|
Plagegeister aller Art und deren Bekämpfung: TR/Spy. 1036800.10 in explorer.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
09.11.2010, 00:35 | #1 |
| TR/Spy. 1036800.10 in explorer.exe Hallo, ich bekomme seit der letzten Aktualisierung von Antivir die Meldung: "In der Datei "C:\WINDOWS\explorer.exe" wurde ein Virus oder unerwünschtes Programm "TR/Spy.1036800.10" gefunden", wenn ich es entferne verschwindet natürlich der ganze explorer in die Qurantäne und ich habe nur noch den Desktophintergrund und kann den explorer nicht mal mehr über den Taskmanager öffnen. Zuvor war mir aufgefallen das ich in Google zwar suchen kann, dann die Seiten aber nicht geöffnet bekomme, bzw. nur wenn ich sie als Bilder suche. Vor einiger Zeit sucht mich auch Thinkpoint heim. Da ich nicht gerade viel Ahnung von Rechnern habe wäre ich für Hilfe dankbar, denn die ewigen Meldungen von Antivir machen einen fertig. Anbei ein Zip von den Logdateien wie es für Anfänger bei euch beschrieben wurde und hier noch dier Bericht von AVG: HTML-Code: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 8. November 2010 17:40 Es wird nach 3027646 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : WORKSTATION Versionsinformationen: BUILD.DAT : 10.0.0.592 31823 Bytes 09.08.2010 10:49:00 AVSCAN.EXE : 10.0.3.1 434344 Bytes 08.11.2010 16:39:22 AVSCAN.DLL : 10.0.3.0 56168 Bytes 20.04.2010 12:26:09 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:04:21 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 14:37:09 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 06:43:30 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 13:31:50 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 09:36:39 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 12:26:09 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 07:51:42 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 22:00:36 VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 11:52:07 VBASE009.VDF : 7.10.13.80 2265600 Bytes 02.11.2010 16:39:21 VBASE010.VDF : 7.10.13.81 2048 Bytes 02.11.2010 16:39:21 VBASE011.VDF : 7.10.13.82 2048 Bytes 02.11.2010 16:39:21 VBASE012.VDF : 7.10.13.83 2048 Bytes 02.11.2010 16:39:21 VBASE013.VDF : 7.10.13.116 147968 Bytes 04.11.2010 16:39:21 VBASE014.VDF : 7.10.13.147 146944 Bytes 07.11.2010 16:39:21 VBASE015.VDF : 7.10.13.148 2048 Bytes 07.11.2010 16:39:21 VBASE016.VDF : 7.10.13.149 2048 Bytes 07.11.2010 16:39:21 VBASE017.VDF : 7.10.13.150 2048 Bytes 07.11.2010 16:39:21 VBASE018.VDF : 7.10.13.151 2048 Bytes 07.11.2010 16:39:21 VBASE019.VDF : 7.10.13.152 2048 Bytes 07.11.2010 16:39:21 VBASE020.VDF : 7.10.13.153 2048 Bytes 07.11.2010 16:39:21 VBASE021.VDF : 7.10.13.154 2048 Bytes 07.11.2010 16:39:21 VBASE022.VDF : 7.10.13.155 2048 Bytes 07.11.2010 16:39:21 VBASE023.VDF : 7.10.13.156 2048 Bytes 07.11.2010 16:39:21 VBASE024.VDF : 7.10.13.157 2048 Bytes 07.11.2010 16:39:21 VBASE025.VDF : 7.10.13.158 2048 Bytes 07.11.2010 16:39:21 VBASE026.VDF : 7.10.13.159 2048 Bytes 07.11.2010 16:39:21 VBASE027.VDF : 7.10.13.160 2048 Bytes 07.11.2010 16:39:21 VBASE028.VDF : 7.10.13.161 2048 Bytes 07.11.2010 16:39:21 VBASE029.VDF : 7.10.13.162 2048 Bytes 07.11.2010 16:39:21 VBASE030.VDF : 7.10.13.163 2048 Bytes 07.11.2010 16:39:21 VBASE031.VDF : 7.10.13.171 75264 Bytes 08.11.2010 16:39:21 Engineversion : 8.2.4.92 AEVDF.DLL : 8.1.2.1 106868 Bytes 28.09.2010 11:52:13 AESCRIPT.DLL : 8.1.3.46 1364347 Bytes 08.11.2010 16:39:21 AESCN.DLL : 8.1.6.1 127347 Bytes 31.05.2010 14:40:47 AESBX.DLL : 8.1.3.1 254324 Bytes 28.04.2010 14:35:41 AERDL.DLL : 8.1.9.2 635252 Bytes 28.09.2010 11:52:12 AEPACK.DLL : 8.2.3.11 471416 Bytes 19.10.2010 11:39:40 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 28.07.2010 22:00:40 AEHEUR.DLL : 8.1.2.38 2990455 Bytes 08.11.2010 16:39:21 AEHELP.DLL : 8.1.14.0 246134 Bytes 19.10.2010 11:39:38 AEGEN.DLL : 8.1.3.24 401781 Bytes 08.11.2010 16:39:21 AEEMU.DLL : 8.1.2.0 393588 Bytes 28.04.2010 14:35:40 AECORE.DLL : 8.1.17.0 196982 Bytes 28.09.2010 11:52:10 AEBB.DLL : 8.1.1.0 53618 Bytes 28.04.2010 14:35:40 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40 AVREG.DLL : 10.0.3.2 53096 Bytes 08.11.2010 16:39:22 AVSCPLR.DLL : 10.0.3.1 83816 Bytes 08.11.2010 16:39:22 AVARKT.DLL : 10.0.0.14 227176 Bytes 20.04.2010 12:26:09 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 08.11.2010 16:39:21 Konfiguration für den aktuellen Suchlauf: Job Name..............................: avguard_async_scan Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_f443357e\guard_slideup.avp Protokollierung.......................: niedrig Primäre Aktion........................: reparieren Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Beginn des Suchlaufs: Montag, 8. November 2010 17:40 Die Reparatur von Rootkits ist nur im interaktiven Modus möglich! Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avwsc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'opera.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AliceCnn.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AAWTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'KHALMNPR.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVerQuick.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TuneUpUtilitiesApp32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TuneUpUtilitiesService32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SupServ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iWinTrusted.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVerHIDReceiver.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EmmaUpdateMgmt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EmmaDeviceMgmt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVerScheduleService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVerRemote.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'aavus.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AAWService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Modul ist infiziert -> <C:\WINDOWS\explorer.exe> [FUND] Ist das Trojanische Pferd TR/Spy.1036800.10 Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\WINDOWS\explorer.exe' C:\WINDOWS\explorer.exe [FUND] Ist das Trojanische Pferd TR/Spy.1036800.10 [HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell> wurde erfolgreich entfernt. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '576dac83.qua' verschoben! [HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell> wurde erfolgreich entfernt. Ende des Suchlaufs: Montag, 8. November 2010 17:41 Benötigte Zeit: 00:36 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 48 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 46 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 1 Hinweise Die Suchergebnisse werden an den Guard übermittelt. HTML-Code: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 5073 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 08.11.2010 15:23:51 mbam-log-2010-11-08 (15-23-51).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 310805 Laufzeit: 1 Stunde(n), 36 Minute(n), 21 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kolesomini.exe (Trojan.SpyEyes) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\kolesomini.exe (Trojan.SpyEyes) -> Delete on reboot. Infizierte Dateien: C:\kolesomini.exe\kolesomini.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully. |
09.11.2010, 00:40 | #2 |
| Anhang Hier noch die Logdateien gezippt wie von euch beschrieben
__________________ |
09.11.2010, 11:32 | #3 |
/// Malware-holic | TR/Spy. 1036800.10 in explorer.exe bitte erstelle und poste ein combofix log.
