver\usbehci \Device\USBFDO-4 8957E500
Device \Driver\Ftdisk \Device\FtControl 89ACB1F8
Device \Driver\apcp9xu2 \Device\Scsi\apcp9xu21Port2Path0Target0Lun0 894D51F8
Device \Driver\apcp9xu2 \Device\Scsi\apcp9xu21 894D51F8
Device \FileSystem\Fastfat \Fat 899071F8
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
Device \FileSystem\Cdfs \Cdfs 89788500
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x7F 0xA9 0x15 0xD5 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x0E 0x75 0x06 0x80 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xD9 0xE1 0x96 0x0E ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x7F 0xA9 0x15 0xD5 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x0E 0x75 0x06 0x80 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xD9 0xE1 0x96 0x0E ...
---- EOF - GMER 1.0.15 ----
--- --- --- --- --- --- |
|
09.07.2010, 16:35
| #19 |
| | Antivir meldet alle 10min. TR/PSW.Zbot.133169.Y Und hier der OSAM-Log OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 17:32:17 on 09.07.2010 OS: Windows XP Professional Service Pack 3 (Build 2600) Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Control Panel Objects] -----( %SystemRoot%\system32 )----- "Firebird2Control.cpl" - "IBPhoenix" - C:\WINDOWS\system32\Firebird2Control.cpl "infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl "Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl "QuickTime" - "Apple Inc." - C:\Programme\QuickTime Alternative\QTSystem\QuickTime.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "a991ovx2" (a991ovx2) - "Microsoft Corporation" - C:\WINDOWS\system32\drivers\a991ovx2.sys (Hidden registry entry, rootkit activity | File signed by Microsoft) "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "catchme" (catchme) - ? - C:\DOKUME~1\Mario\LOKALE~1\Temp\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "Hotkey" (Hotkey) - ? - C:\WINDOWS\system32\drivers\Hotkey.sys (File found, but it contains no detailed information) "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "mailKmd" (mailKmd) - ? - C:\WINDOWS\system32\drivers\mailKmd.sys (File not found) "MHN-Treiber" (MHNDRV) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\mhndrv.sys "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys "sptd" (sptd) - "Duplex Secure Ltd." - C:\WINDOWS\System32\Drivers\sptd.sys (File is exclusively opened, access blocked) "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "Wbutton" (Wbutton) - ? - C:\WINDOWS\system32\drivers\Wbutton.sys (File not found) "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} "Microsoft Windows Media Player" - "Microsoft Corporation" - C:\WINDOWS\inf\unregmp2.exe /ShowWMP {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL -----( HKLM\Software\Classes\Protocols\Handler )----- {32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL {3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll {FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? - (File not found | COM-object registry key not found) {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll {993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL {C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll {7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll {0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL {640167b4-59b0-47a6-b335-a6b3c0695aea} "Portable Media Devices" - "Microsoft Corporation" - C:\WINDOWS\system32\audiodev.dll {cc86590a-b60a-48e6-996b-41d25ed39a1e} "Portable Media Devices Menu" - "Microsoft Corporation" - C:\WINDOWS\system32\audiodev.dll {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll {F1B9284F-E9DC-4e68-9D7E-42362A59F0FD} "WMP Add To Playlist Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll {8DD448E6-C188-4aed-AF92-44956194EB1F} "WMP Burn Audio CD Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll {CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C} "WMP Play As Playlist Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab {D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10c.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {609D670F-B735-4da7-AC6D-F3BD358E325E} "Citavi Picker" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll {FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )----- {B922D405-6D13-4A2B-AE89-08A030DA4402} "pdfforge Toolbar" - "Spigot, Inc." - C:\Programme\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll {609D670F-B735-4da7-AC6D-F3BD358E325E} "Asz.Citavi.IEPicker.IEPickerButton" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll {B922D405-6D13-4A2B-AE89-08A030DA4402} "pdfforge Toolbar" - "Spigot, Inc." - C:\Programme\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll {53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll {E312764E-7706-43F1-8DAB-FCDD2B1E416D} "{E312764E-7706-43F1-8DAB-FCDD2B1E416D}" - ? - (File not found | COM-object registry key not found) [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "Adolix Wallpaper Changer.lnk" - ? - C:\Programme\Adolix\Adolix Wallpaper Changer\AWC.exe (Shortcut exists | File found, but it contains no detailed information | File exists) "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\Mario\Startmenü\Programme\Autostart\desktop.ini -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" - "Nero AG" - "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" "Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" "avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min "CtrlVol" - "Wistron" - "C:\Programme\Launch Manager\CtrlVol.exe" "HotkeyApp" - "Wistron" - "C:\Programme\Launch Manager\HotkeyApp.exe" "LaunchAp" - ? - "C:\Programme\Launch Manager\LaunchAp.exe" "LMgrOSD" - "Wistron" - "C:\Programme\Launch Manager\OSD.exe" "NeroFilterCheck" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe "SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" "Wbutton" - ? - "C:\Programme\Launch Manager\Wbutton.exe" [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll "PDFCreator" - ? - C:\WINDOWS\system32\pdfcmnnt.dll (File found, but it contains no detailed information) [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "Application Updater" (Application Updater) - "Spigot, Inc." - C:\Programme\Application Updater\ApplicationUpdater.exe "ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "Cisco AnyConnect VPN Agent" (vpnagent) - "Cisco Systems, Inc." - C:\Programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe "Firebird Server - DefaultInstance" (FirebirdServerDefaultInstance) - "Firebird Project" - C:\Programme\Firebird\Firebird_2_1\bin\fbserver.exe "Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe "LightScribeService Direct Disc Labeling Service" (LightScribeService) - "Hewlett-Packard Company" - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe "MHN" (MHN) - "Microsoft Corporation" - C:\WINDOWS\System32\mhn.dll "Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE "Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru |
