Trojaner Registry drop.agent

caracas · 08.02.2011, 19:17

Zitat:

Zitat von cosinus

Hier ist ein Ersatzlink für OSAM => File-Upload.net - osam.zip

Ich konnte OSAM jetzt zwar dank Deines Extralinks installieren, allerdings arbeitet das Programm nicht, sondern sagt, es gäbe Probleme, ich solle es später nochmals versuchen. Werde ich mal so testen, oder?

Habe jetzt Deinen Anweisungen allerdings vorgegriffen und mal schon MBRCheck vollzogen, mal unabhängig, ob das jetzt so sinnvoll ohne Log von OSAM ist.

Code:

ATTFilter

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows Vista Home Premium Edition
Windows Information:		Service Pack 1 (build 6001), 32-bit
Base Board Manufacturer:	Dell Inc.
BIOS Manufacturer:		Dell Inc.
System Manufacturer:		Dell Inc.
System Product Name:		Studio 1537
Logical Drives Mask:		0x0000001c

Kernel Drivers (total 155):
  0x81E41000 \SystemRoot\system32\ntkrnlpa.exe
  0x81E0E000 \SystemRoot\system32\hal.dll
  0x80409000 \SystemRoot\system32\kdcom.dll
  0x80411000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
  0x80471000 \SystemRoot\system32\PSHED.dll
  0x80482000 \SystemRoot\system32\BOOTVID.dll
  0x8048A000 \SystemRoot\system32\CLFS.SYS
  0x804CB000 \SystemRoot\system32\CI.dll
  0x80607000 \SystemRoot\system32\drivers\Wdf01000.sys
  0x80683000 \SystemRoot\system32\drivers\WDFLDR.SYS
  0x80690000 \SystemRoot\system32\drivers\acpi.sys
  0x806D6000 \SystemRoot\system32\drivers\WMILIB.SYS
  0x806DF000 \SystemRoot\system32\drivers\msisadrv.sys
  0x806E7000 \SystemRoot\system32\drivers\pci.sys
  0x8070E000 \SystemRoot\System32\drivers\partmgr.sys
  0x8071D000 \SystemRoot\system32\DRIVERS\compbatt.sys
  0x80720000 \SystemRoot\system32\DRIVERS\BATTC.SYS
  0x8072A000 \SystemRoot\system32\drivers\volmgr.sys
  0x80739000 \SystemRoot\System32\drivers\volmgrx.sys
  0x80783000 \SystemRoot\System32\drivers\mountmgr.sys
  0x80793000 \SystemRoot\system32\drivers\atapi.sys
  0x8079B000 \SystemRoot\system32\drivers\ataport.SYS
  0x807B9000 \SystemRoot\system32\drivers\msahci.sys
  0x807C3000 \SystemRoot\system32\drivers\PCIIDEX.SYS
  0x805AB000 \SystemRoot\system32\drivers\fltmgr.sys
  0x807D1000 \SystemRoot\system32\drivers\fileinfo.sys
  0x807E1000 \SystemRoot\System32\Drivers\PxHelp20.sys
  0x89C0F000 \SystemRoot\System32\Drivers\ksecdd.sys
  0x89C80000 \SystemRoot\system32\drivers\ndis.sys
  0x89D8B000 \SystemRoot\system32\drivers\msrpc.sys
  0x89DB6000 \SystemRoot\system32\drivers\NETIO.SYS
  0x89E0E000 \SystemRoot\System32\Drivers\Ntfs.sys
  0x89F1D000 \SystemRoot\system32\drivers\volsnap.sys
  0x89F56000 \SystemRoot\System32\Drivers\spldr.sys
  0x89F5E000 \SystemRoot\System32\Drivers\mup.sys
  0x89F6D000 \SystemRoot\System32\drivers\ecache.sys
  0x89F94000 \SystemRoot\system32\drivers\disk.sys
  0x89FA5000 \SystemRoot\system32\drivers\CLASSPNP.SYS
  0x89FC6000 \SystemRoot\system32\drivers\crcdisk.sys
  0x89FF1000 \SystemRoot\system32\DRIVERS\tunnel.sys
  0x89E00000 \SystemRoot\system32\DRIVERS\tunmp.sys
  0x8DA03000 \SystemRoot\system32\DRIVERS\atikmdag.sys
  0x8E20D000 \SystemRoot\System32\drivers\dxgkrnl.sys
  0x8E2AC000 \SystemRoot\System32\drivers\watchdog.sys