__________________Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________ |
09.11.2010, 14:10 | #4 |
| TR/Spy. 1036800.10 in explorer.exe Hallo, hat etwas gedauert, weil nachdem ich combo.fix installiert und alles wie in der Anleitung gemacht habe, hat sich der Rechner nach dem Scan heruntergefahren und auch automatisch wieder hoch, doch dann passierte außer dem Hinweis "Bitte warten" von Combo.fix garnichts mehr und das für mehr als anderthalb Stunden. Gottseidank ließ sich das ganze wiederholen und hier nun die LogdateiCombofix Logfile: Code:
ATTFilter ComboFix 10-11-07.A2 - User 09.11.2010 13:41:09.2.2 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1022.562 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\User\Desktop\ComboFix.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ---- Vorheriger Suchlauf ------- . c:\dokumente und einstellungen\All Users\Anwendungsdaten\Caelum c:\dokumente und einstellungen\All Users\Anwendungsdaten\Caelum\hs.cpf c:\dokumente und einstellungen\All Users\Anwendungsdaten\Caelum\save.cpf c:\dokumente und einstellungen\All Users\Anwendungsdaten\hpe433.dll c:\dokumente und einstellungen\All Users\Dokumente\Server\admin.txt c:\dokumente und einstellungen\User\Anwendungsdaten\PriceGong c:\dokumente und einstellungen\User\Anwendungsdaten\PriceGong\Data\1.xml c:\dokumente und einstellungen\User\Anwendungsdaten\PriceGong\Data\a.xml c:\dokumente und einstellungen\User\Anwendungsdaten\PriceGong\Data\b.xml c:\dokumente und einstellungen\User\Anwendungsdaten\PriceGong\Data\c.xml c:\dokumente und einstellungen\User\Anwendungsdaten\PriceGong\Data\d.xml c:\dokumente und einstellungen\User\Anwendungsdaten\PriceGong\Data\e.xml c:\dokumente und einstellungen\User\Anwendungsdaten\PriceGong\Data\f.xml c:\dokumente und einstellungen\User\Anwendungsdaten\PriceGong\Data\g.xml c:\dokumente und einstellungen\User\Anwendungsdaten\PriceGong\Data\h.xml c:\dokumente und einstellungen\User\Anwendungsdaten\PriceGong\Data\i.xml c:\dokumente und einstellungen\User\Anwendungsdaten\PriceGong\Data\J.xml c:\dokumente und einstellungen\User\Anwendungsdaten\PriceGong\Data\k.xml c:\dokumente und einstellungen\User\Anwendungsdaten\PriceGong\Data\l.xml c:\dokumente und einstellungen\User\Anwendungsdaten\PriceGong\Data\m.xml c:\dokumente und einstellungen\User\Anwendungsdaten\PriceGong\Data\n.xml c:\dokumente und einstellungen\User\Anwendungsdaten\PriceGong\Data\o.xml c:\dokumente und einstellungen\User\Anwendungsdaten\PriceGong\Data\p.xml c:\dokumente und einstellungen\User\Anwendungsdaten\PriceGong\Data\q.xml c:\dokumente und einstellungen\User\Anwendungsdaten\PriceGong\Data\r.xml c:\dokumente und einstellungen\User\Anwendungsdaten\PriceGong\Data\s.xml c:\dokumente und einstellungen\User\Anwendungsdaten\PriceGong\Data\t.xml c:\dokumente und einstellungen\User\Anwendungsdaten\PriceGong\Data\u.xml c:\dokumente und einstellungen\User\Anwendungsdaten\PriceGong\Data\v.xml c:\dokumente und einstellungen\User\Anwendungsdaten\PriceGong\Data\w.xml c:\dokumente und einstellungen\User\Anwendungsdaten\PriceGong\Data\x.xml c:\dokumente und einstellungen\User\Anwendungsdaten\PriceGong\Data\y.xml c:\dokumente und einstellungen\User\Anwendungsdaten\PriceGong\Data\z.xml c:\programme\iWin Games\iWinGamesHookIE.dll c:\programme\Search Settings c:\programme\Search Settings\kb128\SeARchsettings.dll c:\programme\Search Settings\kb128\SearchSettingsRes409.dll c:\programme\Search Settings\SearchSettings.exe c:\windows\Downloaded Program Files\popcaploader.dll c:\windows\Downloaded Program Files\popcaploader.inf c:\windows\system32\spool\prtprocs\w32x86\CNMPD86.DLL c:\windows\system32\spool\prtprocs\w32x86\CNMPP86.DLL c:\windows\winhelp.ini D:\install.exe -- Vorheriger Suchlauf -- Infizierte Kopie von c:\windows\system32\winlogon.exe wurde gefunden und desinfiziert Kopie von - c:\windows\ServicePackFiles\i386\winlogon.exe wurde wiederhergestellt Infizierte Kopie von c:\windows\system32\winlogon.exe wurde gefunden und desinfiziert Kopie von - c:\windows\ServicePackFiles\i386\winlogon.exe wurde wiederhergestellt Infizierte Kopie von c:\windows\explorer.exe wurde gefunden und desinfiziert Kopie von - c:\windows\ServicePackFiles\i386\explorer.exe wurde wiederhergestellt -------- . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_BOONTY_GAMES -------\Service_Boonty Games ((((((((((((((((((((((( Dateien erstellt von 2010-10-09 bis 2010-11-09 )))))))))))))))))))))))))))))) . 2010-11-08 19:55 . 2010-11-08 19:56 -------- d-----w- c:\programme\ERUNT 2010-11-08 18:42 . 2008-04-14 02:22 1036800 ----a-w- c:\windows\explorer.exe 2010-11-08 18:02 . 2010-11-08 18:02 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Lavasoft 2010-11-08 16:39 . 2010-11-08 16:39 -------- d-----w- c:\dokumente und einstellungen\LocalService\Startmenü 2010-11-01 10:11 . 2010-11-01 10:11 -------- d-----w- c:\programme\Free M4a to MP3 Converter 2010-10-31 20:57 . 2010-10-31 20:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\BVRP Software 2010-10-26 09:28 . 2010-10-26 09:28 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Malwarebytes 2010-10-26 09:28 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-10-26 09:28 . 2010-10-26 09:28 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-10-26 09:28 . 2010-10-26 09:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-10-26 09:28 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-10-26 07:42 . 2010-10-26 08:18 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\09B7773A45E0DCF41BA3400321E3A107 2010-10-22 08:52 . 2010-10-22 08:52 -------- d-----w- c:\programme\iPod 2010-10-21 21:06 . 2010-09-30 14:58 30016 ----a-w- c:\windows\system32\uxtuneup.dll 2010-10-21 10:21 . 2010-10-21 10:21 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\dvdcss 2010-10-18 12:37 . 2010-10-18 12:37 -------- d-----w- c:\programme\QS QualitySoft GmbH 2010-10-18 10:43 . 2010-10-18 10:43 -------- d-----w- c:\programme\7-Zip 2010-10-14 13:14 . 2010-10-14 13:14 -------- d-----w- c:\programme\Games 2010-10-14 12:36 . 2010-09-18 06:52 974848 -c----w- c:\windows\system32\dllcache\mfc42.dll 2010-10-14 12:36 . 2010-09-18 06:52 953856 -c----w- c:\windows\system32\dllcache\mfc40u.dll 2010-10-14 12:36 . 2010-08-23 16:11 617472 -c----w- c:\windows\system32\dllcache\comctl32.dll 2010-10-12 10:23 . 2010-10-12 10:23 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\funkitron 2010-10-11 20:36 . 2010-10-11 20:36 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\DVDVideoSoftTB 2010-10-11 11:39 . 2010-10-11 11:39 -------- d-----w- c:\windows\Puzzle Quest Galactrix Demo . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-11-08 16:39 . 2009-09-06 17:32 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2010-11-08 16:39 . 2009-09-06 17:32 126856 ----a-w- c:\windows\system32\drivers\avipbb.sys 2010-10-11 11:39 . 2009-10-31 11:50 413696 ----a-w- c:\windows\system32\wrap_oal.dll 2010-10-11 11:39 . 2009-10-31 11:50 110592 ----a-w- c:\windows\system32\OpenAL32.dll 2010-09-30 15:03 . 2010-04-12 09:52 30528 ----a-w- c:\windows\system32\TURegOpt.exe 2010-09-30 08:44 . 2010-09-30 08:44 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys 2010-09-18 10:22 . 2004-08-04 12:00 974848 ----a-w- c:\windows\system32\mfc42u.dll 2010-09-18 06:52 . 2004-08-04 12:00 974848 ----a-w- c:\windows\system32\mfc42.dll 2010-09-18 06:52 . 2004-08-04 12:00 954368 ----a-w- c:\windows\system32\mfc40.dll 2010-09-18 06:52 . 2004-08-04 12:00 953856 ----a-w- c:\windows\system32\mfc40u.dll 2010-09-09 14:17 . 2004-08-04 12:00 672768 ----a-w- c:\windows\system32\wininet.dll 2010-09-09 14:17 . 2004-08-04 12:00 61952 ----a-w- c:\windows\system32\tdc.ocx 2010-09-09 14:17 . 2004-08-04 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll 2010-09-09 14:13 . 2004-08-04 12:00 371200 ----a-w- c:\windows\system32\html.iec 2010-09-08 09:17 . 2010-09-08 09:17 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx 2010-09-08 09:17 . 2010-09-08 09:17 69632 ----a-w- c:\windows\system32\QuickTime.qts 2010-09-01 11:50 . 2004-08-04 12:00 285824 ----a-w- c:\windows\system32\atmfd.dll 2010-09-01 07:54 . 2004-08-04 12:00 1852928 ----a-w- c:\windows\system32\win32k.sys 2010-08-27 08:01 . 2004-08-04 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll 2010-08-27 05:57 . 2004-08-04 12:00 99840 ----a-w- c:\windows\system32\srvsvc.dll 2010-08-27 01:43 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll 2010-08-26 13:39 . 2004-08-04 12:00 357248 ----a-w- c:\windows\system32\drivers\srv.sys 2010-08-23 16:11 . 2004-08-04 12:00 617472 ----a-w- c:\windows\system32\comctl32.dll 2010-08-17 13:17 . 2004-08-04 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe 2010-08-16 08:44 . 2004-08-04 12:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll 2010-08-12 12:15 . 2009-08-30 18:43 15880 ----a-w- c:\windows\system32\lsdelete.exe 2010-08-12 12:15 . 2009-08-30 18:33 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys 2010-08-11 21:50 . 2008-10-06 22:45 307200 ----a-w- c:\windows\system32\TubeFinder.exe 2007-09-30 14:02 . 2007-09-30 14:02 774144 ----a-w- c:\programme\RngInterstitial.dll 2008-08-05 15:40 . 2008-01-10 15:16 122880 ----a-w- c:\programme\mozilla firefox\components\GoogleDesktopMozilla.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{66f2e20d-0da8-4c11-a9c8-dd8477b88acd}"= "c:\programme\ZoneAlarm\tbZon1.dll" [2010-08-17 2734688] "{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-11-01 2735200] [HKEY_CLASSES_ROOT\clsid\{66f2e20d-0da8-4c11-a9c8-dd8477b88acd}] [HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{66f2e20d-0da8-4c11-a9c8-dd8477b88acd}] 2010-08-17 08:26 2734688 ----a-w- c:\programme\ZoneAlarm\tbZon1.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}] 2010-11-01 10:32 2735200 ----a-w- c:\programme\DVDVideoSoftTB\tbDVD1.