Trojaner-Board - @ Zeichen Eingabe --> enter the passwort fenster

Trojaner-Board (https://www.trojaner-board.de/)

- Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)

- - @ Zeichen Eingabe --> enter the passwort fenster (https://www.trojaner-board.de/53953-zeichen-eingabe-enter-the-passwort-fenster.html)

Mir fällt auf, das auf allen Screenshots Java läuft, kannst Du es testweise mal deinstallieren (auch die jetzt neue Version) und dann das Verhalten prüfen.

Dazu noch folgendes:

Silentrunners Logfile

-Lade dir das Tool -> Silentrunners
-Entpacke das Script in einen Ordner deiner Wahl
-Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
-System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
-Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen)

edit: Kannst Du bitte einen Screenshot von Deinem Desktop machen (editiere eventuelle persönliche Daten!).

So hier das Silentrunners Ergebnis

Code:

"Silent Runners.vbs", revision 58, http://www.silentrunners.org/

Operating System: Windows XP SP2

Output limited to non-default values, except where indicated by "{++}"
 
 

Startup items buried in registry:

---------------------------------
 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]

"swg" = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."]

"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"IgfxTray" = "C:\WINDOWS\System32\igfxtray.exe" ["Intel Corporation"]

"HotKeysCmds" = "C:\WINDOWS\System32\hkcmd.exe" ["Intel Corporation"]

"Smapp" = "C:\Programme\Analog Devices\SoundMAX\Smtray.exe" ["Analog Devices, Inc."]

"ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]

"vptray" = "C:\PROGRA~1\SYMANT~1\VPTray.exe" ["Symantec Corporation"]

"itype" = ""C:\Programme\Microsoft IntelliType Pro\itype.exe"" [MS]

"IntelliPoint" = ""C:\Programme\Microsoft IntelliPoint\ipoint.exe"" [MS]

"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]

"DFGQ Agent" = "C:\WINDOWS\system32\28463\DFGQ.exe" [null data]

"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"" ["Sun Microsystems, Inc."]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "Adobe PDF Reader"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "SSVHelper Class"

                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]

{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "Google Toolbar Helper"

                   \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]

{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "Google Toolbar Notifier BHO"

                   \InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll" ["Google Inc."]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"

  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"

                   \InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"

  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"

                   \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]

"{BDA77241-42F6-11d0-85E2-00AA001FE28C}" = "LDVP Shell Extensions"

  -> {HKLM...CLSID} = "VpshellEx Class"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]

"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"

  -> {HKLM...CLSID} = "Microsoft Office Outlook"

                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]

"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"

  -> {HKLM...CLSID} = "Outlook File Icon Extension"

                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]

"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]

"{97FA8AA2-EE77-4FF2-9449-424D8924EF21}" = "IntelliType Pro Zooming Control Panel Property Page"

  -> {HKLM...CLSID} = "IntelliType Pro Zooming Property Page"

                   \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliType Pro\itcplzm.dll"" [MS]

"{111D8120-25EB-4E1C-A4DF-C9EE5FCA35CB}" = "IntelliType Pro Scrolling Control Panel Property Page"

  -> {HKLM...CLSID} = "IntelliType Pro Scrolling Property Page"

                   \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliType Pro\itcplwhl.dll"" [MS]

"{ED6E87C6-8A83-43aa-8208-8DBC8247F4D2}" = "IntelliType Pro Key Settings Control Panel Property Page"

  -> {HKLM...CLSID} = "IntelliType Pro Key Settings Property Page"

                   \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliType Pro\itcplkey.dll"" [MS]

"{A2569D1F-4E06-43EC-9825-0088B471BE47}" = "IntelliType Pro Wireless Control Panel Property Page"

  -> {HKLM...CLSID} = "IntelliType Pro Wireless Control Panel Property Page"

                   \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliType Pro\itcplwir.dll"" [MS]

"{20082881-FC36-4E47-9A7A-644C95FF749F}" = "IntelliPoint Wireless Control Panel Property Page"

  -> {HKLM...CLSID} = "Schnurlose Eigenschaften"

                   \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplwir.dll"" [MS]

"{AF90F543-6A3A-4C1B-8B16-ECEC073E69BE}" = "IntelliPoint Wheel Control Panel Property Page"

  -> {HKLM...CLSID} = "Scrollrad-Eigenschaftenseite"

                   \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplwhl.dll"" [MS]

"{653DCCC2-13DB-45B2-A389-427885776CFE}" = "IntelliPoint Activities Control Panel Property Page"

  -> {HKLM...CLSID} = "Aktivitäten-Eigenschaftenseite"

