| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefundenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
12.10.2010, 21:17
| #1 |
 |  Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden Antivir und Malwarebytes haben mir heute von oben genannten Fehlermeldungen bzw infizierten Dateien berichtet. Nun bin ich kein Computerexperte und würde jede Hilfe gern annehmen. Zudem gibt es in letzter Zeit ständig irgendwelche Fehlermeldungen von meinen Schutzprogrammen. Auf dem Rechner macht sich das u.a. wie folgt bemerkbar: Firefox/ IExplorer geben Fehlermeldungen beim schliessen, unaufgeforderte Taböffnung mit dubiosem Inhalt, teilweise starten Programme nicht, svchost.exe lastet cpu komplett aus etc ... heutige avira scans: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Dienstag, 12. Oktober 2010 18:01 Es wird nach 2922663 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : BIE Versionsinformationen: BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00 AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 09:07:35 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 08:12:16 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 15:02:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 08:29:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 05:35:36 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 15:57:49 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 14:07:42 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 13:07:42 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 07:59:03 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 18:22:12 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 18:22:21 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 18:22:35 VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 11:26:33 VBASE009.VDF : 7.10.11.134 2048 Bytes 13.09.2010 11:26:33 VBASE010.VDF : 7.10.11.135 2048 Bytes 13.09.2010 11:26:33 VBASE011.VDF : 7.10.11.136 2048 Bytes 13.09.2010 11:26:33 VBASE012.VDF : 7.10.11.137 2048 Bytes 13.09.2010 11:26:33 VBASE013.VDF : 7.10.11.165 172032 Bytes 15.09.2010 11:26:34 VBASE014.VDF : 7.10.11.202 144384 Bytes 18.09.2010 11:20:58 VBASE015.VDF : 7.10.11.231 129024 Bytes 21.09.2010 10:21:31 VBASE016.VDF : 7.10.12.4 126464 Bytes 23.09.2010 11:51:59 VBASE017.VDF : 7.10.12.38 146944 Bytes 27.09.2010 10:36:38 VBASE018.VDF : 7.10.12.64 133120 Bytes 29.09.2010 10:36:40 VBASE019.VDF : 7.10.12.99 134144 Bytes 01.10.2010 20:50:17 VBASE020.VDF : 7.10.12.122 131584 Bytes 05.10.2010 11:15:05 VBASE021.VDF : 7.10.12.148 119296 Bytes 07.10.2010 10:23:49 VBASE022.VDF : 7.10.12.175 142848 Bytes 11.10.2010 14:55:51 VBASE023.VDF : 7.10.12.176 2048 Bytes 11.10.2010 14:55:52 VBASE024.VDF : 7.10.12.177 2048 Bytes 11.10.2010 14:55:52 VBASE025.VDF : 7.10.12.178 2048 Bytes 11.10.2010 14:55:52 VBASE026.VDF : 7.10.12.179 2048 Bytes 11.10.2010 14:55:52 VBASE027.VDF : 7.10.12.180 2048 Bytes 11.10.2010 14:55:52 VBASE028.VDF : 7.10.12.181 2048 Bytes 11.10.2010 14:55:52 VBASE029.VDF : 7.10.12.182 2048 Bytes 11.10.2010 14:55:53 VBASE030.VDF : 7.10.12.183 2048 Bytes 11.10.2010 14:55:53 VBASE031.VDF : 7.10.12.190 53248 Bytes 12.10.2010 14:55:53 Engineversion : 8.2.4.78 AEVDF.DLL : 8.1.2.1 106868 Bytes 11.08.2010 18:22:56 AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 18.09.2010 09:36:55 AESCN.DLL : 8.1.6.1 127347 Bytes 11.08.2010 18:22:54 AESBX.DLL : 8.1.3.1 254324 Bytes 11.08.2010 18:22:56 AERDL.DLL : 8.1.9.2 635252 Bytes 23.09.2010 10:41:48 AEPACK.DLL : 8.2.3.11 471416 Bytes 12.10.2010 14:56:05 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 11.08.2010 18:22:51 AEHEUR.DLL : 8.1.2.33 2949496 Bytes 12.10.2010 14:56:03 AEHELP.DLL : 8.1.14.0 246134 Bytes 12.10.2010 14:55:56 AEGEN.DLL : 8.1.3.23 401779 Bytes 02.10.2010 20:50:20 AEEMU.DLL : 8.1.2.0 393588 Bytes 11.08.2010 18:22:46 AECORE.DLL : 8.1.17.0 196982 Bytes 25.09.2010 11:52:02 AEBB.DLL : 8.1.1.0 53618 Bytes 11.08.2010 18:22:45 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 08:29:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 08:29:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 13:17:40 AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 09:05:44 AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 09:09:49 AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 08:52:11 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 06:23:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 09:27:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 12:08:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 11:10:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 09:40:08 RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 10:44:28 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\sicherheit\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, F:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +PFS, Beginn des Suchlaufs: Dienstag, 12. Oktober 2010 18:01 Der Suchlauf nach versteckten Objekten wird begonnen. c:\winxp\system32\ntmsdata\ntmsjrnl c:\WINXP\system32\NtmsData [HINWEIS] Die Datei ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Session Manager\Power\heuristics [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. c:\programme\mozilla firefox\firefox.exe c:\Programme\Mozilla Firefox\firefox.exe [HINWEIS] Der Prozess ist nicht sichtbar. c:\programme\mozilla firefox\firefox.exe c:\programme\mozilla firefox\firefox.exe c:\programme\pdf\adobereader 933\reader\acrord32.exe c:\Programme\PDF\AdobeReader 933\Reader\AcroRd32.exe [HINWEIS] Der Prozess ist nicht sichtbar. c:\programme\pdf\adobereader 933\reader\acrord32.exe c:\programme\pdf\adobereader 933\reader\acrord32.exe c:\programme\pdf\adobereader 933\reader\acrord32.exe c:\programme\rocketdock\rocketdock.exe c:\Programme\RocketDock\RocketDock.exe [HINWEIS] Der Prozess ist nicht sichtbar. c:\winxp\system32\igfxext.exe c:\WINXP\system32\igfxext.exe [HINWEIS] Der Prozess ist nicht sichtbar. c:\winxp\system32\igfxsrvc.exe c:\WINXP\system32\igfxsrvc.exe [HINWEIS] Der Prozess ist nicht sichtbar. c:\winxp\system32\bcmwltry.exe c:\WINXP\system32\BCMWLTRY.EXE [HINWEIS] Der Prozess ist nicht sichtbar. c:\winxp\system32\svchost.exe c:\WINXP\system32\svchost.exe [HINWEIS] Der Prozess ist nicht sichtbar. c:\winxp\system32\wbem\wmiprvse.exe c:\WINXP\system32\wbem\wmiprvse.exe [HINWEIS] Der Prozess ist nicht sichtbar. c:\winxp\system32\wbem\wmiprvse.exe c:\programme\gemeinsame dateien\apple\mobile device support\applemobiledeviceservice.exe c:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe [HINWEIS] Der Prozess ist nicht sichtbar. c:\winxp\system32\spoolsv.exe c:\WINXP\system32\spoolsv.exe [HINWEIS] Der Prozess ist nicht sichtbar. c:\programme\checkpoint\zaforcefield\iswsvc.exe c:\Programme\CheckPoint\ZAForceField\ISWSVC.exe [HINWEIS] Der Prozess ist nicht sichtbar. c:\programme\checkpoint\zaforcefield\forcefield.exe c:\Programme\CheckPoint\ZAForceField\ForceField.exe [HINWEIS] Der Prozess ist nicht sichtbar. c:\programme\pdf\adobereader 933\reader\reader_sl.exe c:\Programme\PDF\AdobeReader 933\Reader\reader_sl.exe [HINWEIS] Der Prozess ist nicht sichtbar. c:\programme\hp\hp software update\hpwuschd2.exe c:\Programme\HP\HP Software Update\hpwuSchd2.exe [HINWEIS] Der Prozess ist nicht sichtbar. c:\winxp\system32\wuauclt.exe c:\WINXP\system32\wuauclt.exe [HINWEIS] Der Prozess ist nicht sichtbar. c:\winxp\system32\wuauclt.exe c:\winxp\system32\hkcmd.exe c:\WINXP\system32\hkcmd.exe [HINWEIS] Der Prozess ist nicht sichtbar. c:\programme\java\jre6\bin\jusched.exe c:\Programme\Java\jre6\bin\jusched.exe [HINWEIS] Der Prozess ist nicht sichtbar. c:\fheydbueyj.exe\cleansweepupd.exe c:\fheydbueyj.exe [HINWEIS] Der Prozess ist nicht sichtbar. c:\fheydbueyj.exe\fheydbueyj.exe c:\fheydbueyj.exe\fheydbueyj.exe [HINWEIS] Der Prozess ist nicht sichtbar. c:\programme\mozilla firefox\plugin-container.exe c:\Programme\Mozilla Firefox\plugin-container.exe [HINWEIS] Der Prozess ist nicht sichtbar. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'rsmsink.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '79' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'msdtc.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '72' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '98' Modul(e) wurden durchsucht Durchsuche Prozess 'mbam.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'plugin-container.exe' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '112' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqSTE08.exe' - '80' Modul(e) wurden durchsucht Durchsuche Prozess 'bcmwltry.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqtra08.exe' - '72' Modul(e) wurden durchsucht Durchsuche Prozess 'Rainlendar2.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'WLTRAY.