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{66f2e20d-0da8-4c11-a9c8-dd8477b88acd}"= "c:\programme\ZoneAlarm\tbZon1.dll" [2010-08-17 2734688] "{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-11-01 2735200] [HKEY_CLASSES_ROOT\clsid\{66f2e20d-0da8-4c11-a9c8-dd8477b88acd}] [HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] "{66F2E20D-0DA8-4C11-A9C8-DD8477B88ACD}"= "c:\programme\ZoneAlarm\tbZon1.dll" [2010-08-17 2734688] "{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-11-01 2735200] [HKEY_CLASSES_ROOT\clsid\{66f2e20d-0da8-4c11-a9c8-dd8477b88acd}] [HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"="RTHDCPL.EXE" [2006-06-28 16248320] "SkyTel"="SkyTel.EXE" [2006-05-16 2879488] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-08 281768] "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-10-10 69632] "ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2010-06-23 1043968] "ISW"="c:\programme\CheckPoint\ZAForceField\ForceField.exe" [2010-05-26 730600] "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2010-02-02 198160] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\User\Startmen�\Programme\Autostart\ ERUNT AutoBackup.lnk - c:\programme\ERUNT\AUTOBACK.EXE [2005-10-20 38912] c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\ AVer HID Receiver.lnk - c:\programme\Gemeinsame Dateien\AVerMedia\AVerQuick\AVerHIDReceiver.exe [2010-9-2 155648] AVerQuick.lnk - c:\programme\Gemeinsame Dateien\AVerMedia\AVerQuick\AVerQuick.exe [2010-9-2 651264] Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2010-5-10 809488] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn] 2008-11-07 14:41 72208 ----a-w- c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup] @="" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search] 2008-08-05 15:40 29744 ----a-w- c:\programme\Google\Google Desktop Search\GoogleDesktop.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] 2006-01-12 14:40 155648 ----a-w- c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] 2006-08-11 13:43 1519616 ----a-w- c:\windows\system32\nwiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpwareSE4] 2006-03-21 12:19 69632 ----a-w- c:\programme\ScanSoft\OmniPageSE4.0\OpWareSE4.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate] 2003-09-29 23:14 155648 ----a-r- c:\programme\Gemeinsame Dateien\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2009-09-06 17:37 149280 ----a-w- c:\programme\Java\jre6\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] 2007-05-14 22:22 35328 ----a-w- c:\programme\Winamp\winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "ICQ Service"=2 (0x2) "gusvc"=2 (0x2) "gupdate1c9f58d8f00c61a"=2 (0x2) "GoogleDesktopManager-061008-081103"=3 (0x3) "Boonty Games"=3 (0x3) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon "CTFMON.EXE"=c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "iTunesHelper"="d:\programme\iTunesHelper.exe" "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" "SearchSettings"=c:\programme\Search Settings\SearchSettings.exe "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit "Gainward"=c:\windows\TBPanel.exe /A [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\Programme\\Skype\\Phone\\Skype.exe"= "c:\\Programme\\ICQ6\\ICQ.exe"= "c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"= "c:\\WINDOWS\\system32\\sessmgr.exe"= "c:\\Programme\\Sony Ericsson\\SEMC OMSI Module\\SEMC OMSI Module.exe"= "c:\\Programme\\Sony Ericsson\\Update Service\\Update Service.exe"= "c:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"= "c:\\Programme\\Opera\\opera.exe"= "c:\\Programme\\iWin Games\\iWinGames.exe"= "c:\\Programme\\iWin Games\\WebUpdater.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "d:\\Programme\\iTunes.exe"= R0 hotcore3;hc3ServiceName;c:\windows\system32\drivers\hotcore3.sys [30.09.2010 13:45 40560] R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [30.08.2009 19:33 64288] R2 AAV UpdateService;AAV UpdateService;c:\programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.2008 15:35 128296] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [06.09.2009 18:32 135336] R2 AVerRemote;AVerRemote;c:\programme\Gemeinsame Dateien\AVerMedia\Service\AVerRemote.exe [02.09.2010 16:40 344064] R2 AVerScheduleService;AVerScheduleService;c:\programme\Gemeinsame Dateien\AVerMedia\Service\AVerScheduleService.exe [02.09.2010 16:40 389120] R2 EmmaDevMgmtSvc;Emma Device Management;c:\programme\Gemeinsame Dateien\Sony Ericsson\Emma Core\Services\EmmaDeviceMgmt.exe [16.12.2009 13:36 306296] R2 EmmaUpdMgmtSvc;Emma Update Management;c:\programme\Gemeinsame Dateien\Sony Ericsson\Emma Core\Services\EmmaUpdateMgmt.exe [16.12.2009 13:36 162936] R2 ISWKL;ZoneAlarm Toolbar ISWKL;c:\programme\CheckPoint\ZAForceField\ISWKL.sys [14.10.2009 14:30 26352] R2 IswSvc;ZoneAlarm Toolbar IswSvc;c:\programme\CheckPoint\ZAForceField\ISWSVC.exe [14.10.2009 14:30 493032] R2 iWinTrusted;iWinTrusted;c:\programme\iWin Games\iWinTrusted.exe [02.09.2010 16:38 176408] R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [10.05.2010 18:06 10384] R2 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [25.06.2010 18:07 35088] R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [30.09.2010 16:01 1051968] R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [25.11.2009 15:45 27632] R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [24.02.2010 13:41 10064] S2 gupdate1c9f58d8f00c61a;Google Update Service (gupdate1c9f58d8f00c61a);c:\programme\Google\Update\GoogleUpdate.exe [25.06.2009 13:07 133104] S2 OMSI download service;Sony Ericsson OMSI download service;c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [25.11.2009 15:44 90112] S3 AVerAF35;AVerMedia A835 USB DVB-T;c:\windows\system32\drivers\AVerAF35.sys [02.09.2010 16:43 474880] S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [25.11.2009 15:02 13224] S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [12.08.2010 13:15 1357464] S3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\programme\Lavasoft\Ad-Aware\kernexplorer.sys [12.08.2010 13:15 15008] S3 nosGetPlusHelper;getPlus(R) Helper 3004;c:\windows\System32\svchost.exe -k nosGetPlusHelper [04.08.2004 13:00 14336] S3 PDNMp50;PDNMp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNMp50.sys [28.11.2006 22:46 28224] S3 PDNSp50;PDNSp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNSp50.sys [28.11.2006 22:46 27072] S3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\drivers\s0016bus.sys [25.11.2009 15:44 89256] S3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\drivers\s0016mdfl.sys [25.11.2009 15:44 15016] S3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\drivers\s0016mdm.sys [25.11.2009 15:44 120744] S3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0016mgmt.sys [25.11.2009 15:44 114216] S3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\drivers\s0016nd5.sys [25.11.2009 15:44 25512] S3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\drivers\s0016obex.sys [25.11.2009 15:44 110632] S3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\drivers\s0016unic.sys [25.11.2009 15:44 115752] S3 s0017bus;Sony Ericsson Device 0017 driver (WDM);c:\windows\system32\drivers\s0017bus.sys [25.11.2009 15:44 86824] S3 s0017mdfl;Sony Ericsson Device 0017 USB WMC Modem Filter;c:\windows\system32\drivers\s0017mdfl.sys [25.11.2009 15:44 15016] S3 s0017mdm;Sony Ericsson Device 0017 USB WMC Modem Driver;c:\windows\system32\drivers\s0017mdm.sys [25.11.2009 15:44 114600] S3 s0017mgmt;Sony Ericsson Device 0017 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0017mgmt.sys [25.11.2009 15:44 108328] S3 s0017nd5;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (NDIS);c:\windows\system32\drivers\s0017nd5.sys [25.11.2009 15:44 26024] S3 s0017obex;Sony Ericsson Device 0017 USB WMC OBEX Interface;c:\windows\system32\drivers\s0017obex.sys [25.11.2009 15:44 104616] S3 s0017unic;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (WDM);c:\windows\system32\drivers\s0017unic.sys [25.11.2009 15:44 109736] S3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\system32\drivers\s816bus.sys [19.03.2008 18:40 81832] S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;c:\windows\system32\drivers\s816mdfl.sys [19.03.2008 18:40 13864] S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;c:\windows\system32\drivers\s816mdm.sys [19.03.2008 18:40 107304] S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s816mgmt.sys [19.03.2008 18:40 99112] S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);c:\windows\system32\drivers\s816nd5.sys [19.03.2008 18:40 21928] S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;c:\windows\system32\drivers\s816obex.sys [19.03.2008 18:40 97320] S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);c:\windows\system32\drivers\s816unic.sys [19.03.2008 18:40 97704] S4 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245;c:\programme\Google\Google Desktop Search\GoogleDesktop.exe [10.01.2008 16:16 29744] --- Andere Dienste/Treiber im Speicher --- *Deregistered* - hid4eapp [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] nosGetPlusHelper REG_MULTI_SZ nosGetPlusHelper HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{A8D647C8-65AC-409F-B7B2-3C0FEE1A32F2}] 2010-02-16 17:02 114688 ----a-w- c:\programme\PixiePack Codec Pack\InstallerHelper.exe . Inhalt des "geplante Tasks" Ordners 2010-11-09 c:\windows\Tasks\Ad-Aware Update (Weekly).job - c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-08-12 10:10] 2010-11-08 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50] 2010-11-09 c:\windows\Tasks\Google Software Updater.job - c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-03-19 22:27] 2010-11-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-06-25 12:07] 2010-11-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-06-25 12:07] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ mStart Page = hxxp://de.yahoo.com uSearchAssistant = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200 IE: Free YouTube Download - c:\dokumente und einstellungen\User\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\User\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm IE: Save YouTube Video as MP3 IE: {{120CC99A-8016-42d4-93AF-8C5FE64FE4E3} - hxxp://www.yogli.com/ IE: {{EE874DF5-BA13-4961-A0CF-B047F6E4D78C} - {CF2F542A-FDA8-4689-9237-0CF2E3C83FEA} - c:\progra~1\SWELLC~1\ThumbBot\Thumb.dll FF - ProfilePath - c:\dokumente und einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\rcnmvrbt.