                   \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplact.dll"" [MS]

"{124597D8-850A-41AE-849C-017A4FA99CA2}" = "IntelliPoint Buttons Control Panel Property Page"

  -> {HKLM...CLSID} = "Tasten-Eigenschaftenseite"

                   \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplbtn.dll"" [MS]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
 

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

<<!>> igfxcui\DLLName = "igfxsrvc.dll" ["Intel Corporation"]

<<!>> NavLogon\DLLName = "C:\WINDOWS\system32\NavLogon.dll" ["Symantec Corporation"]
 

HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\

<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]
 

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\

{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"

  -> {HKLM...CLSID} = "PDF Shell Extension"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]
 

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\

LDVPMenu\(Default) = "{BDA77241-42F6-11d0-85E2-00AA001FE28C}"

  -> {HKLM...CLSID} = "VpshellEx Class"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
 

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
 

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\

LDVPMenu\(Default) = "{BDA77241-42F6-11d0-85E2-00AA001FE28C}"

  -> {HKLM...CLSID} = "VpshellEx Class"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
 
 

Group Policies {GPedit.msc branch and setting}:

-----------------------------------------------
 

Note: detected settings may not have any effect.
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
 

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Shutdown: Allow system to be shut down without having to log on}
 

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Devices: Allow undock without having to log on}
 
 

Active Desktop and Wallpaper:

-----------------------------
 

Active Desktop may be disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
 

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\

"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
 

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:

HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
 
 

Startup items in "Administrator" & "All Users" startup folders:

---------------------------------------------------------------
 

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart

"Google Updater" -> shortcut to: "C:\Programme\Google\Google Updater\GoogleUpdater.exe -systray -startup" ["Google"]
 
 

Winsock2 Service Provider DLLs:

-------------------------------
 

Namespace Service Providers
 

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
 

Transport Service Providers
 

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
 
 

Toolbars, Explorer Bars, Extensions:

------------------------------------
 

Toolbars
 

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\

"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"

  -> {HKLM...CLSID} = "&Google"

                   \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]
 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\

"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)

  -> {HKLM...CLSID} = "&Google"

                   \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]
 

Explorer Bars
 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\
 

HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Research"

Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]

InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]
 

Extensions (Tools menu items, main toolbar menu buttons)
 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\

{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\

"MenuText" = "Sun Java Konsole"

"CLSIDExtension" = "{CAFEEFAC-0016-0000-0006-ABCDEFFEDCBC}"

  -> {HKCU...CLSID} = "Java Plug-in 1.6.0_06"

                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]

  -> {HKLM...CLSID} = "Java Plug-in 1.6.0_06"

                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_06\bin\npjpi160_06.dll" ["Sun Microsystems, Inc."]
 

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\

"ButtonText" = "Research"
 

{FB5F1910-F110-11D2-BB9E-00C04F795683}\

"ButtonText" = "Messenger"

"MenuText" = "Windows Messenger"

"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]
 
 

Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------
 

GEARSecurity, GEARSecurity, "C:\WINDOWS\System32\GEARSec.exe" ["GEAR Software"]

Google Updater Service, gusvc, ""C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe"" ["Google"]

SoundMAX Agent Service, SoundMAX Agent Service (default), "C:\Programme\Analog Devices\SoundMAX\SMAgent.exe" ["Analog Devices, Inc."]

Symantec AntiVirus, Symantec AntiVirus, ""C:\Programme\Symantec AntiVirus\Rtvscan.exe"" ["Symantec Corporation"]

Symantec AntiVirus Definition Watcher, DefWatch, ""C:\Programme\Symantec AntiVirus\DefWatch.exe"" ["Symantec Corporation"]

Symantec Event Manager, ccEvtMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"" ["Symantec Corporation"]

Symantec Settings Manager, ccSetMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"" ["Symantec Corporation"]

V2i Protector, V2i Protector, "C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe" ["PowerQuest Corporation"]
 
 

Print Monitors:

---------------
 

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\

Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]
 
 

---------- (launch time: 2008-06-15 15:14:17)

<<!>>: Suspicious data at a malware launch point.
 

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

  launch it from a command prompt or a shortcut with the -all parameter.

+ The search for DESKTOP.INI DLL launch points on all local fixed drives

  took 19 seconds.

---------- (total run time: 83 seconds)

Und hier noch der gewünschte Screenshot vom Desktop

http://img74.imageshack.us/img74/386...anntsv3.th.jpg

Hast Du das mit der deinstallation von Java mal versucht?
Auf Deinem Desktop fällt mir die Datei CAVQUDBZ auf. Kennst Du Diese? Wenn nicht bitte bei VirusTotal - Free Online Virus and Malware Scan prüfen lassen und das Ergebnis hier posten.