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '72' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxpers.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxtray.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'LManager.exe' - '65' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '62' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'HPZipm12.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '87' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'WLTRYSVC.EXE' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '125' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '193' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '69' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '84' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'F:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '1650' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\ny0P755n.exe.part [FUND] Ist das Trojanische Pferd TR/Dropper.Gen Beginne mit der Suche in 'D:\' <ACERDATA> Beginne mit der Suche in 'F:\' <Volume> Beginne mit der Desinfektion: C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\ny0P755n.exe.part [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '461c0436.qua' verschoben! Ende des Suchlaufs: Dienstag, 12. Oktober 2010 19:51 Benötigte Zeit: 1:27:59 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 8686 Verzeichnisse wurden überprüft 370571 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 370570 Dateien ohne Befall 3329 Archive wurden durchsucht 0 Warnungen 1 Hinweise 237237 Objekte wurden beim Rootkitscan durchsucht 30 Versteckte Objekte wurden gefunden bzw selbstständiger quickscan Avira AntiVir Personal Erstellungsdatum der Reportdatei: Dienstag, 12. Oktober 2010 18:40 Es wird nach 2922663 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : BIE Versionsinformationen: BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00 AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 09:07:35 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 08:12:16 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 15:02:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 08:29:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 05:35:36 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 15:57:49 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 14:07:42 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 13:07:42 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 07:59:03 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 18:22:12 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 18:22:21 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 18:22:35 VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 11:26:33 VBASE009.VDF : 7.10.11.134 2048 Bytes 13.09.2010 11:26:33 VBASE010.VDF : 7.10.11.135 2048 Bytes 13.09.2010 11:26:33 VBASE011.VDF : 7.10.11.136 2048 Bytes 13.09.2010 11:26:33 VBASE012.VDF : 7.10.11.137 2048 Bytes 13.09.2010 11:26:33 VBASE013.VDF : 7.10.11.165 172032 Bytes 15.09.2010 11:26:34 VBASE014.VDF : 7.10.11.202 144384 Bytes 18.09.2010 11:20:58 VBASE015.VDF : 7.10.11.231 129024 Bytes 21.09.2010 10:21:31 VBASE016.VDF : 7.10.12.4 126464 Bytes 23.09.2010 11:51:59 VBASE017.VDF : 7.10.12.38 146944 Bytes 27.09.2010 10:36:38 VBASE018.VDF : 7.10.12.64 133120 Bytes 29.09.2010 10:36:40 VBASE019.VDF : 7.10.12.99 134144 Bytes 01.10.2010 20:50:17 VBASE020.VDF : 7.10.12.122 131584 Bytes 05.10.2010 11:15:05 VBASE021.VDF : 7.10.12.148 119296 Bytes 07.10.2010 10:23:49 VBASE022.VDF : 7.10.12.175 142848 Bytes 11.10.2010 14:55:51 VBASE023.VDF : 7.10.12.176 2048 Bytes 11.10.2010 14:55:52 VBASE024.VDF : 7.10.12.177 2048 Bytes 11.10.2010 14:55:52 VBASE025.VDF : 7.10.12.178 2048 Bytes 11.10.2010 14:55:52 VBASE026.VDF : 7.10.12.179 2048 Bytes 11.10.2010 14:55:52 VBASE027.VDF : 7.10.12.180 2048 Bytes 11.10.2010 14:55:52 VBASE028.VDF : 7.10.12.181 2048 Bytes 11.10.2010 14:55:52 VBASE029.VDF : 7.10.12.182 2048 Bytes 11.10.2010 14:55:53 VBASE030.VDF : 7.10.12.183 2048 Bytes 11.10.2010 14:55:53 VBASE031.VDF : 7.10.12.190 53248 Bytes 12.10.2010 14:55:53 Engineversion : 8.2.4.78 AEVDF.DLL : 8.1.2.1 106868 Bytes 11.08.2010 18:22:56 AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 18.09.2010 09:36:55 AESCN.DLL : 8.1.6.1 127347 Bytes 11.08.2010 18:22:54 AESBX.DLL : 8.1.3.1 254324 Bytes 11.08.2010 18:22:56 AERDL.DLL : 8.1.9.2 635252 Bytes 23.09.2010 10:41:48 AEPACK.DLL : 8.2.3.11 471416 Bytes 12.10.2010 14:56:05 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 11.08.2010 18:22:51 AEHEUR.DLL : 8.1.2.33 2949496 Bytes 12.10.2010 14:56:03 AEHELP.DLL : 8.1.14.0 246134 Bytes 12.10.2010 14:55:56 AEGEN.DLL : 8.1.3.23 401779 Bytes 02.10.2010 20:50:20 AEEMU.DLL : 8.1.2.0 393588 Bytes 11.08.2010 18:22:46 AECORE.DLL : 8.1.17.0 196982 Bytes 25.09.2010 11:52:02 AEBB.DLL : 8.1.1.0 53618 Bytes 11.08.2010 18:22:45 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 08:29:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 08:29:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 13:17:40 AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 09:05:44 AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 09:09:49 AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 08:52:11 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 06:23:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 09:27:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 12:08:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 11:10:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 09:40:08 RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 10:44:28 Konfiguration für den aktuellen Suchlauf: Job Name..............................: avguard_async_scan Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4cf2e9d2\guard_slideup.avp Protokollierung.......................: niedrig Primäre Aktion........................: reparieren Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Abweichende Gefahrenkategorien........: +PFS, Beginn des Suchlaufs: Dienstag, 12. Oktober 2010 18:40 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqSTE08.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'bcmwltry.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Rainlendar2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WLTRAY.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LManager.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'HPZipm12.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'F:\System Volume Information\_restore{80E0FAC6-A4A4-4224-A742-63B75E668AFC}\RP45\A0008392.exe' F:\System Volume Information\_restore{80E0FAC6-A4A4-4224-A742-63B75E668AFC}\RP45\A0008392.exe [FUND] Enthält Erkennungsmuster des Droppers DR/Delf.O.37 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e612e8c.qua' verschoben! Ende des Suchlaufs: Dienstag, 12. Oktober 2010 18:41 Benötigte Zeit: 01:07 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 45 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 44 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 1 Hinweise Die Suchergebnisse werden an den Guard übermittelt. Malwarebytes scan: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4801 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 12.10.2010 18:48:57 mbam-log-2010-10-12 (18-48-57).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|) Durchsuchte Objekte: 194691 Laufzeit: 1 Stunde(n), 53 Minute(n), 28 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\fheydbueyj.exe\fheydbueyj.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{80E0FAC6-A4A4-4224-A742-63B75E668AFC}\RP3\A0001701.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{80E0FAC6-A4A4-4224-A742-63B75E668AFC}\RP5\A0001749.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully. Zudem habe ich die geforderten Programme durchlaufen lassen - logfiles im Anhang. |
|
15.10.2010, 20:26
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden Hallo und
__________________ Zitat:
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!! Code:
ATTFilter :OTL
O4 - HKCU..\Run: [fheydbueyj.exe] C:\fheydbueyj.exe\fheydbueyj.exe File not found
[2010.10.01 21:24:40 | 000,000,000 | ---D | C] -- C:\WINXP\VDLL.DLL
[2010.10.01 21:24:40 | 000,000,000 | ---D | C] -- C:\WINXP\System32\runouce.exe
[2010.10.01 21:24:40 | 000,000,000 | ---D | C] -- C:\WINXP\rundll16.exe
[2010.10.01 21:24:40 | 000,000,000 | ---D | C] -- C:\WINXP\RUNDL132.EXE
[2010.10.01 21:24:40 | 000,000,000 | ---D | C] -- C:\WINXP\logo1_.exe
[2010.10.01 21:24:40 | 000,000,000 | ---D | C] -- C:\WINXP\logo_1.exe
[2010.09.28 19:34:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Ihiqy
:Commands
[purity]
[resethosts]
[emptytemp]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ |
|
16.10.2010, 11:22
| #3 |
| | Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden Danke für die Antwort.