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FF - prefs.js: browser.search.selectedEngine - Yahoo FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=867034&p= FF - prefs.js: network.proxy.type - 4 FF - component: c:\dokumente und einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\rcnmvrbt.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll FF - component: c:\programme\CheckPoint\ZAForceField\TrustChecker\components\TrustCheckerMozillaPlugin.dll FF - component: c:\programme\Mozilla Firefox\components\GoogleDesktopMozilla.dll FF - component: c:\programme\Mozilla Firefox\extensions\search@searchsettings.com\components\SearchSettingsFF.dll FF - component: c:\programme\Real\RealPlayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll FF - plugin: c:\programme\CheckPoint\ZAForceField\TrustChecker\bin\npFFApi.dll FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npGoogleGadgetPluginFirefoxWin.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npigl.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npracplug.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll FF - plugin: c:\programme\Opera\program\plugins\NPAla.dll FF - plugin: c:\programme\Real\RealArcade\Plugins\Mozilla\npracplug.dll FF - plugin: c:\programme\Sony\Media Go\npmediago.dll FF - plugin: d:\programme\Mozilla Plugins\npitunes.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- FF - user.js: network.http.max-persistent-connections-per-server - 4 FF - user.js: nglayout.initialpaint.delay - 600 FF - user.js: content.notify.interval - 600000 FF - user.js: content.max.tokenizing.time - 1800000 FF - user.js: content.switch.threshold - 600000 . . ------- Dateityp-Verknüpfung ------- . .scr=AutoCADScriptFile . - - - - Entfernte verwaiste Registrierungseinträge - - - - URLSearchHooks-{511131f1-4629-4254-a85f-ed7b6d75dd3c} - (no file) Toolbar-{511131f1-4629-4254-a85f-ed7b6d75dd3c} - (no file) WebBrowser-{511131F1-4629-4254-A85F-ED7B6D75DD3C} - (no file) ************************************************************************** Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(716) c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll c:\programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll - - - - - - - > 'lsass.exe'(788) c:\programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll - - - - - - - > 'explorer.exe'(2100) c:\programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll c:\programme\Logitech\SetPoint\lgscroll.dll c:\progra~1\WINDOW~2\wmpband.dll c:\windows\system32\msi.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . Zeit der Fertigstellung: 2010-11-09 13:51:54 ComboFix-quarantined-files.txt 2010-11-09 12:51 Vor Suchlauf: 10 Verzeichnis(se), 19.746.045.952 Bytes frei Nach Suchlauf: 11 Verzeichnis(se), 19.697.242.112 Bytes frei - - End Of File - - 038F44F91231115577F7A7CE876D59CA Zur Info: zur Zeit kommen keine Meldungen mehr von AVG und auch Google funktioniert normal Danke schon mal für die Unterstützung Geändert von jungerjedi (09.11.2010 um 14:18 Uhr) |
09.11.2010, 14:44 | #5 |
/// Malware-holic | TR/Spy. 1036800.10 in explorer.exe start programme zubehör editor, kopiere rein: Killall:: Rootkit:: c:\windows\system32\drivers\hid4eapp.sys Driver:: hid4eapp Datei speichern unter, ort dort wo sich combofix.exe befindet, typ alle dateien, name cfscript.txt schalte alle im hintergrund laufenden programme, auch avira guard ab. ziehe cfscript auf combofix, programm startet, log posten. öffne den arbeitsplatz, c:, rechtsklick auf qoobox, zu qoobox.rar oder zip hinzufügen, archiv in unseren upload channel hochladen. dateiupload: http://www.trojaner-board.de/54791-a...ner-board.html dann avira guard einschalten, berichten wie der pc läuft.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
09.11.2010, 21:02 | #6 |
| TR/Spy. 1036800.10 in explorer.exe Hallo Markus, habe alles so gemacht wie von dir beschrieben (combifix.exe hat sich beim ersten versuch wieder aufgehängt, genauso wie vorher schon beschrieben). Hier nun die Logdatei Combofix Logfile: Code:
ATTFilter ComboFix 10-11-07.A2 - User 09.11.2010 20:21:11.4.2 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1022.573 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\User\Desktop\ComboFix.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_HID4EAPP -------\Service_hid4eapp ((((((((((((((((((((((( Dateien erstellt von 2010-10-09 bis 2010-11-09 )))))))))))))))))))))))))))))) . 2010-11-08 19:55 . 2010-11-08 19:56 -------- d-----w- c:\programme\ERUNT 2010-11-08 18:42 . 2008-04-14 02:22 1036800 ----a-w- c:\windows\explorer.exe 2010-11-08 18:02 . 2010-11-08 18:02 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Lavasoft 2010-11-08 16:39 . 2010-11-08 16:39 -------- d-----w- c:\dokumente und einstellungen\LocalService\Startmenü 2010-11-01 10:11 . 2010-11-01 10:11 -------- d-----w- c:\programme\Free M4a to MP3 Converter 2010-10-31 20:57 . 2010-10-31 20:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\BVRP Software 2010-10-26 09:28 . 2010-10-26 09:28 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Malwarebytes 2010-10-26 09:28 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-10-26 09:28 . 2010-10-26 09:28 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-10-26 09:28 . 2010-10-26 09:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-10-26 09:28 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-10-26 07:42 . 2010-10-26 08:18 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\09B7773A45E0DCF41BA3400321E3A107 2010-10-22 08:52 . 2010-10-22 08:52 -------- d-----w- c:\programme\iPod 2010-10-21 21:06 . 2010-09-30 14:58 30016 ----a-w- c:\windows\system32\uxtuneup.dll 2010-10-21 10:21 . 2010-10-21 10:21 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\dvdcss 2010-10-18 12:37 . 2010-10-18 12:37 -------- d-----w- c:\programme\QS QualitySoft GmbH 2010-10-18 10:43 . 2010-10-18 10:43 -------- d-----w- c:\programme\7-Zip 2010-10-14 13:14 . 2010-10-14 13:14 -------- d-----w- c:\programme\Games 2010-10-14 12:36 . 2010-09-18 06:52 974848 -c----w- c:\windows\system32\dllcache\mfc42.dll 2010-10-14 12:36 . 2010-09-18 06:52 953856 -c----w- c:\windows\system32\dllcache\mfc40u.dll 2010-10-14 12:36 . 2010-08-23 16:11 617472 -c----w- c:\windows\system32\dllcache\comctl32.dll 2010-10-12 10:23 . 2010-10-12 10:23 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\funkitron 2010-10-11 20:36 . 2010-10-11 20:36 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\DVDVideoSoftTB 2010-10-11 11:39 . 2010-10-11 11:39 -------- d-----w- c:\windows\Puzzle Quest Galactrix Demo . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-11-08 16:39 . 2009-09-06 17:32 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2010-11-08 16:39 . 2009-09-06 17:32 126856 ----a-w- c:\windows\system32\drivers\avipbb.sys 2010-10-11 11:39 . 2009-10-31 11:50 413696 ----a-w- c:\windows\system32\wrap_oal.dll 2010-10-11 11:39 . 2009-10-31 11:50 110592 ----a-w- c:\windows\system32\OpenAL32.dll 2010-09-30 15:03 . 2010-04-12 09:52 30528 ----a-w- c:\windows\system32\TURegOpt.exe 2010-09-30 08:44 . 2010-09-30 08:44 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys 2010-09-18 10:22 . 2004-08-04 12:00 974848 ----a-w- c:\windows\system32\mfc42u.dll 2010-09-18 06:52 . 2004-08-04 12:00 974848 ----a-w- c:\windows\system32\mfc42.dll 2010-09-18 06:52 . 2004-08-04 12:00 954368 ----a-w- c:\windows\system32\mfc40.dll 2010-09-18 06:52 . 2004-08-04 12:00 953856 ----a-w- c:\windows\system32\mfc40u.dll 2010-09-09 14:17 . 2004-08-04 12:00 672768 ----a-w- c:\windows\system32\wininet.dll 2010-09-09 14:17 . 2004-08-04 12:00 61952 ----a-w- c:\windows\system32\tdc.ocx 2010-09-09 14:17 . 2004-08-04 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll 2010-09-09 14:13 . 2004-08-04 12:00 371200 ----a-w- c:\windows\system32\html.iec 2010-09-08 09:17 . 2010-09-08 09:17 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx 2010-09-08 09:17 . 2010-09-08 09:17 69632 ----a-w- c:\windows\system32\QuickTime.qts 2010-09-01 11:50 . 2004-08-04 12:00 285824 ----a-w- c:\windows\system32\atmfd.dll 2010-09-01 07:54 . 2004-08-04 12:00 1852928 ----a-w- c:\windows\system32\win32k.sys 2010-08-27 08:01 . 2004-08-04 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll 2010-08-27 05:57 . 2004-08-04 12:00 99840 ----a-w- c:\windows\system32\srvsvc.dll 2010-08-27 01:43 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll 2010-08-26 13:39 . 2004-08-04 12:00 357248 ----a-w- c:\windows\system32\drivers\srv.sys 2010-08-23 16:11 . 2004-08-04 12:00 617472 ----a-w- c:\windows\system32\comctl32.dll 2010-08-17 13:17 . 2004-08-04 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe 2010-08-16 08:44 . 2004-08-04 12:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll 2010-08-12 12:15 . 2009-08-30 18:43 15880 ----a-w- c:\windows\system32\lsdelete.exe 2010-08-12 12:15 . 2009-08-30 18:33 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys 2010-08-11 21:50 . 2008-10-06 22:45 307200 ----a-w- c:\windows\system32\TubeFinder.exe 2007-09-30 14:02 . 2007-09-30 14:02 774144 ----a-w- c:\programme\RngInterstitial.dll 2008-08-05 15:40 . 2008-01-10 15:16 122880 ----a-w- c:\programme\mozilla firefox\components\GoogleDesktopMozilla.dll . ((((((((((((((((((((((((((((( SnapShot@2010-11-09_12.49.07 ))))))))))))))))))))))))))))))))))))))))) . + 2010-11-09 19:04 . 