Sorry hatte ich vergessen zu erwähnen.Hab Java zuvor deinstalliert hat aber auch nix gebracht.
Die genannte Datei auf meinem Desktop ist nur ein Studium Link von meiner Freundin.

Kannst Du diese Datei finden?

Zitat:

C:\WINDOWS\system32\28463\DFGQ.exe

Wenn ja, scanne diese einmal bei virustotal.

Scanne Dein System einmal mit dem Kaspersky Online Scanner und poste das Log hier.

Den angegebenen Ordner gibts bei mir im Windows Verzeichnis gar nicht.Hab dann mal über die Suche nach der Datei geschaut und dann nur im Ordner Windows/Prefetch die folgende Datei gefunden DFGQ.EXE-3A993D32.pf .
Hab dieses dann mal mit Virus Total gescannt aber ohne Ergebnis

Code:

Datei DFGQ.EXE-3A993D32.pf empfangen 2008.06.15 17:53:10 (CET)

Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt 
 
 

Ergebnis: 0/32 (0%)

Laden der Serverinformationen... 

Ihre Datei wartet momentan auf Position: ___.

Geschätzte Startzeit is zwischen ___ und ___ .

Dieses Fenster bis zum Abschluss des Scans nicht schließen. 

Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.

Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. 

Ihre Datei wird momentan von VirusTotal überprüft,

Ergebnisse werden sofort nach der Generierung angezeigt. 

 Filter Drucken der Ergebnisse  

Datei existiert nicht oder dessen Lebensdauer wurde überschritten 

Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
 

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. 

 Email:  

  
 

Antivirus Version letzte aktualisierung Ergebnis 

AhnLab-V3 2008.6.13.1 2008.06.15 - 

AntiVir 7.8.0.55 2008.06.14 - 

Authentium 5.1.0.4 2008.06.15 - 

Avast 4.8.1195.0 2008.06.15 - 

AVG 7.5.0.516 2008.06.14 - 

BitDefender 7.2 2008.06.15 - 

CAT-QuickHeal 9.50 2008.06.14 - 

ClamAV 0.92.1 2008.06.15 - 

DrWeb 4.44.0.09170 2008.06.15 - 

eSafe 7.0.15.0 2008.06.15 - 

eTrust-Vet 31.6.5873 2008.06.14 - 

Ewido 4.0 2008.06.15 - 

F-Prot 4.4.4.56 2008.06.12 - 

F-Secure 6.70.13260.0 2008.06.15 - 

Fortinet 3.14.0.0 2008.06.15 - 

GData 2.0.7306.1023 2008.06.15 - 

Ikarus T3.1.1.26.0 2008.06.15 - 

Kaspersky 7.0.0.125 2008.06.15 - 

McAfee 5317 2008.06.13 - 

Microsoft 1.3604 2008.06.15 - 

NOD32v2 3187 2008.06.15 - 

Norman 5.80.02 2008.06.13 - 

Panda 9.0.0.4 2008.06.15 - 

Prevx1 V2 2008.06.15 - 

Rising 20.48.62.00 2008.06.15 - 

Sophos 4.30.0 2008.06.15 - 

Sunbelt 3.0.1145.1 2008.06.05 - 

Symantec 10 2008.06.15 - 

TheHacker 6.2.92.350 2008.06.14 - 

VBA32 3.12.6.7 2008.06.14 - 

VirusBuster 4.3.26:9 2008.06.12 - 

Webwasher-Gateway 6.6.2 2008.06.15 - 

weitere Informationen 

File size: 17140 bytes 

MD5...: 09eb6cc088f075e694a8e2b9d2017708 

SHA1..: 111d853820d281562c1fd73c43b31315623ac85f 

SHA256: 18b4b0a8725ed0b45b92272624208291fcefc299597ad6d372d1afd37ddc0ddc 

SHA512: 37b215ebc19f6d469ef1efe28590e9595c3e145fc393171ca74c94055cd97b42

aaaa1f711d90feb1c6dfd2746e51c0d22189cc6987cb54aa847f2bcbaa6c0ac2 

PEiD..: - 

PEInfo: -

so nun hab ich auch den Kaspersky Online Scanner durchgeführt dieser ist glaub sogar fündig geworden.Nur was nun.Wie bekomme ich das Zeugs runter??