__________________Habe jetzt ZA deinstalliert und die Windows Firewall aktiviert. BTW braucht die updates oder zieht die sich selbst welche? Habe dann OTL geöffnet, den Text ins Fenster kopiert. Danach hat der Rechner irgendwas gemacht und nach nem Neustart verlangt. Nachm hochfahren, kam dann die folgende Logfile: All processes killed ========== OTL ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\fheydbueyj.exe deleted successfully. C:\WINXP\VDLL.DLL folder moved successfully. C:\WINXP\System32\runouce.exe folder moved successfully. C:\WINXP\rundll16.exe folder moved successfully. C:\WINXP\RUNDL132.EXE folder moved successfully. C:\WINXP\logo1_.exe folder moved successfully. C:\WINXP\logo_1.exe folder moved successfully. C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Ihiqy folder moved successfully. ========== COMMANDS ========== C:\WINXP\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: LocalService ->Temp folder emptied: 1063608 bytes ->Temporary Internet Files folder emptied: 1103879 bytes User: NetworkService ->Temp folder emptied: 1063608 bytes ->Temporary Internet Files folder emptied: 3027859 bytes ->Java cache emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Stefan ->Temp folder emptied: 14690665 bytes ->Temporary Internet Files folder emptied: 5722219 bytes ->Java cache emptied: 21904 bytes ->FireFox cache emptied: 47900593 bytes ->Flash cache emptied: 2875 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 151074 bytes RecycleBin emptied: 24036 bytes Total Files Cleaned = 71,00 mb OTL by OldTimer - Version 3.2.15.1 log created on 10162010_121524 Files\Folders moved on Reboot... C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\R1KYRURR\404[1].htm moved successfully. C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\R1KYRURR\tags[1].htm moved successfully. C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\R1KYRURR\tags[2].htm moved successfully. C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\R1KYRURR\tags[3].htm moved successfully. C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LW0F30OI\iframe3[1].htm moved successfully. C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LW0F30OI\nolink[1].htm moved successfully. C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LW0F30OI\search[1].htm moved successfully. C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LW0F30OI\search[2].htm moved successfully. C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\DPYZDT6C\search[1].htm moved successfully. Registry entries deleted on Reboot... hoffe ich habe bis hierhin alles richtig befolgt  ... |
|
16.10.2010, 20:41
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
17.10.2010, 22:23
| #5 |
| | Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden Combofix Logfile: Code:
ATTFilter ComboFix 10-10-16.04 - Stefan 17.10.2010 23:07:01.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.502.235 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Stefan\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\1.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\a.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\b.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\c.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\d.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\e.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\f.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\g.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\h.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\i.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\J.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\k.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\l.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\m.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\n.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\o.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\p.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\q.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\r.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\s.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\t.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\u.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\v.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\w.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\x.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\y.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\z.xml
C:\fheydbueyj.exe
c:\fheydbueyj.exe\config.bin
c:\winxp\regedit.com
c:\winxp\system\dwm.exe
c:\winxp\system32\taskmgr.com
Infizierte Kopie von c:\winxp\system32\drivers\kbdclass.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_DARKNESS
((((((((((((((((((((((( Dateien erstellt von 2010-09-17 bis 2010-10-17 ))))))))))))))))))))))))))))))
.
2010-10-17 20:53 . 2010-10-17 20:53 49152 ---ha-w- c:\winxp\system32\bootuery.dll
2010-10-17 20:47 . 2010-10-17 20:47 -------- d-----w- c:\programme\CCleaner
2010-10-16 10:15 . 2010-10-16 10:15 -------- d-----w- C:\_OTL
2010-10-16 10:03 . 2010-10-16 10:03 -------- d-----w- c:\winxp\Internet Logs
2010-10-12 18:40 . 2010-10-12 18:43 -------- d-----w- c:\programme\ERUNT
2010-10-10 20:11 . 2010-10-10 20:11 -------- d-----w- c:\programme\Veetle
2010-10-10 09:22 . 2010-10-10 09:23 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-10-07 09:58 . 2010-10-07 09:58 -------- d-----w- c:\dokumente und einstellungen\Stefan\WINDOWS
2010-10-07 09:58 . 2010-10-07 09:58 -------- d-----w- C:\DBControl
2010-10-07 09:54 . 2010-10-07 09:54 -------- d-----w- c:\winxp\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\DBControl
2010-10-07 09:54 . 2010-10-07 09:54 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\DBControl
2010-10-07 09:54 . 2010-10-07 09:54 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\DBControl
2010-10-07 09:54 . 2010-10-07 09:54 -------- d-----w- c:\dokumente und einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\DBControl
2010-10-05 10:28 . 2010-10-05 10:28 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-10-01 18:49 . 2010-10-01 18:49 632064 ----a-w- c:\winxp\system32\msvcr80.dll
2010-10-01 18:49 . 2010-10-01 18:49 554240 ----a-w- c:\winxp\system32\msvcp80.dll
2010-10-01 18:49 . 2010-10-01 18:49 34048 ----a-w- c:\winxp\system32\eEmpty.exe
2010-10-01 18:49 . 2008-04-14 12:00 153600 ----a-w- c:\winxp\R.COM
2010-10-01 18:49 . 2008-04-14 12:00 140800 ----a-w- c:\winxp\system32\T.COM
2010-10-01 18:49 . 2010-10-01 18:49 -------- d-----w- c:\programme\Gemeinsame Dateien\MicroWorld
2010-10-01 18:49 . 2010-10-01 18:49 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld
2010-09-30 10:09 . 2010-09-30 10:09 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
2010-09-29 14:19 . 2010-09-29 14:20 -------- d-----w- c:\dokumente und einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\Temp
2010-09-29 14:19 . 2010-09-29 14:19 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
2010-09-29 14:19 . 2010-09-29 14:26 -------- d-----w- c:\dokumente und einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\Google
2010-09-29 14:19 . 2010-09-29 14:22 -------- d-----w- c:\programme\Google
2010-09-28 19:03 . 2010-09-28 19:03 -------- d-----w- c:\dokumente und einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\TVU Networks
2010-09-28 19:03 . 2010-09-28 19:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TVU Networks
2010-09-28 19:03 . 2010-09-28 19:03 -------- d-----w- c:\dokumente und einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\LocalLow
2010-09-28 18:59 . 2010-09-28 18:59 -------- d-----w- c:\winxp\system32\TVUAx
2010-09-25 23:30 . 2010-09-25 23:30 -------- d-----w- c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Malwarebytes
2010-09-25 23:30 . 2010-04-29 13:39 38224 ----a-w- c:\winxp\system32\drivers\mbamswissarmy.sys
2010-09-25 23:30 . 2010-09-25 23:30 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-25 23:30 . 2010-04-29 13:39 20952 ----a-w- c:\winxp\system32\drivers\mbam.sys
2010-09-25 23:30 . 2010-09-25 23:30 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-09-25 21:42 . 2010-09-29 12:24 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-09-25 21:42 . 2010-09-29 10:11 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-09-25 19:51 . 2010-09-29 10:11 554216 ----a-w- c:\programme\Mozilla Firefox\uninstall\helper.exe
2010-09-22 16:10 . 2010-09-22 16:10 103864 ----a-w- c:\programme\Mozilla Firefox\plugins\nppdf32.dll
2010-09-22 16:10 . 2010-09-22 16:10 103864 ----a-w- c:\programme\Internet Explorer\Plugins\nppdf32.dll
2010-09-19 20:33 . 2010-09-19 20:33 -------- d-----w- c:\dokumente und einstellungen\Stefan\Anwendungsdaten\StreamTorrent
2010-09-19 20:33 . 2010-09-19 20:33 -------- d-----w- c:\programme\StreamTorrent 1.0
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
------- Sigcheck -------
[-] 2008-07-08 . 451D0981F4CCA5697307AF90D799BDC3 . 1571840 . . [5.1.2600.5512] . . c:\winxp\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}"= "c:\programme\DVDVideoSoft\tbDVD0.dll" [2010-09-30 2735200]
[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
2010-09-30 19:40 2735200 ----a-w- c:\programme\DVDVideoSoft\tbDVD0.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}"= "c:\programme\DVDVideoSoft\tbDVD0.dll" [2010-09-30 2735200]
[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{E9911EC6-1BCC-40B0-9993-E0EEA7F6953F}"= "c:\programme\DVDVideoSoft\tbDVD0.dll" [2010-09-30 2735200]
[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2010-07-11 2199040]
"RocketDock"="c:\programme\RocketDock\RocketDock.exe" [2007-09-02 495616]
"ctfmon.exe"="c:\winxp\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Sicherheit\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2006-07-20 593920]
"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2006-08-16 53248]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2010-08-10 149280]
"igfxtray"="c:\winxp\system32\igfxtray.exe" [2006-03-23 94208]
"igfxhkcmd"="c:\winxp\system32\hkcmd.exe" [2006-03-23 77824]
"igfxpers"="c:\winxp\system32\igfxpers.exe" [2006-03-23 118784]
"QuickTime Task"="c:\programme\Media\QuickTime\QTTask.exe" [2010-03-18 421888]
"iTunesHelper"="c:\programme\Media\iTunes\iTunesHelper.exe" [2010-07-16 141608]
"Broadcom Wireless Manager UI"="c:\winxp\system32\WLTRAY.exe" [2005-11-11 1236992]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152]
"Adobe Reader Speed Launcher"="c:\programme\PDF\AdobeReader 933\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-12 83360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Sicherheit\Avira\AntiVir Desktop\sched.exe [10.08.2010 13:03 135336]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [29.09.2010 16:19 136176]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;c:\winxp\system32\drivers\PDNMp50.sys [28.11.2006 20:16 28224]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;c:\winxp\system32\drivers\PDNSp50.sys [28.11.2006 20:16 27072]
.