2010-11-09 19:04 16384 c:\windows\Temp\Perflib_Perfdata_6f8.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{66f2e20d-0da8-4c11-a9c8-dd8477b88acd}"= "c:\programme\ZoneAlarm\tbZon1.dll" [2010-08-17 2734688] "{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-11-01 2735200] [HKEY_CLASSES_ROOT\clsid\{66f2e20d-0da8-4c11-a9c8-dd8477b88acd}] [HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{66f2e20d-0da8-4c11-a9c8-dd8477b88acd}] 2010-08-17 08:26 2734688 ----a-w- c:\programme\ZoneAlarm\tbZon1.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}] 2010-11-01 10:32 2735200 ----a-w- c:\programme\DVDVideoSoftTB\tbDVD1.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{66f2e20d-0da8-4c11-a9c8-dd8477b88acd}"= "c:\programme\ZoneAlarm\tbZon1.dll" [2010-08-17 2734688] "{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-11-01 2735200] [HKEY_CLASSES_ROOT\clsid\{66f2e20d-0da8-4c11-a9c8-dd8477b88acd}] [HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] "{66F2E20D-0DA8-4C11-A9C8-DD8477B88ACD}"= "c:\programme\ZoneAlarm\tbZon1.dll" [2010-08-17 2734688] "{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-11-01 2735200] [HKEY_CLASSES_ROOT\clsid\{66f2e20d-0da8-4c11-a9c8-dd8477b88acd}] [HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"="RTHDCPL.EXE" [2006-06-28 16248320] "SkyTel"="SkyTel.EXE" [2006-05-16 2879488] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-08 281768] "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-10-10 69632] "ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2010-06-23 1043968] "ISW"="c:\programme\CheckPoint\ZAForceField\ForceField.exe" [2010-05-26 730600] "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2010-02-02 198160] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\User\Startmen\Programme\Autostart\ ERUNT AutoBackup.lnk - c:\programme\ERUNT\AUTOBACK.EXE [2005-10-20 38912] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ AVer HID Receiver.lnk - c:\programme\Gemeinsame Dateien\AVerMedia\AVerQuick\AVerHIDReceiver.exe [2010-9-2 155648] AVerQuick.lnk - c:\programme\Gemeinsame Dateien\AVerMedia\AVerQuick\AVerQuick.exe [2010-9-2 651264] Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2010-5-10 809488] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn] 2008-11-07 14:41 72208 ----a-w- c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup] @="" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search] 2008-08-05 15:40 29744 ----a-w- c:\programme\Google\Google Desktop Search\GoogleDesktop.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] 2006-01-12 14:40 155648 ----a-w- c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] 2006-08-11 13:43 1519616 ----a-w- c:\windows\system32\nwiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpwareSE4] 2006-03-21 12:19 69632 ----a-w- c:\programme\ScanSoft\OmniPageSE4.0\OpWareSE4.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate] 2003-09-29 23:14 155648 ----a-r- c:\programme\Gemeinsame Dateien\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2009-09-06 17:37 149280 ----a-w- c:\programme\Java\jre6\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] 2007-05-14 22:22 35328 ----a-w- c:\programme\Winamp\winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "ICQ Service"=2 (0x2) "gusvc"=2 (0x2) "gupdate1c9f58d8f00c61a"=2 (0x2) "GoogleDesktopManager-061008-081103"=3 (0x3) "Boonty Games"=3 (0x3) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon "CTFMON.EXE"=c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "iTunesHelper"="d:\programme\iTunesHelper.exe" "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" "SearchSettings"=c:\programme\Search Settings\SearchSettings.exe "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit "Gainward"=c:\windows\TBPanel.exe /A [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\Programme\\Skype\\Phone\\Skype.exe"= "c:\\Programme\\ICQ6\\ICQ.exe"= "c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"= "c:\\WINDOWS\\system32\\sessmgr.exe"= "c:\\Programme\\Sony Ericsson\\SEMC OMSI Module\\SEMC OMSI Module.exe"= "c:\\Programme\\Sony Ericsson\\Update Service\\Update Service.exe"= "c:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"= "c:\\Programme\\Opera\\opera.exe"= "c:\\Programme\\iWin Games\\iWinGames.exe"= "c:\\Programme\\iWin Games\\WebUpdater.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "d:\\Programme\\iTunes.exe"= R0 hotcore3;hc3ServiceName;c:\windows\system32\drivers\hotcore3.sys [30.09.2010 13:45 40560] R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [30.08.2009 19:33 64288] R2 AAV UpdateService;AAV UpdateService;c:\programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.2008 15:35 128296] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [06.09.2009 18:32 135336] R2 AVerRemote;AVerRemote;c:\programme\Gemeinsame Dateien\AVerMedia\Service\AVerRemote.exe [02.09.2010 16:40 344064] R2 AVerScheduleService;AVerScheduleService;c:\programme\Gemeinsame Dateien\AVerMedia\Service\AVerScheduleService.exe [02.09.2010 16:40 389120] R2 EmmaDevMgmtSvc;Emma Device Management;c:\programme\Gemeinsame Dateien\Sony Ericsson\Emma Core\Services\EmmaDeviceMgmt.exe [16.12.2009 13:36 306296] R2 EmmaUpdMgmtSvc;Emma Update Management;c:\programme\Gemeinsame Dateien\Sony Ericsson\Emma Core\Services\EmmaUpdateMgmt.exe [16.12.2009 13:36 162936] R2 ISWKL;ZoneAlarm Toolbar ISWKL;c:\programme\CheckPoint\ZAForceField\ISWKL.sys [14.10.2009 14:30 26352] R2 IswSvc;ZoneAlarm Toolbar IswSvc;c:\programme\CheckPoint\ZAForceField\ISWSVC.exe [14.10.2009 14:30 493032] R2 iWinTrusted;iWinTrusted;c:\programme\iWin Games\iWinTrusted.exe [02.09.2010 16:38 176408] R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [10.05.2010 18:06 10384] R2 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [25.06.2010 18:07 35088] R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [30.09.2010 16:01 1051968] R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [25.11.2009 15:45 27632] R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [24.02.2010 13:41 10064] S2 gupdate1c9f58d8f00c61a;Google Update Service (gupdate1c9f58d8f00c61a);c:\programme\Google\Update\GoogleUpdate.exe [25.06.2009 13:07 133104] S2 OMSI download service;Sony Ericsson OMSI download service;c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [25.11.2009 15:44 90112] S3 AVerAF35;AVerMedia A835 USB DVB-T;c:\windows\system32\drivers\AVerAF35.sys [02.09.2010 16:43 474880] S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [25.11.2009 15:02 13224] S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [12.08.2010 13:15 1357464] S3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\programme\Lavasoft\Ad-Aware\kernexplorer.sys [12.08.2010 13:15 15008] S3 nosGetPlusHelper;getPlus(R) Helper 3004;c:\windows\System32\svchost.exe -k nosGetPlusHelper [04.08.2004 13:00 14336] S3 PDNMp50;PDNMp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNMp50.sys [28.11.2006 22:46 28224] S3 PDNSp50;PDNSp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNSp50.sys [28.11.2006 22:46 27072] S3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\drivers\s0016bus.sys [25.11.2009 15:44 89256] S3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\drivers\s0016mdfl.sys [25.11.2009 15:44 15016] S3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\drivers\s0016mdm.sys [25.11.2009 15:44 120744] S3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0016mgmt.sys [25.11.2009 15:44 114216] S3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\drivers\s0016nd5.sys [25.11.2009 15:44 25512] S3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\drivers\s0016obex.sys [25.11.2009 15:44 110632] S3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\drivers\s0016unic.sys [25.11.2009 15:44 115752] S3 s0017bus;Sony Ericsson Device 0017 driver (WDM);c:\windows\system32\drivers\s0017bus.sys [25.11.2009 15:44 86824] S3 s0017mdfl;Sony Ericsson Device 0017 USB WMC Modem Filter;c:\windows\system32\drivers\s0017mdfl.sys [25.11.2009 15:44 15016] S3 s0017mdm;Sony Ericsson Device 0017 USB WMC Modem Driver;c:\windows\system32\drivers\s0017mdm.sys [25.11.2009 15:44 114600] S3 s0017mgmt;Sony Ericsson Device 0017 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0017mgmt.sys [25.11.2009 15:44 108328] S3 s0017nd5;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (NDIS);c:\windows\system32\drivers\s0017nd5.sys [25.11.2009 15:44 26024] S3 s0017obex;Sony Ericsson Device 0017 USB WMC OBEX Interface;c:\windows\system32\drivers\s0017obex.sys [25.11.2009 15:44 104616] S3 s0017unic;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (WDM);c:\windows\system32\drivers\s0017unic.sys [25.11.2009 15:44 109736] S3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\system32\drivers\s816bus.sys [19.03.2008 18:40 81832] S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;c:\windows\system32\drivers\s816mdfl.sys [19.03.2008 18:40 13864] S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;c:\windows\system32\drivers\s816mdm.sys [19.03.2008 18:40 107304] S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s816mgmt.sys [19.03.2008 18:40 99112] S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);c:\windows\system32\drivers\s816nd5.sys [19.03.2008 18:40 21928] S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;c:\windows\system32\drivers\s816obex.sys [19.03.2008 18:40 97320] S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);c:\windows\system32\drivers\s816unic.sys [19.03.2008 18:40 97704] S4 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245;c:\programme\Google\Google Desktop Search\GoogleDesktop.exe [10.01.2008 16:16 29744] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] nosGetPlusHelper REG_MULTI_SZ nosGetPlusHelper HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{A8D647C8-65AC-409F-B7B2-3C0FEE1A32F2}] 2010-02-16 17:02 114688 ----a-w- c:\programme\PixiePack Codec Pack\InstallerHelper.exe . Inhalt des "geplante Tasks" Ordners 2010-11-09 c:\windows\Tasks\Ad-Aware Update (Weekly).job - c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-08-12 10:10] 2010-11-08 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50] 2010-11-09 c:\windows\Tasks\Google Software Updater.job - c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-03-19 22:27] 2010-11-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-06-25 12:07] 2010-11-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-06-25 12:07] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ mStart Page = hxxp://de.yahoo.com uSearchAssistant = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200 IE: Free YouTube Download - c:\dokumente und einstellungen\User\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\User\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm IE: Save YouTube Video as MP3 IE: {{120CC99A-8016-42d4-93AF-8C5FE64FE4E3} - hxxp://www.yogli.com/ IE: {{EE874DF5-BA13-4961-A0CF-B047F6E4D78C} - {CF2F542A-FDA8-4689-9237-0CF2E3C83FEA} - c:\progra~1\SWELLC~1\ThumbBot\Thumb.dll FF - ProfilePath - c:\dokumente und einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\rcnmvrbt.