Code:



Sonntag, 15. Juni 2008 18:23:46

Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Version von Kaspersky Online Scanner: 5.0.98.1

Letztes Update der Antiviren-Datenbanken: 15/06/2008

Anzahl der Einträge in den Antiviren-Datenbanken: 867406

 

 

Scan-Einstellungen 

Folgende Antiviren-Datenbanken zur Untersuchung verwenden Erweiterte 

Archive untersuchen ja 

Mail-Datenbanken untersuchen ja 

 

Untersuchungsobjekt Kritische Objekte 

C:\WINDOWS

C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\  

 

Untersuchungsergebnisse 

Untersuchte Objekte insgesamt 11660 

Viren gefunden 3 

Infizierte Objekte gefunden 3 

Verdächtige Objekte gefunden 0 

Untersuchungszeit 00:11:32 
 

Name des infizierten Objekts Virusname Letzte Aktion 

C:\WINDOWS\Debug\PASSWD.LOG  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\SchedLgU.Txt  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\SoftwareDistribution\EventCache\{6D7A5A71-79E9-4024-AD78-83A8F391C588}.bin  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\28463\DFGQ.006  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg  übersprungen  

 

C:\WINDOWS\system32\28463\DFGQ.007  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o  übersprungen  

 

C:\WINDOWS\system32\28463\DFGQ.exe  Infizierte Objekte: Trojan-Spy.Win32.Ardamax.ce  übersprungen  

 

C:\WINDOWS\system32\CatRoot2\edb.log  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\CatRoot2\tmp.edb  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\AppEvent.Evt  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\default  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\default.LOG  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\SAM  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\SAM.LOG  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\SecEvent.Evt  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\SECURITY  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\SECURITY.LOG  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\software  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\software.LOG  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\SysEvent.Evt  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\system  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\system.LOG  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\h323log.txt  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\LogFiles\HTTPERR\httperr1.log  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\WindowsUpdate.log  Das Objekt ist gesperrt  übersprungen  

 

Die Untersuchung wurde abgeschlossen.

Und hier noch der Memory Scan

Code:

Sonntag, 15. Juni 2008 18:31:09

Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Version von Kaspersky Online Scanner: 5.0.98.1

Letztes Update der Antiviren-Datenbanken: 15/06/2008

Anzahl der Einträge in den Antiviren-Datenbanken: 867406

 

 

Scan-Einstellungen 

Folgende Antiviren-Datenbanken zur Untersuchung verwenden Erweiterte 

Archive untersuchen ja 

Mail-Datenbanken untersuchen ja 

 

Untersuchungsobjekt Memory 

 

 

Untersuchungsergebnisse 

Untersuchte Objekte insgesamt 1699 

Viren gefunden 2 

Infizierte Objekte gefunden 30 

Verdächtige Objekte gefunden 0 

Untersuchungszeit 00:00:46 
 

Name des infizierten Objekts Virusname Letzte Aktion 

[0] [System Process] => C:\WINDOWS\system32\28463\DFGQ.007  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o  übersprungen  

 

[0] [System Process] => C:\WINDOWS\system32\28463\DFGQ.006  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg  übersprungen  

 

[1788] explorer.exe => C:\WINDOWS\system32\28463\DFGQ.006  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg  übersprungen  

 

[1788] explorer.exe => C:\WINDOWS\system32\28463\DFGQ.007  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o  übersprungen  

 

[2028] igfxtray.exe => C:\WINDOWS\system32\28463\DFGQ.006  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg  übersprungen  

 

[2028] igfxtray.exe => C:\WINDOWS\system32\28463\DFGQ.007  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o  übersprungen  

 

[204] hkcmd.exe => C:\WINDOWS\system32\28463\DFGQ.006  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg  übersprungen  

 

[204] hkcmd.exe => C:\WINDOWS\system32\28463\DFGQ.007  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o  übersprungen  

 

[256] SMTray.exe => C:\WINDOWS\system32\28463\DFGQ.006  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg  übersprungen  

 

[256] SMTray.exe => C:\WINDOWS\system32\28463\DFGQ.007  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o  übersprungen  

 

[240] ccApp.exe => C:\WINDOWS\system32\28463\DFGQ.007  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o  übersprungen  

 

[240] ccApp.exe => C:\WINDOWS\system32\28463\DFGQ.006  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg  übersprungen  

 

[2004] VPTray.exe => C:\WINDOWS\system32\28463\DFGQ.006  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg  übersprungen  

 

[2004] VPTray.exe => C:\WINDOWS\system32\28463\DFGQ.007  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o  übersprungen  

 

[248] itype.exe => C:\WINDOWS\system32\28463\DFGQ.007  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o  übersprungen  

 

[248] itype.exe => C:\WINDOWS\system32\28463\DFGQ.006  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg  übersprungen  