  0x8E2B9000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0x8E2CB000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0x8E2D6000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0x8E314000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0x8E40F000 \SystemRoot\system32\DRIVERS\bcmwl6.sys
  0x8E557000 \SystemRoot\system32\DRIVERS\k57nd60x.sys
  0x8E58C000 \SystemRoot\system32\DRIVERS\ohci1394.sys
  0x8E59C000 \SystemRoot\system32\DRIVERS\1394BUS.SYS
  0x8E5AA000 \SystemRoot\system32\DRIVERS\sdbus.sys
  0x8E5C4000 \SystemRoot\system32\DRIVERS\rimmptsk.sys
  0x8E5D5000 \SystemRoot\system32\DRIVERS\rimsptsk.sys
  0x8E323000 \SystemRoot\system32\DRIVERS\rixdptsk.sys
  0x8E375000 \SystemRoot\system32\DRIVERS\itecir.sys
  0x8E5E9000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0x8E400000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0x8E3CD000 \SystemRoot\system32\DRIVERS\Apfiltr.sys
  0x8E200000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0x8DF9A000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0x8DFB2000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0x8DFC1000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
  0x8E40B000 \SystemRoot\system32\DRIVERS\CmBatt.sys
  0x8DFCA000 \SystemRoot\system32\DRIVERS\msiscsi.sys
  0x8E60E000 \SystemRoot\system32\DRIVERS\storport.sys
  0x8E64F000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0x8E65A000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0x8E671000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0x8E67C000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0x8E69F000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0x8E6AE000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0x8E6C2000 \SystemRoot\system32\DRIVERS\rassstp.sys
  0x8E6D7000 \SystemRoot\system32\DRIVERS\termdd.sys
  0x8E6E7000 \SystemRoot\system32\DRIVERS\swenum.sys
  0x8E6E9000 \SystemRoot\system32\DRIVERS\ks.sys
  0x8E713000 \SystemRoot\system32\DRIVERS\circlass.sys
  0x8E721000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0x8E72B000 \SystemRoot\system32\DRIVERS\umbus.sys
  0x8E738000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0x8E76D000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0x8E77E000 \SystemRoot\system32\drivers\HdAudio.sys
  0x8E7BD000 \SystemRoot\system32\drivers\portcls.sys
  0x8E801000 \SystemRoot\system32\drivers\drmk.sys
  0x8E826000 \SystemRoot\system32\DRIVERS\stwrt.sys
  0x8E88A000 \SystemRoot\system32\DRIVERS\hidir.sys
  0x8E895000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0x8E8A5000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0x8E8AC000 \SystemRoot\system32\DRIVERS\kbdhid.sys
  0x8E8B5000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0x8E8BD000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0x8E8C6000 \SystemRoot\System32\Drivers\Null.SYS
  0x8E8CD000 \SystemRoot\System32\Drivers\Beep.SYS
  0x8E8D4000 \SystemRoot\System32\drivers\vga.sys
  0x8E8E0000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
  0x8E901000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0x8E909000 \SystemRoot\system32\drivers\rdpencdd.sys