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FF - prefs.js: browser.search.selectedEngine - Yahoo FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=867034&p= FF - prefs.js: network.proxy.type - 4 FF - component: c:\dokumente und einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\rcnmvrbt.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll FF - component: c:\programme\CheckPoint\ZAForceField\TrustChecker\components\TrustCheckerMozillaPlugin.dll FF - component: c:\programme\Mozilla Firefox\components\GoogleDesktopMozilla.dll FF - component: c:\programme\Mozilla Firefox\extensions\search@searchsettings.com\components\SearchSettingsFF.dll FF - component: c:\programme\Real\RealPlayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- FF - user.js: network.http.max-persistent-connections-per-server - 4 FF - user.js: nglayout.initialpaint.delay - 600 FF - user.js: content.notify.interval - 600000 FF - user.js: content.max.tokenizing.time - 1800000 FF - user.js: content.switch.threshold - 600000 . . ------- Dateityp-Verknüpfung ------- . .scr=AutoCADScriptFile . ************************************************************************** Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(716) c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll c:\programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll - - - - - - - > 'lsass.exe'(788) c:\programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll - - - - - - - > 'explorer.exe'(1508) c:\programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll c:\programme\Logitech\SetPoint\lgscroll.dll c:\progra~1\WINDOW~2\wmpband.dll c:\windows\system32\msi.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . Zeit der Fertigstellung: 2010-11-09 20:31:23 ComboFix-quarantined-files.txt 2010-11-09 19:31 ComboFix2.txt 2010-11-09 12:51 Vor Suchlauf: 10 Verzeichnis(se), 19.568.467.968 Bytes frei Nach Suchlauf: 11 Verzeichnis(se), 19.557.093.376 Bytes frei - - End Of File - - 266DD71E1698B25D17C04A4BF7BC4465 qoobox.zip habe ich im upload channel hochgeladen. Der Rechner läuft zur Zeit stabil und es kommen keine Meldungen. Bisher scheint alles zu funktionieren, Internet insbesondere Google läuft. |
09.11.2010, 21:11 | #7 |
/// Malware-holic | TR/Spy. 1036800.10 in explorer.exe öffne malwarebytes, update, komplett scan, funde löschen, log posten.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
10.11.2010, 00:44 | #8 |
| TR/Spy. 1036800.10 in explorer.exe Hier der Log HTML-Code: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 5085 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 10.11.2010 00:39:18 mbam-log-2010-11-10 (00-39-18).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 307246 Laufzeit: 1 Stunde(n), 13 Minute(n), 33 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
10.11.2010, 00:49 | #9 |
| TR/Spy. 1036800.10 in explorer.exe Hier das Avira Log HTML-Code: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 10. November 2010 00:47 Es wird nach 3027646 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : WORKSTATION Versionsinformationen: BUILD.DAT : 10.0.0.592 31823 Bytes 09.08.2010 10:49:00 AVSCAN.EXE : 10.0.3.1 434344 Bytes 08.11.2010 16:39:22 AVSCAN.DLL : 10.0.3.0 56168 Bytes 20.04.2010 12:26:09 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:04:21 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 14:37:09 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 06:43:30 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 13:31:50 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 09:36:39 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 12:26:09 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 07:51:42 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 22:00:36 VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 11:52:07 VBASE009.VDF : 7.10.13.80 2265600 Bytes 02.11.2010 16:39:21 VBASE010.VDF : 7.10.13.81 2048 Bytes 02.11.2010 16:39:21 VBASE011.VDF : 7.10.13.82 2048 Bytes 02.11.2010 16:39:21 VBASE012.VDF : 7.10.13.83 2048 Bytes 02.11.2010 16:39:21 VBASE013.VDF : 7.10.13.116 147968 Bytes 04.11.2010 16:39:21 VBASE014.VDF : 7.10.13.147 146944 Bytes 07.11.2010 16:39:21 VBASE015.VDF : 7.10.13.148 2048 Bytes 07.11.2010 16:39:21 VBASE016.VDF : 7.10.13.149 2048 Bytes 07.11.2010 16:39:21 VBASE017.VDF : 7.10.13.150 2048 Bytes 07.11.2010 16:39:21 VBASE018.VDF : 7.10.13.151 2048 Bytes 07.11.2010 16:39:21 VBASE019.VDF : 7.10.13.152 2048 Bytes 07.11.2010 16:39:21 VBASE020.VDF : 7.10.13.153 2048 Bytes 07.11.2010 16:39:21 VBASE021.VDF : 7.10.13.154 2048 Bytes 07.11.2010 16:39:21 VBASE022.VDF : 7.10.13.155 2048 Bytes 07.11.2010 16:39:21 VBASE023.VDF : 7.10.13.156 2048 Bytes 07.11.2010 16:39:21 VBASE024.VDF : 7.10.13.157 2048 Bytes 07.11.2010 16:39:21 VBASE025.VDF : 7.10.13.158 2048 Bytes 07.11.2010 16:39:21 VBASE026.VDF : 7.10.13.159 2048 Bytes 07.11.2010 16:39:21 VBASE027.VDF : 7.10.13.160 2048 Bytes 07.11.2010 16:39:21 VBASE028.VDF : 7.10.13.161 2048 Bytes 07.11.2010 16:39:21 VBASE029.VDF : 7.10.13.162 2048 Bytes 07.11.2010 16:39:21 VBASE030.VDF : 7.10.13.163 2048 Bytes 07.11.2010 16:39:21 VBASE031.VDF : 7.10.13.171 75264 Bytes 08.11.2010 16:39:21 Engineversion : 8.2.4.92 AEVDF.DLL : 8.1.2.1 106868 Bytes 28.09.2010 11:52:13 AESCRIPT.DLL : 8.1.3.46 1364347 Bytes 08.11.2010 16:39:21 AESCN.DLL : 8.1.6.1 127347 Bytes 31.05.2010 14:40:47 AESBX.DLL : 8.1.3.1 254324 Bytes 28.04.2010 14:35:41 AERDL.DLL : 8.1.9.2 635252 Bytes 28.09.2010 11:52:12 AEPACK.DLL : 8.2.3.11 471416 Bytes 19.10.2010 11:39:40 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 28.07.2010 22:00:40 AEHEUR.DLL : 8.1.2.38 2990455 Bytes 08.11.2010 16:39:21 AEHELP.DLL : 8.1.14.0 246134 Bytes 19.10.2010 11:39:38 AEGEN.DLL : 8.1.3.24 401781 Bytes 08.11.2010 16:39:21 AEEMU.DLL : 8.1.2.0 393588 Bytes 28.04.2010 14:35:40 AECORE.DLL : 8.1.17.0 196982 Bytes 28.09.2010 11:52:10 AEBB.DLL : 8.1.1.0 53618 Bytes 28.04.2010 14:35:40 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40 AVREG.DLL : 10.0.3.2 53096 Bytes 08.11.2010 16:39:22 AVSCPLR.DLL : 10.0.3.1 83816 Bytes 08.11.2010 16:39:22 AVARKT.DLL : 10.0.0.14 227176 Bytes 20.04.2010 12:26:09 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 08.11.2010 16:39:21 Konfiguration für den aktuellen Suchlauf: Job Name..............................: avguard_async_scan Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_f3c5e326\guard_slideup.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Beginn des Suchlaufs: Mittwoch, 10. November 2010 00:47 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NOTEPAD.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'opera.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AliceCnn.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'KHALMNPR.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVerQuick.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TuneUpUtilitiesApp32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TuneUpUtilitiesService32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iWinTrusted.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVerHIDReceiver.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EmmaUpdateMgmt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EmmaDeviceMgmt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVerScheduleService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVerRemote.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'aavus.