Inhalt des "geplante Tasks" Ordners
2010-08-10 c:\winxp\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 07:20]
2010-10-17 c:\winxp\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-09-29 14:19]
2010-10-17 c:\winxp\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-09-29 14:19]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2269050
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\od7jq3ix.default\
FF - prefs.js: network.proxy.type - 0
FF - plugin: c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\od7jq3ix.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\programme\Media\iTunes\Mozilla Plugins\npitunes.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin2.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin3.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin4.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin5.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin6.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin7.dll
FF - plugin: c:\programme\PDF\AdobeReader 933\Reader\browser\nppdf32.dll
FF - plugin: c:\programme\Veetle\Player\npvlc.dll
FF - plugin: c:\programme\Veetle\plugins\npVeetle.dll
FF - plugin: c:\winxp\system32\TVUAx\npTVUAx.dll
---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKLM-Run-RTHDCPL - RTHDCPL.EXE
HKU-Default-Run-fheydbueyj.exe - c:\fheydbueyj.exe\fheydbueyj.exe
Notify-krambst - (no file)
AddRemove-{D1AE6D4D-C37A-487d-83D8-C333125B2459} - c:\programme\HP\Digital Imaging\{D1AE6D4D-C37A-487d-83D8-C333125B2459}\setup\hpzscr01.exe
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(812)
c:\winxp\System32\BCMLogon.dll
- - - - - - - > 'explorer.exe'(3404)
c:\programme\RocketDock\RocketDock.dll
c:\winxp\system32\wpdshserviceobj.dll
c:\winxp\system32\portabledevicetypes.dll
c:\winxp\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\winxp\System32\WLTRYSVC.EXE
c:\winxp\System32\bcmwltry.exe
c:\programme\Sicherheit\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Sicherheit\Avira\AntiVir Desktop\avshadow.exe
c:\winxp\system32\HPZipm12.exe
c:\winxp\system32\wscntfy.exe
c:\winxp\system32\wbem\wmiapsrv.exe
c:\winxp\system32\igfxext.exe
c:\winxp\system32\igfxsrvc.exe
c:\programme\iPod\bin\iPodService.exe
c:\programme\HP\Digital Imaging\bin\hpqSTE08.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-10-17 23:17:26 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-10-17 21:17
Vor Suchlauf: 8 Verzeichnis(se), 20.968.120.320 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 20.891.004.928 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
- - End Of File - - D36B667D52B4B80D161CAED8D2DBF0E9
Allerdings gab es ein kleines Problem als combofix den ersten Neustart verlangt hat. Das habe ich bestätigt und gewartet und gewartet ... Nur wollte der Laptop nicht runterfahren. Hab ihn dann über den Powerknopf ausgeschaltet und wieder hochgefahren. Danach hat combofix weitergearbeitet. Wollte ich nur anmerken. Keine Ahnung, ob es relevant ist. |
|
18.10.2010, 08:48
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter FCopy::
c:\winxp\system32\dllcache\sfcfiles.dll | c:\winxp\system32\sfcfiles.dll
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ --> Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden |
|
18.10.2010, 17:21
| #7 |
| | Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden Hier die Logdatei. Combofix hat allerdings nicht nach einem Neustart verlangt, lediglich nach einem Update. Combofix Logfile: Code:
ATTFilter ComboFix 10-10-17.04 - Stefan 18.10.2010 18:11:35.2.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.502.165 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Stefan\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Stefan\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Neuer Wiederherstellungspunkt wurde erstellt
.
((((((((((((((((((((((( Dateien erstellt von 2010-09-18 bis 2010-10-18 ))))))))))))))))))))))))))))))
.
2010-10-17 20:56 . 2010-10-17 21:17 -------- d-----w- C:\cofi
2010-10-17 20:53 . 2010-10-17 20:53 49152 ---ha-w- c:\winxp\system32\bootuery.dll
2010-10-17 20:47 . 2010-10-17 20:47 -------- d-----w- c:\programme\CCleaner
2010-10-16 10:15 . 2010-10-16 10:15 -------- d-----w- C:\_OTL
2010-10-16 10:03 . 2010-10-16 10:03 -------- d-----w- c:\winxp\Internet Logs
2010-10-12 18:40 . 2010-10-12 18:43 -------- d-----w- c:\programme\ERUNT
2010-10-10 20:11 . 2010-10-10 20:11 -------- d-----w- c:\programme\Veetle
2010-10-10 09:22 . 2010-10-10 09:23 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-10-07 09:58 . 2010-10-07 09:58 -------- d-----w- c:\dokumente und einstellungen\Stefan\WINDOWS
2010-10-07 09:58 . 2010-10-07 09:58 -------- d-----w- C:\DBControl
2010-10-07 09:54 . 2010-10-07 09:54 -------- d-----w- c:\winxp\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\DBControl
2010-10-07 09:54 . 2010-10-07 09:54 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\DBControl
2010-10-07 09:54 . 2010-10-07 09:54 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\DBControl
2010-10-07 09:54 . 2010-10-07 09:54 -------- d-----w- c:\dokumente und einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\DBControl
2010-10-05 10:28 . 2010-10-05 10:28 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-10-01 18:49 . 2010-10-01 18:49 632064 ----a-w- c:\winxp\system32\msvcr80.dll
2010-10-01 18:49 . 2010-10-01 18:49 554240 ----a-w- c:\winxp\system32\msvcp80.dll
2010-10-01 18:49 . 2010-10-01 18:49 34048 ----a-w- c:\winxp\system32\eEmpty.exe
2010-10-01 18:49 . 2008-04-14 12:00 153600 ----a-w- c:\winxp\R.COM
2010-10-01 18:49 . 2008-04-14 12:00 140800 ----a-w- c:\winxp\system32\T.COM
2010-10-01 18:49 . 2010-10-01 18:49 -------- d-----w- c:\programme\Gemeinsame Dateien\MicroWorld
2010-10-01 18:49 . 2010-10-01 18:49 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld
2010-09-30 10:09 . 2010-09-30 10:09 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
2010-09-29 14:19 . 2010-09-29 14:20 -------- d-----w- c:\dokumente und einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\Temp
2010-09-29 14:19 . 2010-09-29 14:19 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
2010-09-29 14:19 . 2010-09-29 14:26 -------- d-----w- c:\dokumente und einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\Google
2010-09-29 14:19 . 2010-09-29 14:22 -------- d-----w- c:\programme\Google
2010-09-28 19:03 . 2010-09-28 19:03 -------- d-----w- c:\dokumente und einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\TVU Networks
2010-09-28 19:03 . 2010-09-28 19:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TVU Networks
2010-09-28 19:03 . 2010-09-28 19:03 -------- d-----w- c:\dokumente und einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\LocalLow