  0x8E911000 \SystemRoot\System32\Drivers\Msfs.SYS
  0x8E91C000 \SystemRoot\System32\Drivers\Npfs.SYS
  0x8E92A000 \SystemRoot\System32\DRIVERS\rasacd.sys
  0x8EA0A000 \SystemRoot\System32\drivers\tcpip.sys
  0x8EAF3000 \SystemRoot\System32\drivers\fwpkclnt.sys
  0x8EB0E000 \SystemRoot\system32\DRIVERS\tdx.sys
  0x8EB24000 \SystemRoot\system32\DRIVERS\smb.sys
  0x8EB38000 \SystemRoot\system32\drivers\afd.sys
  0x8EB80000 \SystemRoot\System32\DRIVERS\netbt.sys
  0x8EBB2000 \SystemRoot\system32\DRIVERS\pacer.sys
  0x8EBC8000 \SystemRoot\system32\DRIVERS\netbios.sys
  0x8EBD6000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0x8EBE9000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0x8E933000 \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.SYS
  0x8EBEF000 \??\C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS
  0x8E955000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0x8EBF5000 \SystemRoot\system32\drivers\nsiproxy.sys
  0x8E991000 \SystemRoot\System32\Drivers\dfsc.sys
  0x8E9A8000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0x8EA00000 \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys
  0x8E9C4000 \SystemRoot\System32\Drivers\crashdmp.sys
  0x8E9D1000 \SystemRoot\System32\Drivers\dump_dumpata.sys
  0x8E9DC000 \SystemRoot\System32\Drivers\dump_msahci.sys
  0x962E0000 \SystemRoot\System32\win32k.sys
  0x8E9E6000 \SystemRoot\System32\drivers\Dxapi.sys
  0x89FCF000 \SystemRoot\system32\DRIVERS\usbccgp.sys
  0x8EA02000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0x96C0A000 \SystemRoot\system32\DRIVERS\OA001Vid.sys
  0x96C4E000 \SystemRoot\system32\DRIVERS\OA001Ufd.sys
  0x96C72000 \SystemRoot\system32\DRIVERS\monitor.sys
  0x96500000 \SystemRoot\System32\TSDDD.dll
  0x96520000 \SystemRoot\System32\cdd.dll
  0x96C81000 \SystemRoot\system32\drivers\luafv.sys
  0x96C9C000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0x96CB0000 \SystemRoot\system32\drivers\spsys.sys
  0x96D5F000 \SystemRoot\system32\DRIVERS\lltdio.sys
  0x96D6F000 \SystemRoot\system32\DRIVERS\nwifi.sys
  0x96D99000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0x96DA3000 \SystemRoot\system32\DRIVERS\rspndr.sys
  0x9B60F000 \SystemRoot\system32\drivers\HTTP.sys
  0x9B67C000 \SystemRoot\System32\DRIVERS\srvnet.sys
  0x9B699000 \SystemRoot\system32\DRIVERS\bowser.sys
  0x9B6B2000 \SystemRoot\System32\drivers\mpsdrv.sys
  0x9B6C7000 \SystemRoot\system32\drivers\mrxdav.sys
  0x9B6E7000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0x9B706000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
  0x9B73F000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
  0x9B757000 \SystemRoot\System32\DRIVERS\srv2.sys
  0x9B77F000 \SystemRoot\System32\DRIVERS\srv.sys
  0x9E008000 \SystemRoot\system32\drivers\peauth.sys
  0x9E0E6000 \SystemRoot\System32\Drivers\secdrv.SYS
  0x9E0F0000 \SystemRoot\System32\drivers\tcpipreg.sys
  0x9E0FC000 \SystemRoot\System32\Drivers\fastfat.SYS
  0x9E124000 \SystemRoot\system32\drivers\BCM42RLY.sys
  0x9E12C000 \SystemRoot\system32\DRIVERS\cdfs.sys
  0x9E142000 \??\C:\Program Files\TuneUp Utilities 2011\TuneUpUtilitiesDriver32.sys
  0x77240000 \Windows\System32\ntdll.dll