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\Qoobox\Quarantine\C\WINDOWS\explorer.exe.vir' C:\Qoobox\Quarantine\C\WINDOWS\explorer.exe.vir [FUND] Ist das Trojanische Pferd TR/Spy.1036800.10 Beginne mit der Suche in 'C:\System Volume Information\_restore{24FA6643-9757-4060-B94A-A022994F8CA0}\RP5\A0005582.exe' C:\System Volume Information\_restore{24FA6643-9757-4060-B94A-A022994F8CA0}\RP5\A0005582.exe [FUND] Ist das Trojanische Pferd TR/Spy.1036800.10 Beginne mit der Suche in 'C:\System Volume Information\_restore{24FA6643-9757-4060-B94A-A022994F8CA0}\RP5\A0005620.exe' C:\System Volume Information\_restore{24FA6643-9757-4060-B94A-A022994F8CA0}\RP5\A0005620.exe [FUND] Ist das Trojanische Pferd TR/Spy.1036800.10 Beginne mit der Suche in 'C:\System Volume Information\_restore{24FA6643-9757-4060-B94A-A022994F8CA0}\RP5\A0005673.exe' C:\System Volume Information\_restore{24FA6643-9757-4060-B94A-A022994F8CA0}\RP5\A0005673.exe [FUND] Ist das Trojanische Pferd TR/Spy.1036800.10 Beginne mit der Suche in 'C:\System Volume Information\_restore{24FA6643-9757-4060-B94A-A022994F8CA0}\RP5\A0005675.exe' C:\System Volume Information\_restore{24FA6643-9757-4060-B94A-A022994F8CA0}\RP5\A0005675.exe [FUND] Ist das Trojanische Pferd TR/Spy.1036800.10 Beginne mit der Suche in 'C:\System Volume Information\_restore{24FA6643-9757-4060-B94A-A022994F8CA0}\RP6\A0005857.exe' C:\System Volume Information\_restore{24FA6643-9757-4060-B94A-A022994F8CA0}\RP6\A0005857.exe [FUND] Ist das Trojanische Pferd TR/Spy.1036800.10 Beginne mit der Desinfektion: C:\System Volume Information\_restore{24FA6643-9757-4060-B94A-A022994F8CA0}\RP6\A0005857.exe [FUND] Ist das Trojanische Pferd TR/Spy.1036800.10 [WARNUNG] Die Datei wurde ignoriert. C:\System Volume Information\_restore{24FA6643-9757-4060-B94A-A022994F8CA0}\RP5\A0005675.exe [FUND] Ist das Trojanische Pferd TR/Spy.1036800.10 [WARNUNG] Die Datei wurde ignoriert. C:\System Volume Information\_restore{24FA6643-9757-4060-B94A-A022994F8CA0}\RP5\A0005673.exe [FUND] Ist das Trojanische Pferd TR/Spy.1036800.10 [WARNUNG] Die Datei wurde ignoriert. C:\System Volume Information\_restore{24FA6643-9757-4060-B94A-A022994F8CA0}\RP5\A0005620.exe [FUND] Ist das Trojanische Pferd TR/Spy.1036800.10 [WARNUNG] Die Datei wurde ignoriert. C:\System Volume Information\_restore{24FA6643-9757-4060-B94A-A022994F8CA0}\RP5\A0005582.exe [FUND] Ist das Trojanische Pferd TR/Spy.1036800.10 [WARNUNG] Die Datei wurde ignoriert. C:\Qoobox\Quarantine\C\WINDOWS\explorer.exe.vir [FUND] Ist das Trojanische Pferd TR/Spy.1036800.10 [WARNUNG] Die Datei wurde ignoriert. Ende des Suchlaufs: Mittwoch, 10. November 2010 00:47 Benötigte Zeit: 00:01 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 49 Dateien wurden geprüft 6 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 43 Dateien ohne Befall 0 Archive wurden durchsucht 6 Warnungen 0 Hinweise Die Suchergebnisse werden an den Guard übermittelt. |
10.11.2010, 11:45 | #10 |
/// Malware-holic | TR/Spy. 1036800.10 in explorer.exe jetzt bitte die rootkit suche noch aktivieren, über lokaler schutz, lokale laufwerke scannen. das war nur die suche die nach der instalation startet oder nach ner fund meldung.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
10.11.2010, 13:04 | #11 |
| TR/Spy. 1036800.10 in explorer.exe Hier der neue AVG Log HTML-Code:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 10. November 2010 12:03
Es wird nach 3027646 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : User
Computername : WORKSTATION
Versionsinformationen:
BUILD.DAT : 10.0.0.592 31823 Bytes 09.08.2010 10:49:00
AVSCAN.EXE : 10.0.3.1 434344 Bytes 08.11.2010 16:39:22
AVSCAN.DLL : 10.0.3.0 56168 Bytes 20.04.2010 12:26:09
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:04:21
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 14:37:09
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 06:43:30
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 13:31:50
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 09:36:39
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 12:26:09
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 07:51:42
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 22:00:36
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 11:52:07
VBASE009.VDF : 7.10.13.80 2265600 Bytes 02.11.2010 16:39:21
VBASE010.VDF : 7.10.13.81 2048 Bytes 02.11.2010 16:39:21
VBASE011.VDF : 7.10.13.82 2048 Bytes 02.11.2010 16:39:21
VBASE012.VDF : 7.10.13.83 2048 Bytes 02.11.2010 16:39:21
VBASE013.VDF : 7.10.13.116 147968 Bytes 04.11.2010 16:39:21
VBASE014.VDF : 7.10.13.147 146944 Bytes 07.11.2010 16:39:21
VBASE015.VDF : 7.10.13.148 2048 Bytes 07.11.2010 16:39:21
VBASE016.VDF : 7.10.13.149 2048 Bytes 07.11.2010 16:39:21
VBASE017.VDF : 7.10.13.150 2048 Bytes 07.11.2010 16:39:21
VBASE018.VDF : 7.10.13.151 2048 Bytes 07.11.2010 16:39:21
VBASE019.VDF : 7.10.13.152 2048 Bytes 07.11.2010 16:39:21
VBASE020.VDF : 7.10.13.153 2048 Bytes 07.11.2010 16:39:21
VBASE021.VDF : 7.10.13.154 2048 Bytes 07.11.2010 16:39:21
VBASE022.VDF : 7.10.13.155 2048 Bytes 07.11.2010 16:39:21
VBASE023.VDF : 7.10.13.156 2048 Bytes 07.11.2010 16:39:21
VBASE024.VDF : 7.10.13.157 2048 Bytes 07.11.2010 16:39:21
VBASE025.VDF : 7.10.13.158 2048 Bytes 07.11.2010 16:39:21
VBASE026.VDF : 7.10.13.159 2048 Bytes 07.11.2010 16:39:21
VBASE027.VDF : 7.10.13.160 2048 Bytes 07.11.2010 16:39:21
VBASE028.VDF : 7.10.13.161 2048 Bytes 07.11.2010 16:39:21
VBASE029.VDF : 7.10.13.162 2048 Bytes 07.11.2010 16:39:21
VBASE030.VDF : 7.10.13.163 2048 Bytes 07.11.2010 16:39:21
VBASE031.VDF : 7.10.13.171 75264 Bytes 08.11.2010 16:39:21
Engineversion : 8.2.4.92
AEVDF.DLL : 8.1.2.1 106868 Bytes 28.09.2010 11:52:13
AESCRIPT.DLL : 8.1.3.46 1364347 Bytes 08.11.2010 16:39:21
AESCN.DLL : 8.1.6.1 127347 Bytes 31.05.2010 14:40:47
AESBX.DLL : 8.1.3.1 254324 Bytes 28.04.2010 14:35:41
AERDL.DLL : 8.1.9.2 635252 Bytes 28.09.2010 11:52:12
AEPACK.DLL : 8.2.3.11 471416 Bytes 19.10.2010 11:39:40
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 28.07.2010 22:00:40
AEHEUR.DLL : 8.1.2.38 2990455 Bytes 08.11.2010 16:39:21
AEHELP.DLL : 8.1.14.0 246134 Bytes 19.10.2010 11:39:38
AEGEN.DLL : 8.1.3.24 401781 Bytes 08.11.2010 16:39:21
AEEMU.DLL : 8.1.2.0 393588 Bytes 28.04.2010 14:35:40
AECORE.DLL : 8.1.17.0 196982 Bytes 28.09.2010 11:52:10
AEBB.DLL : 8.1.1.0 53618 Bytes 28.04.2010 14:35:40
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40
AVREG.DLL : 10.0.3.2 53096 Bytes 08.11.2010 16:39:22
AVSCPLR.DLL : 10.0.3.1 83816 Bytes 08.11.2010 16:39:22
AVARKT.DLL : 10.0.0.14 227176 Bytes 20.04.2010 12:26:09
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 08.11.2010 16:39:21
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits und aktiver Malware
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,
Beginn des Suchlaufs: Mittwoch, 10. November 2010 12:03
Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\parseautoexec
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'googleearth.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'AliceCnn.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.EXE' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVerQuick.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'TuneUpUtilitiesApp32.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'TuneUpUtilitiesService32.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'SupServ.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'iWinTrusted.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVerHIDReceiver.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'EmmaUpdateMgmt.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'EmmaDeviceMgmt.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVerScheduleService.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVerRemote.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'aavus.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '108' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '170' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1825' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:' <Datec_1>
C:\Qoobox.zip
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des SPR/Dldr.PopCap.A-Programmes
--> Qoobox/Quarantine/C/WINDOWS/Downloaded Program Files/popcaploader.dll.vir
[FUND] Enthält Erkennungsmuster des SPR/Dldr.PopCap.A-Programmes
C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/BoontyGames
C:\Qoobox\Quarantine\C\WINDOWS\explorer.exe.vir
[FUND] Ist das Trojanische Pferd TR/Spy.1036800.10
C:\Qoobox\Quarantine\C\WINDOWS\Downloaded Program Files\popcaploader.dll.vir
[FUND] Enthält Erkennungsmuster des SPR/Dldr.PopCap.A-Programmes
C:\System Volume Information\_restore{24FA6643-9757-4060-B94A-A022994F8CA0}\RP5\A0005582.exe
[FUND] Ist das Trojanische Pferd TR/Spy.1036800.10
C:\System Volume Information\_restore{24FA6643-9757-4060-B94A-A022994F8CA0}\RP5\A0005620.exe
[FUND] Ist das Trojanische Pferd TR/Spy.1036800.10
C:\System Volume Information\_restore{24FA6643-9757-4060-B94A-A022994F8CA0}\RP5\A0005673.exe
[FUND] Ist das Trojanische Pferd TR/Spy.1036800.10
C:\System Volume Information\_restore{24FA6643-9757-4060-B94A-A022994F8CA0}\RP5\A0005675.exe
[FUND] Ist das Trojanische Pferd TR/Spy.1036800.10
C:\System Volume Information\_restore{24FA6643-9757-4060-B94A-A022994F8CA0}\RP6\A0005857.exe
[FUND] Ist das Trojanische Pferd TR/Spy.1036800.10
Beginne mit der Desinfektion:
C:\System Volume Information\_restore{24FA6643-9757-4060-B94A-A022994F8CA0}\RP6\A0005857.exe
[FUND] Ist das Trojanische Pferd TR/Spy.1036800.10
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e0e2d6e.qua' verschoben!
C:\System Volume Information\_restore{24FA6643-9757-4060-B94A-A022994F8CA0}\RP5\A0005675.exe
[FUND] Ist das Trojanische Pferd TR/Spy.1036800.10
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '569902c9.qua' verschoben!
C:\System Volume Information\_restore{24FA6643-9757-4060-B94A-A022994F8CA0}\RP5\A0005673.exe
[FUND] Ist das Trojanische Pferd TR/Spy.1036800.10
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '04c65821.qua' verschoben!
C:\System Volume Information\_restore{24FA6643-9757-4060-B94A-A022994F8CA0}\RP5\A0005620.exe
[FUND] Ist das Trojanische Pferd TR/Spy.1036800.10
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '62f117e3.qua' verschoben!
C:\System Volume Information\_restore{24FA6643-9757-4060-B94A-A022994F8CA0}\RP5\A0005582.exe
[FUND] Ist das Trojanische Pferd TR/Spy.1036800.10
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '27753add.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\Downloaded Program Files\popcaploader.dll.vir
[FUND] Enthält Erkennungsmuster des SPR/Dldr.PopCap.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '582e0b7d.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\explorer.exe.vir
[FUND] Ist das Trojanische Pferd TR/Spy.1036800.10
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1496274e.qua' verschoben!
C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/BoontyGames
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '688d6767.qua' verschoben!
C:\Qoobox.zip
[FUND] Enthält Erkennungsmuster des SPR/Dldr.PopCap.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45d7482a.qua' verschoben!