2010-09-28 18:59 . 2010-09-28 18:59 -------- d-----w- c:\winxp\system32\TVUAx
2010-09-25 23:30 . 2010-09-25 23:30 -------- d-----w- c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Malwarebytes
2010-09-25 23:30 . 2010-04-29 13:39 38224 ----a-w- c:\winxp\system32\drivers\mbamswissarmy.sys
2010-09-25 23:30 . 2010-09-25 23:30 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-25 23:30 . 2010-04-29 13:39 20952 ----a-w- c:\winxp\system32\drivers\mbam.sys
2010-09-25 23:30 . 2010-09-25 23:30 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-09-25 21:42 . 2010-09-29 12:24 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-09-25 21:42 . 2010-09-29 10:11 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-09-25 19:51 . 2010-09-29 10:11 554216 ----a-w- c:\programme\Mozilla Firefox\uninstall\helper.exe
2010-09-22 16:10 . 2010-09-22 16:10 103864 ----a-w- c:\programme\Mozilla Firefox\plugins\nppdf32.dll
2010-09-22 16:10 . 2010-09-22 16:10 103864 ----a-w- c:\programme\Internet Explorer\Plugins\nppdf32.dll
2010-09-19 20:33 . 2010-09-19 20:33 -------- d-----w- c:\dokumente und einstellungen\Stefan\Anwendungsdaten\StreamTorrent
2010-09-19 20:33 . 2010-09-19 20:33 -------- d-----w- c:\programme\StreamTorrent 1.0
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
------- Sigcheck -------
[-] 2008-07-08 . 451D0981F4CCA5697307AF90D799BDC3 . 1571840 . . [5.1.2600.5512] . . c:\winxp\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((( SnapShot@2010-10-17_21.13.29 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-10-18 16:00 . 2010-10-18 16:00 16384 c:\winxp\Temp\Perflib_Perfdata_110.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}"= "c:\programme\DVDVideoSoft\tbDVD0.dll" [2010-09-30 2735200]
[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
2010-09-30 19:40 2735200 ----a-w- c:\programme\DVDVideoSoft\tbDVD0.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}"= "c:\programme\DVDVideoSoft\tbDVD0.dll" [2010-09-30 2735200]
[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{E9911EC6-1BCC-40B0-9993-E0EEA7F6953F}"= "c:\programme\DVDVideoSoft\tbDVD0.dll" [2010-09-30 2735200]
[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2010-07-11 2199040]
"RocketDock"="c:\programme\RocketDock\RocketDock.exe" [2007-09-02 495616]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Sicherheit\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2006-07-20 593920]
"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2006-08-16 53248]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2010-08-10 149280]
"igfxtray"="c:\winxp\system32\igfxtray.exe" [2006-03-23 94208]
"igfxhkcmd"="c:\winxp\system32\hkcmd.exe" [2006-03-23 77824]
"igfxpers"="c:\winxp\system32\igfxpers.exe" [2006-03-23 118784]
"QuickTime Task"="c:\programme\Media\QuickTime\QTTask.exe" [2010-03-18 421888]
"iTunesHelper"="c:\programme\Media\iTunes\iTunesHelper.exe" [2010-07-16 141608]
"Broadcom Wireless Manager UI"="c:\winxp\system32\WLTRAY.exe" [2005-11-11 1236992]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152]
"Adobe Reader Speed Launcher"="c:\programme\PDF\AdobeReader 933\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-12 83360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\StreamTorrent 1.0\\StreamTorrent.exe"=
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Sicherheit\Avira\AntiVir Desktop\sched.exe [10.08.2010 13:03 135336]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [29.09.2010 16:19 136176]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;c:\winxp\system32\drivers\PDNMp50.sys [28.11.2006 20:16 28224]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;c:\winxp\system32\drivers\PDNSp50.sys [28.11.2006 20:16 27072]
.
Inhalt des "geplante Tasks" Ordners
2010-08-10 c:\winxp\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 07:20]
2010-10-18 c:\winxp\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-09-29 14:19]
2010-10-17 c:\winxp\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-09-29 14:19]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2269050
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\od7jq3ix.default\
FF - prefs.js: network.proxy.type - 0
FF - plugin: c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\od7jq3ix.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\programme\Media\iTunes\Mozilla Plugins\npitunes.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin2.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin3.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin4.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin5.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin6.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin7.dll
FF - plugin: c:\programme\PDF\AdobeReader 933\Reader\browser\nppdf32.dll
FF - plugin: c:\programme\Veetle\Player\npvlc.dll
FF - plugin: c:\programme\Veetle\plugins\npVeetle.dll
FF - plugin: c:\winxp\system32\TVUAx\npTVUAx.dll
---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(812)
c:\winxp\System32\BCMLogon.dll
- - - - - - - > 'explorer.exe'(596)
c:\winxp\system32\wpdshserviceobj.dll
c:\winxp\system32\portabledevicetypes.dll
c:\winxp\system32\portabledeviceapi.dll
.
Zeit der Fertigstellung: 2010-10-18 18:18:28
ComboFix-quarantined-files.txt 2010-10-18 16:18
ComboFix2.txt 2010-10-17 21:17
Vor Suchlauf: 10 Verzeichnis(se), 20.839.899.136 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 20.831.436.800 Bytes frei
- - End Of File - - 6A05E7438DE06459583E88EA3ABB6B09
|
|
18.10.2010, 18:42
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden Hat nicht ganz geklappt. Schau mal hier => File-Upload.net - sfcfiles.dll.zip Da hab ich mal "meine" sfcfiles.dll hochgeladen. Lad sie Dir runter und entpack sie direkt nach, sodass "meine" sfcfiles.dll (nicht die ZIP-Datei!!) direkt auch C: liegt. Danach müssen wir mal wieder scripten: Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter FCopy::
c:\sfcfiles.dll | c:\winxp\system32\sfcfiles.dll
4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
18.10.2010, 19:18
| #9 |
| | Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden Wieder wurde kein Neustart verlangt  ...Combofix Logfile: Code:
ATTFilter ComboFix 10-10-17.04 - Stefan 18.10.2010 20:10:04.3.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.502.192 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Stefan\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Stefan\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
--------------- FCopy ---------------
c:\sfcfiles.dll --> c:\winxp\system32\sfcfiles.dll
.
((((((((((((((((((((((( Dateien erstellt von 2010-09-18 bis 2010-10-18 ))))))))))))))))))))))))))))))
.