|
10.07.2010, 13:04
| #20 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Antivir meldet alle 10min. TR/PSW.Zbot.133169.Y Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
12.07.2010, 11:43
| #21 |
| | Antivir meldet alle 10min. TR/PSW.Zbot.133169.Y Hallo, danke schonmal für die ganzen Mühen. Ich habe jetzt Malwarebytes durchlaufen lassen und hatte trotzdem noch einige Funde. Unter anderem ist jetzt mal der Zbot aufgetaucht um den es anfangs mal ging :-) Hier der Log: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4304 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 12.07.2010 12:36:45 mbam-log-2010-07-12 (12-36-45).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 223556 Laufzeit: 1 Stunde(n), 22 Minute(n), 47 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 4 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 4 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{b922d405-6d13-4a2b-ae89-08a030da4402} (Adware.WidgiToolbar) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{b922d405-6d13-4a2b-ae89-08a030da4402} (Adware.WidgiToolbar) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b922d405-6d13-4a2b-ae89-08a030da4402} (Adware.WidgiToolbar) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b922d405-6d13-4a2b-ae89-08a030da4402} (Adware.WidgiToolbar) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{b922d405-6d13-4a2b-ae89-08a030da4402} (Adware.WidgiToolbar) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Default User\Startmenü\Programme\Autostart\wysoxi.exe (Trojan.Zbot) -> Quarantined and deleted successfully. C:\Programme\pdfforge Toolbar\WidgiHelper.exe (Adware.WidgiToolbar) -> Quarantined and deleted successfully. C:\Programme\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{98F717EC-B53E-4956-9EE9-641D77D0FFC6}\RP288\A0044691.exe (Trojan.Zbot) -> Quarantined and deleted successfully. |
|
12.07.2010, 15:04
| #22 |
| | Antivir meldet alle 10min. TR/PSW.Zbot.133169.Y Hier der Log von SUPERAntiSpyware: SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 07/12/2010 at 03:47 PM Application Version : 4.40.1002 Core Rules Database Version : 5183 Trace Rules Database Version: 2995 Scan type : Complete Scan Total Scan Time : 01:48:26 Memory items scanned : 525 Memory threats detected : 0 Registry items scanned : 7505 Registry threats detected : 0 File items scanned : 102734 File threats detected : 3 Adware.Tracking Cookie cdn5.specificclick.net [ C:\Dokumente und Einstellungen\Mario\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\HELXYYZB ] Trojan.Agent/Gen-Nullo[Short] C:\SYSTEM VOLUME INFORMATION\_RESTORE{98F717EC-B53E-4956-9EE9-641D77D0FFC6}\RP288\A0044692.EXE C:\SYSTEM VOLUME INFORMATION\_RESTORE{98F717EC-B53E-4956-9EE9-641D77D0FFC6}\RP288\A0044693.DLL Leider auch hier wieder Funde! :-( Soll ich die beiden Programme erneut durchlaufen lassen? Gruß, Mario |
|
12.07.2010, 15:06
| #23 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Antivir meldet alle 10min. TR/PSW.Zbot.133169.Y Das war nur ein Flash-Cookie und Überreste in den SWH. Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
12.07.2010, 16:08
| #24 |
| | Antivir meldet alle 10min. TR/PSW.Zbot.133169.Y Da bin ich aber beruhigt  Nach dem deaktivieren soll ich die Systemwiederherstellung wahrscheinlich wieder aktivieren oder nicht? |
|
12.07.2010, 16:43
| #25 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Antivir meldet alle 10min. TR/PSW.Zbot.133169.Y Wenn Du sie brauchst kannst Du sie wieder aktivieren.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
13.07.2010, 07:46
| #26 |
| | Antivir meldet alle 10min. TR/PSW.Zbot.133169.Y Ist das System jetzt bereinigt? Kann/darf/soll ich die Programme wieder deinstallieren bzw. löschen? Gruß, Mario |
|
13.07.2010, 11:02
| #27 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Antivir meldet alle 10min. TR/PSW.Zbot.133169.Y Ja, Malwarebytes kannst Du aber behalten. Vor jedem Scan muss es aber manuell aktualisiert werden. Rechner wieder ok? Oder gabs noch weitere Funde in der Zwischenzeit?
__________________ Logfiles bitte immer in CODE-Tags posten |
|
13.07.2010, 11:36
| #28 |
| | Antivir meldet alle 10min. TR/PSW.Zbot.133169.Y Momentan sieht alles gut aus  Habe jetzt Antivir wie im Forum beschrieben agressiver eingestellt. Hoffe ich bleibe jetzt sauber ;-)Vielen Dank nochmal für die tolle Hilfe! |
|
13.07.2010, 11:55
| #29 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Antivir meldet alle 10min. TR/PSW.Zbot.133169.Y Gut, dann bitte die Updates prüfen. Nimm meinen Standardtext als Leitfaden: Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
14.07.2010, 08:37
| #30 |
| | Antivir meldet alle 10min. TR/PSW.Zbot.133169.Y Waren einige Updates die bei MS Office gefehlt haben.  Ansonsten war alles auf dem aktuellen Stand. Die Adobe Alternativen schaue ich mir die Tage mal an.Gruß, Mario |
|
| Themen zu Antivir meldet alle 10min. TR/PSW.Zbot.133169.Y |
| aktion, antivir, antivir meldet, c:\windows, datei, folge, forum, lösung, malware, melde, meldet, min, ordner, problem, programm, svchost.exe, temp, temporäre, tr/psw.zbot., trojan, unerwünschtes programm, verweigert, virus, wechsel, windows, zugriff, zugriff verweigert |
Linear-Darstellung