Ende des Suchlaufs: Mittwoch, 10. November 2010 13:02
Benötigte Zeit: 58:08 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
10994 Verzeichnisse wurden überprüft
545378 Dateien wurden geprüft
9 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
9 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
545369 Dateien ohne Befall
6006 Archive wurden durchsucht
0 Warnungen
9 Hinweise
665501 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden |
10.11.2010, 13:14 | #12 |
/// Malware-holic | TR/Spy. 1036800.10 in explorer.exe download den CCleaner slim Piriform - Builds instalieren, extras, liste der instalierten programme. hinter jedes, von dir benötigte programm, schreibe nötig. hinter, jedes von dir nicht benötigte, unnötig. hinter, jedes dir unbekannte, unbekannt, liste posten.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
10.11.2010, 14:07 | #13 |
| TR/Spy. 1036800.10 in explorer.exe Hallo, hier die Liste (bei einigen der unbekannten ahne ich, woher sie kommen ob ich sie aber brauche ) HTML-Code: 5 Spots unnötig 7-Zip 4.65 nötig AAVUpdateManager Akademische Arbeitsgemeinschaft 12.00.0000 unbekannt Ad-Aware Lavasoft nötig Ad-Aware SE Personal Lavasoft 1.06 nötig Adobe Acrobat 5.0 Adobe Systems, Inc. 5.0 nötig Adobe Download Manager NOS Microsystems Ltd. 1.6.2.87 unbekannt Adobe Flash Player 10 ActiveX Adobe Systems Incorporated 10.1.82.76 nötig Adobe Flash Player 10 Plugin Adobe Systems Incorporated 10.1.85.3 nötig Adobe Reader 9.1 - Deutsch Adobe Systems Incorporated 9.1.0 nötig Adobe Shockwave Player 11.5 Adobe Systems, Inc. 11.5 nötig Alice-Installationsdateien entfernen unbekannt Apple Application Support Apple Inc. 1.3.2 unbekannt Apple Mobile Device Support Apple Inc. 3.2.0.47 unbekannt Apple Software Update Apple Inc. 2.1.2.120 unbekannt ArcSoft PhotoStudio 5.5 ArcSoft nötig Art Stories AllSmartGames 1.0 unnötig Audacity 1.2.6 nötig AutoCAD 2006 - Deutsch Autodesk 16.2.54.10 nötig AutoCAD Architecture 2009 - Deutsch Autodesk 5.7.68.0 nötig Autodesk Learning Assistance nötig AVerMedia A835 USB TV Tuner 8.0.0.43 AVerMedia TECHNOLOGIES, Inc. 8.0.0.43 nötig AVerTV AVerMedia Technologies, Inc. 6.0.18 nötig Avira AntiVir Personal - Free Antivirus Avira GmbH 10.0.0.592 nötig AVS DVD Player version 2.4 Online Media Technologies Ltd. nötig bcTester 4.8 (de) QS QualitySoft GmbH 1.0.0 unbekannt BeachBlox nötig Big Fish Games: Game Manager 2.0.0.5 nötig BMW M3 Challenge 10TACLE STUDIOS AG BMW M3 Challenge v1.0.0.0 unnötig Bonjour Apple Inc. 2.0.3.0 unbekannt Canon MP Navigator 3.0 nötig Canon MP160 nötig Canon Utilities Easy-PhotoPrint nötig CardRecovery 5.20 WinRecovery Software nötig CCleaner Piriform 2.36 nötig CDBurnerXP CDBurnerXP 4.3.7.2356 nötig Downtown Run Ihr Firmenname 1.00.0000 unnötig DVDVideoSoftTB Toolbar unbekannt ERUNT 1.1j Lars Hederer nötig EXPERTool nötig Faust6 nötig Fraps (remove only) nötig Free FLV Converter V 6.92.0 Koyote Soft 6.92.0.0 nötig Free M4a to MP3 Converter 6.1 ManiacTools.com nötig Free Media Catcher V 1.0 Geek Softs 1.0.0.0 unnötig Free RAR Extract Frog Philipp Winterberg 2.10 nötig Free Studio version 4.9 DVDVideoSoft Limited. nötig GIMP 2.6.10 The GIMP Team 2.6.10 nötig GIMPshop 2.2.8 The GIMP team 2.2.8 nötig Google Desktop Google 5.7.0806.10245 unbekannt Google Earth Google 5.2.1.1588 nötig Google SketchUp 6 Google 6.0.01337 nötig Google Toolbar for Firefox Google Inc. 7.0.20091214b1 unnötig Google Updater Google Inc. 2.4.1536.6592 nötig HijackThis 2.0.2 TrendMicro 2.0.2 nötig ICQ6 ICQ 6.00.0000 unnötig IPIX ActiveX Viewer nötig IrfanView (remove only) nötig Ironclads - Schleswig War Demo (version 1.3.0.11) TotemGames.ru unnötig iTunes Apple Inc. 10.0.1.22 nötig JamParty 1.0 unnötig Java(TM) 6 Update 15 Sun Microsystems, Inc. 6.0.150 nötig Java(TM) 6 Update 2 Sun Microsystems, Inc. 1.6.0.20 unbekannt Java(TM) SE Runtime Environment 6 Update 1 Sun Microsystems, Inc. 1.6.0.10 nötig JDownloader AppWork UG (haftungsbeschränkt) 0.89 nötig Jewel Quest Solitaire III (nur deinstallation) unnötig Logitech SetPoint Logitech 4.70 nötig Luxor Amun Rising with Luxor MumboJumbo, LLC unnötig Malwarebytes' Anti-Malware Malwarebytes Corporation nötig Master of the Skies - The Red Ace unnötig Media Go Sony 1.3.227 nötig Mein Geld Professional Buhl Data Service GmbH 8.00.0001 nötig MetaFrame Presentation Server Web Client for Win32 unbekannt Microsoft .NET Framework 1.1 unbekannt Microsoft .NET Framework 2.0 Language Pack - DEU Microsoft Corporation unbekannt Microsoft .NET Framework 2.0 Service Pack 2 Microsoft Corporation 2.2.30729 unbekannt Microsoft .NET Framework 3.0 German Language Pack Microsoft Corporation unbekannt Microsoft .NET Framework 3.0 Service Pack 2 Microsoft Corporation 3.2.30729 unbekannt Microsoft .NET Framework 3.5 SP1 Microsoft Corporation unbekannt Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Corporation 1 unbekannt Microsoft Office 2000 SR-1 Professional Microsoft Corporation 9.00.3821 nötig Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 8.0.59193 unbekannt Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 Microsoft Corporation 9.0.21022 unbekannt Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022.218 Microsoft Corporation 9.0.21022.218 unbekannt Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 9.0.30729 unbekannt Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 9.0.30729.4148 unbekannt Microsoft Works Microsoft Corporation 08.05.0822 nötig Mozilla Firefox (3.5.7) Mozilla 3.5.7 (de)nötig MSXML 4.0 SP2 (KB927978) Microsoft Corporation 4.20.9841.0 unbekannt MSXML 4.0 SP2 (KB936181) Microsoft Corporation 4.20.9848.0 unbekannt MSXML 4.0 SP2 (KB954430) Microsoft Corporation 4.20.9870.0 unbekannt MSXML 4.0 SP2 (KB973688) Microsoft Corporation 4.20.9876.0 unbekannt MSXML 4.0 SP2 Parser and SDK Microsoft Corporation 4.20.9818.0 unbekannt MSXML 6 Service Pack 2 (KB973686) Microsoft Corporation 6.20.2003.0 unbekannt muvee autoProducer 3.5 magicMoments muvee Technologies 3.50.050 unbekannt MyPhoneExplorer F.J. Wechselberger 1.7.4 nötig Need For Speed™ World Electronic Arts 1.0.0.105 unnötig Nero 7 Essentials Nero AG 7.02.4129 nötig NVIDIA Drivers nötig O&O MediaRecovery O&O Software GmbH 4.1.1322 nötig OpenAL nötig Opera 10.63 Opera Software ASA 10.63 nötig Paragon Backup & Recovery™ 10 Free Edition Paragon Software 90.00.0003 nötig PC Inspector File Recovery 4.0 nötig PC Inspector smart recovery 4.50 nötig PDF-Viewer Tracker Software Products Ltd 2.0.56.0 nötig PDFCreator Frank Heindörfer, Philip Chinery 1.0.2 nötig PixiePack Codec Pack None 1.1.1200.0 unbekannt PlayStation(R)Network Downloader Sony Computer Entertainment Inc. 2.00.00005 unbekannt PlayStation(R)Store Sony Computer Entertainment Inc. 2.7.6.06777 unbekannt Port Royale 2 unnötig QuickTime Apple Inc. 7.68.75.0 nötig Radiotracker RapidSolution Software AG 6.2.13600.0 nötig RealArcade unbekannt RealPlayer RealNetworks nötig REALTEK Gigabit and Fast Ethernet NIC Driver REALTEK Semiconductor Corp. 1.70 nötig Realtek High Definition Audio Driver Realtek Semiconductor Corp. 5.10.0.5273 nötig Recuva Piriform 1.36 nötig ScanSoft OmniPage SE 4.0 ScanSoft, Inc. 15.00.0020 nötig Search Settings 1.2.2 Spigot, Inc. unbekannt SEMC OMSI Module Sony Ericsson Mobile Communications AB 2.9.12.29 unbekannt Skype™ 4.1 Skype Technologies S.A. 4.1.179 nötig Sony Ericsson PC Suite 6.009.00 Sony Ericsson 6.009.00 nötig Steuer-Software 2010 Akademische Arbeitsgemeinschaft Verlag 15.02 nötig The Sims Carnival BumperBlast nötig ThumbBot unnötig Trinklit Supreme 1.00 nötig TuneUp Utilities TuneUp Software 9.0.4700.21 nötig Uninstall 1.0.0.1 unbekannt Update Service Sony Ericsson Mobile Communications AB 2.9.11.10 nötig VLC media player 1.1.4 VideoLAN 1.1.4 nötig Winamp (remove only) nötig Windows Media Format 11 runtime nötig Windows Media Player 11 nötig WinPcap 4.1.2 CACE Technologies 4.1.0.2001 unbekannt Zattoo4 4.0.5 Zattoo Inc. 4.0.5 nötig ZoneAlarm Check Point, Inc 9.2.057.000 nötig ZoneAlarm Toolbar Check Point Software Technologies nötig |
10.11.2010, 16:23 | #14 |
/// Malware-holic | TR/Spy. 1036800.10 in explorer.exe deinstaliere: 5 Spots AAVUpdateManager Ad-Aware Ad-Aware SE Personal Lavasoft avira rät dazu das programm, wegen konflickten zu deinstalieren. ich zeige dir wege auf, den pc nachher besser abzusichern. Adobe Acrobat 5.0 Adobe Reader 9.1 deinstalieren und ersetzen durch: Adobe - Adobe Reader herunterladen - Alle Versionen bitte nicht den mcafee security scan mit instalieren! ist ein haken auf der website, diesen entfernen. öffne den adobe reader, bearbeiten, voreinstellungen, javascript, dort den haken raus, internet, ebenfalls alle haken raus. so werden keine pdfs mehr automatisch geladen und es kann dir kein schadcode mehr auf diese weise untergeschoben werden. bitte noch unnötige plugins verschieben: Adobe Reader schneller starten behalte aber: EScript.api Escript.deu Search.api Search.DEU deinstaliere: Art Stories AllSmartGames bcTester BMW M3 Challenge Bonjour Downtown DVDVideoSoftTB Toolbar Free Media Catcher Google Desktop Google Toolbar ICQ6 Ironclads JamParty deinstaliere deine java versionen, neuestes update: Download der kostenlosen Java-Software weiterhin deinstaliere: Jewel Quest Solitaire Luxor Amun Rising with Luxor MumboJumbo Master of the Skies muvee autoProducer Need For Speed™ Mozilla Firefox du nutzt ja schon opera, der ist auf jeden fall sicherer und auf firefox solltest verzichten. PixiePack PlayStation(R)Network PlayStation(R)Store Sony Computer Port Royale RealArcade Search Settings ThumbBot TuneUp Utilities solche software sollte man nicht verwenden, sie kann einem das system zerschießen, programme laufen nicht mehr richtig, updates können nicht instaliert werden, und sie macht den pc nicht schneller. das was tuneup kann, kann man auch selbst, ohne die gefahren die mit diesem programm verbunden sind. ZoneAlarm Check Point. mit einer sicheren pc konfig ist eine firewall unnötig, sie kann dir, wie du gesehen hast, sowieso nicht helfen, außerdem macht zonealarm fragwürdige werbung und spielt mit der angst der nutzer, weg damit! ZoneAlarm Toolbar wenn du fertig bist, sag bescheid.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
10.11.2010, 18:32 | #15 |
| TR/Spy. 1036800.10 in explorer.exe Hallo, habe alles deinstalliert außer : 5 Spots; ICQ; Master of the Skies diese ließen sich nicht deinstallieren, warum auch immer |
Themen zu TR/Spy. 1036800.10 in explorer.exe |
.dll, antivir, avg, einstellungen, google, html, infiziert, lsass.exe, malwarebytes, microsoft, modul, namen, nt.dll, opera.exe, programm, prozesse, sched.exe, seiten, services.exe, software, suche, svchost.exe, taskmanager, temp, tr/spy., trojan.spyeyes, virus, windows, winlogon.exe |