Processes (total 71):
       0 System Idle Process
       4 System
     480 C:\Windows\System32\smss.exe
     548 csrss.exe
     608 C:\Windows\System32\wininit.exe
     620 csrss.exe
     652 C:\Windows\System32\services.exe
     680 C:\Windows\System32\lsass.exe
     688 C:\Windows\System32\lsm.exe
     764 C:\Windows\System32\winlogon.exe
     868 C:\Windows\System32\svchost.exe
     948 C:\Windows\System32\svchost.exe
     988 C:\Windows\System32\svchost.exe
    1040 C:\Windows\System32\Ati2evxx.exe
    1060 C:\Windows\System32\svchost.exe
    1100 C:\Windows\System32\svchost.exe
    1112 C:\Windows\System32\svchost.exe
    1144 C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_ae0b52e0\stacsv.exe
    1292 C:\Windows\System32\audiodg.exe
    1380 C:\Windows\System32\SLsvc.exe
    1424 C:\Windows\System32\svchost.exe
    1480 C:\Program Files\Dell\DellDock\DockLogin.exe
    1548 C:\Windows\System32\svchost.exe
    1688 C:\Windows\System32\Ati2evxx.exe
    1720 C:\Windows\System32\WLTRYSVC.EXE
    1736 C:\Windows\System32\BCMWLTRY.EXE
    1864 C:\Windows\System32\spoolsv.exe
    2012 C:\Program Files\Avira\AntiVir Desktop\sched.exe
    2024 C:\Windows\System32\svchost.exe
    2032 C:\Windows\System32\dwm.exe
     740 C:\Windows\System32\taskeng.exe
    2076 C:\Windows\System32\taskeng.exe
    2096 C:\Windows\explorer.exe
    2360 C:\Program Files\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
    2420 C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_ae0b52e0\AEstSrv.exe
    2432 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    2492 C:\Windows\System32\svchost.exe
    2516 C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    2576 C:\Windows\System32\svchost.exe
    2700 C:\Windows\System32\svchost.exe
    2724 C:\Windows\System32\SearchIndexer.exe
    2780 C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
    3004 C:\Program Files\Dell\DellDock\DellDock.exe
    3220 WmiPrvSE.exe
    3264 C:\Windows\System32\conime.exe
    3828 C:\Program Files\DellTPad\Apoint.exe
    3868 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    3904 C:\Windows\System32\WLTRAY.EXE
    3944 C:\Program Files\Dell Webcam\Dell Webcam Central\WebcamDell.exe
    4036 C:\Program Files\Dell DataSafe Online\DataSafeOnline.exe
    4068 C:\Program Files\Dell\MediaDirect\PCMService.exe
    4080 C:\Program Files\Dell Support Center\bin\sprtcmd.exe
    1256 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    2484 C:\Program Files\DivX\DivX Update\DivXUpdate.exe
    2216 C:\Program Files\DivX\DivX Plus Web Player\DDMService.exe
    2344 C:\Program Files\Windows Sidebar\sidebar.exe
    3020 C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
    2772 C:\Program Files\Dell\QuickSet\quickset.exe
    2328 C:\Program Files\DellTPad\ApMsgFwd.exe
    2188 WmiPrvSE.exe
    3820 C:\Program Files\DellTPad\hidfind.exe
    3900 C:\Program Files\DellTPad\ApntEx.exe
    3860 C:\Program Files\Mozilla Firefox\firefox.exe
    4224 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
    5800 C:\Program Files\Dell Support Center\bin\sprtsvc.exe
    3892 C:\Windows\System32\wuauclt.exe
    4804 C:\Program Files\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe
    4336 C:\Program Files\TuneUp Utilities 2011\TuneUpUtilitiesApp32.exe
    4644 C:\Windows\System32\SearchProtocolHost.exe
    4312 C:\Windows\System32\SearchFilterHost.exe
     280 C:\Users\***\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000002`88e00000  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000000`08e00000  (NTFS)