2010-10-18 18:02 . 2008-04-14 06:52 1571840 ------w- C:\sfcfiles.dll
2010-10-17 20:56 . 2010-10-17 21:17 -------- d-----w- C:\cofi
2010-10-17 20:53 . 2010-10-17 20:53 49152 ---ha-w- c:\winxp\system32\bootuery.dll
2010-10-17 20:47 . 2010-10-17 20:47 -------- d-----w- c:\programme\CCleaner
2010-10-16 10:15 . 2010-10-16 10:15 -------- d-----w- C:\_OTL
2010-10-16 10:03 . 2010-10-16 10:03 -------- d-----w- c:\winxp\Internet Logs
2010-10-12 18:40 . 2010-10-12 18:43 -------- d-----w- c:\programme\ERUNT
2010-10-10 20:11 . 2010-10-10 20:11 -------- d-----w- c:\programme\Veetle
2010-10-10 09:22 . 2010-10-10 09:23 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-10-07 09:58 . 2010-10-07 09:58 -------- d-----w- c:\dokumente und einstellungen\Stefan\WINDOWS
2010-10-07 09:58 . 2010-10-07 09:58 -------- d-----w- C:\DBControl
2010-10-07 09:54 . 2010-10-07 09:54 -------- d-----w- c:\winxp\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\DBControl
2010-10-07 09:54 . 2010-10-07 09:54 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\DBControl
2010-10-07 09:54 . 2010-10-07 09:54 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\DBControl
2010-10-07 09:54 . 2010-10-07 09:54 -------- d-----w- c:\dokumente und einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\DBControl
2010-10-05 10:28 . 2010-10-05 10:28 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-10-01 18:49 . 2010-10-01 18:49 632064 ----a-w- c:\winxp\system32\msvcr80.dll
2010-10-01 18:49 . 2010-10-01 18:49 554240 ----a-w- c:\winxp\system32\msvcp80.dll
2010-10-01 18:49 . 2010-10-01 18:49 34048 ----a-w- c:\winxp\system32\eEmpty.exe
2010-10-01 18:49 . 2008-04-14 12:00 153600 ----a-w- c:\winxp\R.COM
2010-10-01 18:49 . 2008-04-14 12:00 140800 ----a-w- c:\winxp\system32\T.COM
2010-10-01 18:49 . 2010-10-01 18:49 -------- d-----w- c:\programme\Gemeinsame Dateien\MicroWorld
2010-10-01 18:49 . 2010-10-01 18:49 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld
2010-09-30 10:09 . 2010-09-30 10:09 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
2010-09-29 14:19 . 2010-09-29 14:20 -------- d-----w- c:\dokumente und einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\Temp
2010-09-29 14:19 . 2010-09-29 14:19 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
2010-09-29 14:19 . 2010-09-29 14:26 -------- d-----w- c:\dokumente und einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\Google
2010-09-29 14:19 . 2010-09-29 14:22 -------- d-----w- c:\programme\Google
2010-09-28 19:03 . 2010-09-28 19:03 -------- d-----w- c:\dokumente und einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\TVU Networks
2010-09-28 19:03 . 2010-09-28 19:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TVU Networks
2010-09-28 19:03 . 2010-09-28 19:03 -------- d-----w- c:\dokumente und einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\LocalLow
2010-09-28 18:59 . 2010-09-28 18:59 -------- d-----w- c:\winxp\system32\TVUAx
2010-09-25 23:30 . 2010-09-25 23:30 -------- d-----w- c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Malwarebytes
2010-09-25 23:30 . 2010-04-29 13:39 38224 ----a-w- c:\winxp\system32\drivers\mbamswissarmy.sys
2010-09-25 23:30 . 2010-09-25 23:30 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-25 23:30 . 2010-04-29 13:39 20952 ----a-w- c:\winxp\system32\drivers\mbam.sys
2010-09-25 23:30 . 2010-09-25 23:30 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-09-25 21:42 . 2010-10-18 18:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-09-25 21:42 . 2010-09-29 12:24 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-09-25 19:51 . 2010-09-29 10:11 554216 ----a-w- c:\programme\Mozilla Firefox\uninstall\helper.exe
2010-09-22 16:10 . 2010-09-22 16:10 103864 ----a-w- c:\programme\Mozilla Firefox\plugins\nppdf32.dll
2010-09-22 16:10 . 2010-09-22 16:10 103864 ----a-w- c:\programme\Internet Explorer\Plugins\nppdf32.dll
2010-09-19 20:33 . 2010-09-19 20:33 -------- d-----w- c:\dokumente und einstellungen\Stefan\Anwendungsdaten\StreamTorrent
2010-09-19 20:33 . 2010-09-19 20:33 -------- d-----w- c:\programme\StreamTorrent 1.0
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((( SnapShot@2010-10-17_21.13.29 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-10-18 16:00 . 2010-10-18 16:00 16384 c:\winxp\Temp\Perflib_Perfdata_110.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}"= "c:\programme\DVDVideoSoft\tbDVD0.dll" [2010-09-30 2735200]
[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
2010-09-30 19:40 2735200 ----a-w- c:\programme\DVDVideoSoft\tbDVD0.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}"= "c:\programme\DVDVideoSoft\tbDVD0.dll" [2010-09-30 2735200]
[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{E9911EC6-1BCC-40B0-9993-E0EEA7F6953F}"= "c:\programme\DVDVideoSoft\tbDVD0.dll" [2010-09-30 2735200]
[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2010-07-11 2199040]
"RocketDock"="c:\programme\RocketDock\RocketDock.exe" [2007-09-02 495616]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Sicherheit\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2006-07-20 593920]
"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2006-08-16 53248]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2010-08-10 149280]
"igfxtray"="c:\winxp\system32\igfxtray.exe" [2006-03-23 94208]
"igfxhkcmd"="c:\winxp\system32\hkcmd.exe" [2006-03-23 77824]
"igfxpers"="c:\winxp\system32\igfxpers.exe" [2006-03-23 118784]
"QuickTime Task"="c:\programme\Media\QuickTime\QTTask.exe" [2010-03-18 421888]
"iTunesHelper"="c:\programme\Media\iTunes\iTunesHelper.exe" [2010-07-16 141608]
"Broadcom Wireless Manager UI"="c:\winxp\system32\WLTRAY.exe" [2005-11-11 1236992]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152]
"Adobe Reader Speed Launcher"="c:\programme\PDF\AdobeReader 933\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-12 83360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\StreamTorrent 1.0\\StreamTorrent.exe"=
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Sicherheit\Avira\AntiVir Desktop\sched.exe [10.08.2010 13:03 135336]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [29.09.2010 16:19 136176]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;c:\winxp\system32\drivers\PDNMp50.sys [28.11.2006 20:16 28224]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;c:\winxp\system32\drivers\PDNSp50.sys [28.11.2006 20:16 27072]
.
Inhalt des "geplante Tasks" Ordners
2010-08-10 c:\winxp\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 07:20]
2010-10-18 c:\winxp\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-09-29 14:19]
2010-10-18 c:\winxp\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-09-29 14:19]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2269050
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\od7jq3ix.default\
FF - prefs.js: network.proxy.type - 0
FF - plugin: c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\od7jq3ix.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\programme\Media\iTunes\Mozilla Plugins\npitunes.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin2.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin3.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin4.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin5.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin6.dll
FF - plugin: c:\programme\Media\QuickTime\Plugins\npqtplugin7.dll
FF - plugin: c:\programme\PDF\AdobeReader 933\Reader\browser\nppdf32.dll
FF - plugin: c:\programme\Veetle\Player\npvlc.dll
FF - plugin: c:\programme\Veetle\plugins\npVeetle.dll
FF - plugin: c:\winxp\system32\TVUAx\npTVUAx.dll
---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(812)
c:\winxp\System32\BCMLogon.dll
c:\winxp\system32\igfxdev.dll
- - - - - - - > 'explorer.exe'(2572)
c:\winxp\system32\wpdshserviceobj.dll
c:\winxp\system32\portabledevicetypes.dll
c:\winxp\system32\portabledeviceapi.dll
.
Zeit der Fertigstellung: 2010-10-18 20:16:08
ComboFix-quarantined-files.txt 2010-10-18 18:16
ComboFix2.txt 2010-10-18 16:18
ComboFix3.txt 2010-10-17 21:17
Vor Suchlauf: 11 Verzeichnis(se), 20.824.899.584 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 20.811.730.944 Bytes frei
- - End Of File - - CDFB6A0FA5FA045E6CB8459939D6735C
|
|
18.10.2010, 19:20
| #10 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden Ist schon so Ok Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
18.10.2010, 20:07
| #11 |
| | Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden GMER Logfile: Code:
ATTFilter GMER 1.0.15.15281 - GMER - Rootkit Detector and Remover
Rootkit scan 2010-10-18 20:53:49
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOKUME~1\Stefan\LOKALE~1\Temp\pxtdqpow.sys
---- System - GMER 1.0.15 ----
SSDT F8B86026 ZwCreateKey
SSDT F8B8601C ZwCreateThread
SSDT F8B8602B ZwDeleteKey
SSDT F8B86035 ZwDeleteValueKey
SSDT F8B8603A ZwLoadKey
SSDT F8B86008 ZwOpenProcess
SSDT F8B8600D ZwOpenThread
SSDT F8B86044 ZwReplaceKey
SSDT F8B8603F ZwRestoreKey
SSDT F8B86030 ZwSetValueKey
Code \??\C:\DOKUME~1\Stefan\LOKALE~1\Temp\catchme.sys pIofCallDriver
---- Kernel code sections - GMER 1.0.15 ----
? C:\WINXP\system32\Drivers\PROCEXP113.SYS Das System kann die angegebene Datei nicht finden. !
? C:\DOKUME~1\Stefan\LOKALE~1\Temp\catchme.sys Das System kann die angegebene Datei nicht finden. !
? C:\DOKUME~1\Stefan\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. !