PhysicalDrive0 Model Number: WDCWD2500BEVT-75ZCT2, Rev: 11.01A11

      Size  Device Name          MBR Status
  --------------------------------------------
    232 GB  \\.\PhysicalDrive0   Windows Vista MBR code detected
            SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979


Done!

cosinus · 08.02.2011, 20:06

Zitat:

allerdings arbeitet das Programm nicht, sondern sagt, es gäbe Probleme, ich solle es später nochmals versuchen. Werde ich mal so testen, oder?

Die Online-Untersuchung/Datenbankabfrage überspungen!! Ich brauch nur das reine Log.

caracas · 09.02.2011, 00:09

Zitat:

Zitat von cosinus

Die Online-Untersuchung/Datenbankabfrage überspungen!! Ich brauch nur das reine Log.

OSAM Logfile:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 00:06:04 on 09.02.2011

OS: Windows Vista Home Premium Edition Service Pack 1 (Build 6001), 32-bit
Default Browser: Mozilla Corporation Firefox 3.6.13

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"BCMWLCPL.CPL" - "Dell Inc." - C:\Windows\system32\BCMWLCPL.CPL
"DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\Windows\system32\DivXControlPanelApplet.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"bcmwlcpl.cpl" - "Dell Inc." - C:\Windows\System32\bcmwlcpl.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avipbb.sys
"BCM42RLY" (BCM42RLY) - "Broadcom Corporation" - C:\Windows\System32\drivers\BCM42RLY.sys
"catchme" (catchme) - ? - C:\Users\***\AppData\Local\Temp\catchme.sys  (File not found)
"cpuz132" (cpuz132) - ? - C:\Users\***\AppData\Local\Temp\cpuz132\cpuz132_x32.sys  (File not found)
"IP in IP Tunnel Driver" (IpInIp) - ? - C:\Windows\System32\DRIVERS\ipinip.sys  (File not found)
"IPX Traffic Filter Driver" (NwlnkFlt) - ? - C:\Windows\System32\DRIVERS\nwlnkflt.sys  (File not found)
"IPX Traffic Forwarder Driver" (NwlnkFwd) - ? - C:\Windows\System32\DRIVERS\nwlnkfwd.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\Windows\System32\Drivers\PxHelp20.sys
"SASDIFSV" (SASDIFSV) - "SUPERAdBlocker.com and SUPERAntiSpyware.com" - C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS
"SASKUTIL" (SASKUTIL) - "SUPERAdBlocker.com and SUPERAntiSpyware.com" - C:\Program Files\SUPERAntiSpyware\SASKUTIL.SYS
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\Windows\System32\DRIVERS\ssmdrv.sys

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\msitss.dll
{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
{03C514A3-1EFB-4856-9F99-10D7BE1653C0} "Windows Live Mail HTML Asynchronous Pluggable Protocol Handler" - "Microsoft Corporation" - C:\Program Files\Windows Live\Mail\mailcomm.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{911051fa-c21c-4246-b470-070cd8df6dc4} ".cab or .zip files" - ? -   (File not found | COM-object registry key not found)
{1b24a030-9b20-49bc-97ac-1be4426f9e59} "ActiveDirectory Folder" - ? -   (File not found | COM-object registry key not found)
{34449847-FD14-4fc8-A75A-7432F5181EFB} "ActiveDirectory Folder" - ? -   (File not found | COM-object registry key not found)
{0563DB41-F538-4B37-A92D-4659049B7766} "CLSID_WLMCMimeFilter" - "Microsoft Corporation" - C:\Program Files\Windows Live\Mail\mailcomm.dll
{0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48} "Contacts folder" - ? -   (File not found | COM-object registry key not found)
{2C2577C2-63A7-40e3-9B7F-586602617ECB} "Explorer Query Band" - ? -   (File not found | COM-object registry key not found)
{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682} "IZArc DragDrop Menu" - ? - C:\PROGRA~1\IZArc\IZArcCM.dll  (File found, but it contains no detailed information)
{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5} "IZArc Shell Context Menu" - ? - C:\PROGRA~1\IZArc\IZArcCM.dll  (File found, but it contains no detailed information)
{00020d75-0000-0000-c000-000000000046} "lnkfile" - ? -   (File not found | COM-object registry key not found)
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{C8494E42-ACDD-4739-B0FB-217361E4894F} "Sam Account Folder" - ? -   (File not found | COM-object registry key not found)
{E29F9716-5C08-4FCD-955A-119FDB5A522D} "Sam Account Folder" - ? -   (File not found | COM-object registry key not found)
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\shlext.dll
{5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - "Advanced Micro Devices, Inc." - C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll
{2BE99FD4-A181-4996-BFA9-58C5FFD11F6C} "Windows Live Photo Gallery Autoplay Drop Target" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe
{00F30F64-AC33-42F5-8FD1-5DC2D3FDE06C} "Windows Live Photo Gallery Editor Drop Target" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe
{00F3712A-CA79-45B4-9E4D-D7891E7F8B9D} "Windows Live Photo Gallery Editor Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll
{00F30F90-3E96-453B-AFCD-D71989ECC2C7} "Windows Live Photo Gallery Viewer Autoplay Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll
{00F33137-EE26-412F-8D71-F84E4C2C6625} "Windows Live Photo Gallery Viewer Autoplay Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll
{00F374B7-B390-4884-B372-2FC349F2172B} "Windows Live Photo Gallery Viewer Drop Target" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe
{00F346CB-35A4-465B-8B8F-65A29DBAB1F6} "Windows Live Photo Gallery Viewer Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll
{da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" - ? -   (File not found | COM-object registry key not found)
{06A2568A-CED6-4187-BB20-400B8C02BE5A} "{06A2568A-CED6-4187-BB20-400B8C02BE5A}" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoAcquireWizard.exe

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "&Windows Live Toolbar" - "Microsoft Corporation" - C:\Program Files\Windows Live\Toolbar\wltcore.dll
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_11" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} "Java Plug-in 1.6.0_11" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_11" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_11.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{5F7B1267-94A9-47F5-98DB-E99415F33AEC} "In Blog veröffentlichen" - "Microsoft Corporation" - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "&Windows Live Toolbar" - "Microsoft Corporation" - C:\Program Files\Windows Live\Toolbar\wltcore.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{593DDEC6-7468-4cdd-90E1-42DADAA222E9} "DivX HiQ" - "DivX, LLC" - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll
{326E768D-4182-46FD-9C16-1449A49795F4} "DivX Plus Web Player HTML5 <video>" - "DivX, LLC" - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "Java(tm) Plug-In SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\ssv.dll
{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} "Search Helper" - "Microsoft Corp." - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} "Windows Live Toolbar Helper" - "Microsoft Corporation" - C:\Program Files\Windows Live\Toolbar\wltcore.dll

[Logon]
-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"Dell Dock.lnk" - "Stardock Corporation" - C:\Program Files\Dell\DellDock\DellDock.exe  (Shortcut exists | File exists)
"desktop.ini" - ? - C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
"QuickSet.lnk" - "Dell Inc." - C:\Program Files\Dell\QuickSet\quickset.exe  (Shortcut exists | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"SUPERAntiSpyware" - "SUPERAntiSpyware.com" - C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
-----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )-----
"StartupPrograms" - ? - rdpclip  (File not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
"Broadcom Wireless Manager UI" - "Dell Inc." - C:\Windows\system32\WLTRAY.exe
"Dell DataSafe Online" - ? - "C:\Program Files\Dell DataSafe Online\DataSafeOnline.exe" /m
"Dell Webcam Central" - "Creative Technology Ltd." - "C:\Program Files\Dell Webcam\Dell Webcam Central\WebcamDell.exe" /mode2
"dellsupportcenter" - "SupportSoft, Inc." - "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P dellsupportcenter
"DivX Download Manager" - "DivX, LLC" - "C:\Program Files\DivX\DivX Plus Web Player\DDmService.exe" start
" Malwarebytes Anti-Malware  (reboot)" - "Malwarebytes Corporation" - "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
"PCMService" - "CyberLink Corp." - "C:\Program Files\Dell\MediaDirect\PCMService.exe"
"StartCCC" - "Advanced Micro Devices, Inc." - "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

[Network Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order )-----
"Dell Wireless WLAN Card Logon Provider" - "Dell Inc." - C:\Windows\System32\BCMLogon.dll