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINXP\explorer.exe[2572] @ C:\WINXP\explorer.exe [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\Secur32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\ole32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\USERENV.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\explorer.exe[2572] @ C:\WINXP\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- EOF - GMER 1.0.15 ----
OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 Online Solutions. Complex Protection for Information Systems Saved at 21:03:27 on 18.10.2010 OS: Windows XP Professional Service Pack 3 (Build 2600) Default Browser: Microsoft Corporation Internet Explorer 7.00.6000.16705 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe "GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe [Control Panel Objects] -----( %SystemRoot%\system32 )----- "BCMWLCPL.CPL" - "Broadcom Corporation" - C:\WINXP\system32\BCMWLCPL.CPL "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINXP\system32\javacpl.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\SICHER~1\Avira\ANTIVI~1\avconfig.cpl "QuickTime" - "Apple Inc." - C:\Programme\Media\QuickTime\QTSystem\QuickTime.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "avgio" (avgio) - "Avira GmbH" - C:\Programme\Sicherheit\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINXP\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINXP\System32\DRIVERS\avipbb.sys "catchme" (catchme) - ? - C:\DOKUME~1\Stefan\LOKALE~1\Temp\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINXP\system32\drivers\Changer.sys (File not found) "i2omgmt" (i2omgmt) - ? - C:\WINXP\system32\drivers\i2omgmt.sys (File not found) "lbrtfdc" (lbrtfdc) - ? - C:\WINXP\system32\drivers\lbrtfdc.sys (File not found) "PCIDump" (PCIDump) - ? - C:\WINXP\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINXP\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINXP\system32\drivers\PDFRAME.sys (File not found) "PDNMp50 NDIS Protocol Driver" (PDNMp50) - "Printing Communications Assoc., Inc. (PCAUSA)" - C:\WINXP\system32\drivers\PDNMp50.sys "PDNSp50 NDIS Protocol Driver" (PDNSp50) - "Printing Communications Assoc., Inc. (PCAUSA)" - C:\WINXP\system32\drivers\PDNSp50.sys "PDRELI" (PDRELI) - ? - C:\WINXP\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINXP\system32\drivers\PDRFRAME.sys (File not found) "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINXP\System32\DRIVERS\ssmdrv.sys "WDICA" (WDICA) - ? - C:\WINXP\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Handler )----- {3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL {0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL {CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )----- {AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? - (File not found | COM-object registry key not found) -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\Media\iTunes\iTunesMiniPlayer.dll {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Sicherheit\Avira\AntiVir Desktop\shlext.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "DVDVideoSoftTB Toolbar" - "Conduit Ltd." - C:\Programme\DVDVideoSoft\tbDVD0.dll <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) <binary data> "{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107}" - ? - (File not found | COM-object registry key not found) -----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )----- {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} "DVDVideoSoftTB Toolbar" - "Conduit Ltd." - C:\Programme\DVDVideoSoft\tbDVD0.dll -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )----- {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} "DVDVideoSoftTB Toolbar" - "Conduit Ltd." - C:\Programme\DVDVideoSoft\tbDVD0.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} "DVDVideoSoftTB Toolbar" - "Conduit Ltd." - C:\Programme\DVDVideoSoft\tbDVD0.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini "HP Digital Imaging Monitor.lnk" - "Hewlett-Packard Development Company, L.P." - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe (Shortcut exists | File exists) "Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OSA.EXE (Shortcut exists | File exists) -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\Stefan\Startmenü\Programme\Autostart\desktop.ini -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "Rainlendar2" - ? - C:\Programme\Rainlendar2\Rainlendar2.exe "RocketDock" - ? - "C:\Programme\RocketDock\RocketDock.exe" (File found, but it contains no detailed information) -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" "Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\PDF\AdobeReader 933\Reader\Reader_sl.exe" "avgnt" - "Avira GmbH" - "C:\Programme\Sicherheit\Avira\AntiVir Desktop\avgnt.exe" /min "AzMixerSel" - "Realtek Semiconductor Corp." - C:\Programme\Realtek\InstallShield\AzMixerSel.exe "Broadcom Wireless Manager UI" - "Broadcom Corporation" - C:\WINXP\system32\WLTRAY.exe "HP Software Update" - "Hewlett-Packard Development Company, L.P." - C:\Programme\HP\HP Software Update\HPWuSchd2.exe "iTunesHelper" - "Apple Inc." - "C:\Programme\Media\iTunes\iTunesHelper.exe" "LManager" - "Dritek System Inc." - C:\PROGRA~1\LAUNCH~1\LManager.exe "QuickTime Task" - "Apple Inc." - "C:\Programme\Media\QuickTime\QTTask.exe" -atboottime "SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Java\jre6\bin\jusched.exe" [Network Providers] -----( HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order )----- "Broadcom 802.11 Network Adapter Logon Provider" - "Broadcom Corporation" - C:\WINXP\System32\BCMLogon.dll [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "eDocPortMonitor" - "May Software" - C:\PROGRA~1\GEMEIN~1\MAYCOM~1\EDOCPR~1\eDocPort.dll [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe "Automatische Updates" (wuauserv) - ? - C:\WINDOWS\system32\wuauserv.dll (File not found) "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Sicherheit\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Sicherheit\Avira\AntiVir Desktop\sched.exe "Broadcom Wireless LAN Tray Service" (wltrysvc) - ? - C:\WINXP\System32\WLTRYSVC.EXE (File found, but it contains no detailed information) "Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe "Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe "Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe "Pml Driver HPZ12" (Pml Driver HPZ12) - "HP" - C:\WINXP\system32\HPZipm12.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )----- "WgaLogon" - "Microsoft Corporation" - C:\WINXP\system32\WgaLogon.dll [Winsock Providers] -----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )----- "mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit Online Solutions :: Index MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Professional Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x0000001c Kernel Drivers (total 129): 0x804D7000 \WINXP\system32\ntkrnlpa.exe 0x806D0000 \WINXP\system32\hal.dll 0xF8975000 \WINXP\system32\KDCOM.DLL 0xF8885000 \WINXP\system32\BOOTVID.dll 0xF8345000 ACPI.sys 0xF8977000 \WINXP\system32\DRIVERS\WMILIB.SYS 0xF8334000 pci.sys 0xF8475000 isapnp.sys 0xF8889000 compbatt.sys 0xF888D000 \WINXP\system32\DRIVERS\BATTC.SYS 0xF8A3D000 pciide.sys 0xF86F5000 \WINXP\system32\DRIVERS\PCIIDEX.SYS 0xF8316000 pcmcia.sys 0xF8485000 MountMgr.sys 0xF82F7000 ftdisk.sys 0xF8979000 dmload.sys 0xF82D1000 dmio.sys 0xF8891000 ACPIEC.sys 0xF8A3E000 \WINXP\system32\DRIVERS\OPRGHDLR.SYS 0xF86FD000 PartMgr.sys 0xF8495000 VolSnap.sys 0xF82B9000 atapi.sys 0xF84A5000 disk.sys 0xF84B5000 \WINXP\system32\DRIVERS\CLASSPNP.SYS 0xF8299000 fltMgr.sys 0xF8287000 sr.sys 0xF8270000 KSecDD.sys 0xF81E3000 Ntfs.sys 0xF81B6000 NDIS.sys 0xF819C000 Mup.sys 0xF85C5000 \SystemRoot\system32\DRIVERS\intelppm.sys 0xF8939000 \SystemRoot\system32\DRIVERS\wmiacpi.sys 0xF8026000 \SystemRoot\system32\DRIVERS\ialmnt5.sys 0xF8012000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xF7FEA000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0xF876D000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0xF7FC6000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF8775000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF85D5000 \SystemRoot\system32\DRIVERS\bcm4sbxp.sys 0xF85E5000 \SystemRoot\system32\DRIVERS\EMS7SK.sys 0xF7FB2000 \SystemRoot\system32\DRIVERS\sdbus.sys 0xF7F9F000 \SystemRoot\system32\DRIVERS\ESM7SK.sys 0xF85F5000 \SystemRoot\system32\DRIVERS\ESD7SK.sys 0xF893D000 \SystemRoot\system32\DRIVERS\CmBatt.sys 0xF8605000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF877D000 \SystemRoot\system32\DRIVERS\DKbFltr.sys 