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"PDFCreator" - ? - C:\Windows\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"@C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe,-100" (WPFFontCache_v0400) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe
"Adobe Active File Monitor V7" (AdobeActiveFileMonitor7.0) - "Adobe Systems Incorporated" - C:\Program Files\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\sched.exe
"Dell Wireless WLAN Tray Service" (wltrysvc) - ? - C:\Windows\System32\WLTRYSVC.EXE  (File found, but it contains no detailed information)
"Dock Login Service" (DockLoginService) - "Stardock Corporation" - C:\Program Files\Dell\DellDock\DockLogin.exe
"FLEXnet Licensing Service" (FLEXnet Licensing Service) - "Macrovision Europe Ltd." - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"GoToAssist" (GoToAssist) - "Citrix Online, a division of Citrix Systems, Inc." - C:\Program Files\Citrix\GoToAssist\514\g2aservice.exe
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"SeaPort" (SeaPort) - "Microsoft Corp." - C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
"stllssvr" (stllssvr) - "MicroVision Development, Inc." - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
"SupportSoft Sprocket Service (DellSupportCenter)" (sprtsvc_DellSupportCenter) - "SupportSoft, Inc." - C:\Program Files\Dell Support Center\bin\sprtsvc.exe
"Vodafone Mobile Connect Service" (VMCService) - "Vodafone" - C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe

[Winlogon]
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"GoToAssist" - "Citrix Online, a division of Citrix Systems, Inc." - C:\Program Files\Citrix\GoToAssist\514\G2AWinLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===

cosinus · 09.02.2011, 11:05

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

caracas · 09.02.2011, 11:53

Zitat:

Zitat von cosinus

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hi Arne. Dein Post 13 lautet wie dieser hier. Nochmal das Ganze mit GMER, OSAM und MBR??

cosinus · 09.02.2011, 15:01

Sry hab mich verklickt bei meinen Textbausteinen

Ich wollte, dass du Kontrollscans machst:

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

caracas · 10.02.2011, 12:39

Zitat:

Zitat von cosinus

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5728

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

10.02.2011 12:12:15
mbam-log-2011-02-10 (12-12-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 274226
Laufzeit: 1 Stunde(n), 7 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

SASW folgt noch...

caracas · 10.02.2011, 17:00

Hier nun das Log von SASW. Arne, an der Stelle mal zwischendrin meinen echten Dank, dass Du mich hier bei der Säuberung so klasse begleitest.

Code:

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 02/10/2011 at 04:55 PM

Application Version : 4.48.1000

Core Rules Database Version : 6371
Trace Rules Database Version: 4183

Scan type       : Complete Scan
Total Scan Time : 01:20:59

Memory items scanned      : 573
Memory threats detected   : 0
Registry items scanned    : 7357
Registry threats detected : 0
File items scanned        : 138946
File threats detected     : 1

Adware.Tracking Cookie
	www.ardmediathek.de [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\A63P7VF3 ]

cosinus · 10.02.2011, 18:59

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

caracas · 10.02.2011, 19:03

Zitat:

Zitat von cosinus

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Nein, meiner Ansicht nach läuft alles rund, nichts Auffälliges. Soll ich zum Abschluss noch irgendwas zur Vorbeugung oder so installieren? Kann ich die downgeladeten Dateien, die wir genutzt haben, wieder löschen?

cosinus · 10.02.2011, 19:19

Ja der Kram kann wieder runter.
Dann wären wir durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

caracas · 10.02.2011, 19:27

Besten Dank. Werde Deinen Leitfaden noch durchgehen.

09.02.2011, 15:01	#21
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner Registry drop.agent Sry hab mich verklickt bei meinen Textbausteinen Ich wollte, dass du Kontrollscans machst: Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ --> Trojaner Registry drop.agent

10.02.2011, 18:59	#24
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner Registry drop.agent Sieht ok aus, da wurden nur Cookies gefunden. Noch Probleme oder weitere Funde in der Zwischenzeit? __________________ Logfiles bitte immer in CODE-Tags posten

Trojaner Registry drop.agent

Plagegeister aller Art und deren Bekämpfung: Trojaner Registry drop.agent