0xF8785000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF878D000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF8615000 \SystemRoot\system32\DRIVERS\imapi.sys 0xF8625000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xF8635000 \SystemRoot\system32\DRIVERS\redbook.sys 0xF7F7C000 \SystemRoot\system32\DRIVERS\ks.sys 0xF8795000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys 0xF8BB0000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF8645000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF8945000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xF7F65000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF8655000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF8665000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF879D000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xF7F54000 \SystemRoot\system32\DRIVERS\psched.sys 0xF8675000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF87AD000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF87B5000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF7EFC000 \SystemRoot\system32\DRIVERS\rdpdr.sys 0xF8685000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF8991000 \SystemRoot\system32\DRIVERS\swenum.sys 0xF7E9E000 \SystemRoot\system32\DRIVERS\update.sys 0xF8961000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF8695000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xAAB7E000 \SystemRoot\system32\drivers\RtkHDAud.sys 0xAAB5A000 \SystemRoot\system32\drivers\portcls.sys 0xF86D5000 \SystemRoot\system32\drivers\drmk.sys 0xAAB24000 \SystemRoot\system32\DRIVERS\HSFHWAZL.sys 0xAAA30000 \SystemRoot\system32\DRIVERS\HSF_DPV.sys 0xAA97F000 \SystemRoot\system32\DRIVERS\HSF_CNXT.sys 0xF87C5000 \SystemRoot\System32\Drivers\Modem.SYS 0xF86E5000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF899F000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF89C9000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xF8A81000 \SystemRoot\System32\Drivers\Null.SYS 0xF89CB000 \SystemRoot\System32\Drivers\Beep.SYS 0xF8805000 \SystemRoot\System32\drivers\vga.sys 0xF89CD000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF89CF000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xF880D000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF8815000 \SystemRoot\System32\Drivers\Npfs.SYS 0xF8929000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xAA94C000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xAA8F3000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xAA8CB000 \SystemRoot\system32\DRIVERS\netbt.sys 0xAA8A9000 \SystemRoot\System32\drivers\afd.sys 0xF84D5000 \SystemRoot\system32\DRIVERS\netbios.sys 0xF881D000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xAA87E000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xAA7E6000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xF84E5000 \SystemRoot\System32\Drivers\Fips.SYS 0xAA7C0000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xAA79E000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xF89D3000 \??\C:\Programme\Sicherheit\Avira\AntiVir Desktop\avgio.sys 0xAA77A000 \SystemRoot\System32\Drivers\Fastfat.SYS 0xF8835000 \SystemRoot\system32\DRIVERS\usbprint.sys 0xF7E9A000 \SystemRoot\system32\DRIVERS\hidusb.sys 0xF8515000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0xF883D000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xF7E96000 \SystemRoot\system32\DRIVERS\mouhid.sys 0xAA73A000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xF89E1000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xF7E7A000 \SystemRoot\System32\drivers\Dxapi.sys 0xF8845000 \SystemRoot\System32\watchdog.sys 0xBF9C3000 \SystemRoot\System32\drivers\dxg.sys 0xF8AD9000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF9E4000 \SystemRoot\System32\ialmdnt5.dll 0xBF9D5000 \SystemRoot\System32\ialmrnt5.dll 0xBFA06000 \SystemRoot\System32\ialmdev5.DLL 0xBFA41000 \SystemRoot\System32\ialmdd5.DLL 0xF8575000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xAA60D000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xAA632000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xAA298000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xAA294000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys 0xAA0B6000 \SystemRoot\system32\DRIVERS\srv.sys 0xA9FD9000 \SystemRoot\system32\drivers\wdmaud.sys 0xF7E66000 \SystemRoot\system32\drivers\sysaudio.sys 0xA9FEE000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xA9C02000 \SystemRoot\System32\Drivers\HTTP.sys 0xA9787000 \SystemRoot\system32\DRIVERS\bcmwl5.sys 0x7C910000 \WINXP\system32\ntdll.dll Processes (total 44): 0 System Idle Process 4 System 396 C:\WINXP\system32\smss.exe 456 csrss.exe 480 C:\WINXP\system32\winlogon.exe 684 C:\WINXP\system32\services.exe 696 C:\WINXP\system32\lsass.exe 860 C:\WINXP\system32\svchost.exe 936 svchost.exe 976 C:\WINXP\system32\svchost.exe 1044 svchost.exe 1100 svchost.exe 1292 C:\WINXP\system32\WLTRYSVC.EXE 1304 C:\WINXP\system32\BCMWLTRY.EXE 1404 C:\WINXP\explorer.exe 1428 C:\WINXP\system32\spoolsv.exe 1516 C:\Programme\Sicherheit\Avira\AntiVir Desktop\sched.exe 1644 C:\Programme\Sicherheit\Avira\AntiVir Desktop\avguard.exe 1656 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe 1672 C:\Programme\Bonjour\mDNSResponder.exe 1748 C:\Programme\Java\jre6\bin\jqs.exe 1800 C:\WINXP\system32\HPZipm12.exe 1892 C:\Programme\Sicherheit\Avira\AntiVir Desktop\avshadow.exe 496 C:\Programme\Sicherheit\Avira\AntiVir Desktop\avgnt.exe 516 C:\PROGRA~1\LAUNCH~1\LManager.exe 556 C:\Programme\Java\jre6\bin\jusched.exe 564 C:\WINXP\system32\igfxtray.exe 612 C:\WINXP\system32\hkcmd.exe 648 C:\WINXP\system32\igfxpers.exe 1072 C:\Programme\Media\iTunes\iTunesHelper.exe 1088 C:\WINXP\system32\WLTRAY.EXE 1096 C:\Programme\HP\HP Software Update\hpwuSchd2.exe 1244 C:\Programme\Rainlendar2\Rainlendar2.exe 1528 C:\Programme\RocketDock\RocketDock.exe 2136 C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe 2276 alg.exe 2396 C:\WINXP\system32\igfxext.exe 2432 C:\WINXP\system32\igfxsrvc.exe 2548 C:\WINXP\system32\wbem\wmiapsrv.exe 2688 wmiprvse.exe 2848 C:\Programme\iPod\bin\iPodService.exe 2940 C:\Programme\HP\Digital Imaging\bin\hpqste08.exe 3024 C:\WINXP\system32\ctfmon.exe 2260 C:\Dokumente und Einstellungen\Stefan\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000001`384c7a00 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x00000007`89313e00 (FAT32) PhysicalDrive0 Model Number: HTS541060G9AT00, Rev: MB3OA60A Size Device Name MBR Status -------------------------------------------- 55 GB \\.\PhysicalDrive0 Windows XP MBR code detected SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11 Done! |
|
18.10.2010, 20:23
| #12 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
18.10.2010, 20:47
| #13 |
| | Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden Lasse gerade Malwarebaytes durchlaufen. Bisher wurde noch kein Fehler gefunden. Allerdings meldet mir Avira gerade einen Malwarefund: In der Datei 'C:\Qoobox\Quarantine\C\WINXP\system\dwm.exe.vir' wurde ein Virus oder unerwünschtes Programm 'TR\Crypt.XPACK.Gen3' gefunden. Der Zugriff auf diese Datei wurde verweigert. Bitte wählen Sie die weitere Aktion: Entfernen oder Details ??? |
|
18.10.2010, 20:48
| #14 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden Qoobox ist der Quarantäneordner von CF, CF hat da die bösen Dateien als Sicherheitskopien abgelegt. Ist schon klar, dass AntiVir dadrin was finden kann, das ist aber nicht schlimm, weil die Schädlinge dort isoliert sind und somit keinen Schaden mehr anrichten können.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
18.10.2010, 21:02
| #15 |
| | Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden Malwarebytes' Anti-Malware 1.46 Malwarebytes Datenbank Version: 4875 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 18.10.2010 22:01:29 mbam-log-2010-10-18 (22-01-29).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|) Durchsuchte Objekte: 170485 Laufzeit: 33 Minute(n), 38 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) superantispyware starte ich jetzt |
|
| Themen zu Spyware.passwords.xgen, TR/Dropper.Gen, DR/Delf.O.37 gefunden |
| .dll, 0 bytes, antivir, avg, avira, checkpoint, cpu, desktop, dllhost.exe, dr/delf.o.37, einstellungen, fheydbueyj.exe, infizierte, malwarebytes, modul, mozilla, nt.dll, pdf, prozess, prozesse, registry, services.exe, sicherheit, software, spyware.passwords.xgen, starten, svchost.exe, system volume information, tr/dropper.gen, versteckte objekte, verweise, virus gefunden, windows, winlogon.exe |
Linear-Darstellung