 

[556] ipoint.exe => C:\WINDOWS\system32\28463\DFGQ.007  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o  übersprungen  

 

[556] ipoint.exe => C:\WINDOWS\system32\28463\DFGQ.006  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg  übersprungen  

 

[1500] jusched.exe => C:\WINDOWS\system32\28463\DFGQ.007  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o  übersprungen  

 

[1500] jusched.exe => C:\WINDOWS\system32\28463\DFGQ.006  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg  übersprungen  

 

[1508] msmsgs.exe => C:\WINDOWS\system32\28463\DFGQ.007  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o  übersprungen  

 

[1508] msmsgs.exe => C:\WINDOWS\system32\28463\DFGQ.006  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg  übersprungen  

 

[1540] ctfmon.exe => C:\WINDOWS\system32\28463\DFGQ.007  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o  übersprungen  

 

[1540] ctfmon.exe => C:\WINDOWS\system32\28463\DFGQ.006  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg  übersprungen  

 

[1476] GoogleUpdater.exe => C:\WINDOWS\system32\28463\DFGQ.007  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o  übersprungen  

 

[1476] GoogleUpdater.exe => C:\WINDOWS\system32\28463\DFGQ.006  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg  übersprungen  

 

[3316] wuauclt.exe => C:\WINDOWS\system32\28463\DFGQ.007  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o  übersprungen  

 

[3316] wuauclt.exe => C:\WINDOWS\system32\28463\DFGQ.006  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg  übersprungen  

 

[3948] iexplore.exe => C:\WINDOWS\system32\28463\DFGQ.007  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o  übersprungen  

 

[3948] iexplore.exe => C:\WINDOWS\system32\28463\DFGQ.006  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg  übersprungen  

 

Die Untersuchung wurde abgeschlossen.

Ist zwar kein Virus, aber ein Keylogger und das könnte mit dem Passwort über einstimmen. Hast du irgendeine Idee ob du Ardamax installiert hast?

Ich weiss leider nicht was dieses Ardamax überhaupt gut sein soll.Kann mir nicht vorstellen dass meine Freundin oder Ich dieses Teil installiert haben.

Du solltest du Dateien die angemeckert werden, nochmal bei Virustotal hochladen. Wenn sich das bewahrheitet was ich sehe, dann hilft nur noch Daten sichern und neu aufsetzen!

das hört sich ja gar nicht gut an.

hmm das Problem ist nur das ich nach wie vor im System32 Verzeichnis diesen 28463 Ordner einfach nicht finde auch wenn ich die versteckten Dateien einblende.Somit kann ich die Dateien auch nicht hochladen.

so hab mich gerade mal bei google über den Ardamax Keylogger schlau gemacht.Das Ding hört sich ja wirklich sehr bösartig an und es wurde definitiv nicht von mir oder meiner Freundin auf deren Rechner installiert.
Hab die DFGQ.exe nun auch mit Antyspy.info gefunden ,bringt das was wenn ich die betroffenen Dateien in die Quarantäne schiebe oder ist es dafür schon zu spät?

Muss sich meine Freundin nun sorgen über ihre sämtlichen Passwörter etc. machen?
Wie kann man sich denn so ne Scheiße einfangen?Zumal die wirklich ihren Rechner nur fürs Studium benutzt und nicht irgendwelche Moviez oder sonstiges Zeugs runterläd.

Über das Anti-Spy.info Programm ist es mir nun doch gelungen in den 28463 Ordner zu kommen.Das Programm zeigt mir die DFGQ.exe,DFGQ.007,DFGQ006 als gefährlich an im Ordner sind aber noch andere Dateien des selben Typs.Was ist mit denen??

Hier mal ein Screenshot

http://img161.imageshack.us/img161/3104/sypzi1.th.jpg

Wenn ich die DFGQ.exe mit Virustotal Scanne zeigt er mir auch diesen Ardamax an.

Zitat:

Zitat von rx8wanki (Beitrag 346054)

Muss sich meine Freundin nun sorgen über ihre sämtlichen Passwörter etc. machen?

ja. alle sind bekannt.
entferne den keylogger und ändere alle pw. :)

So nun hab ich alles entfernt.Kaspersky nochmals laufen lassen,der Online Scan findet nix mehr und das @ Zeichen funktioniert auch wieder.Passwörter wurden auch alle geändert.

Vielen Dank für eure Bemühungen und Tips.

Was empfehlt ihr dann für ein gutes Spyware Programm dass ich ab sofort immer im Hintergrund zur Überwachung laufen lassen kann?

Zitat:

Zitat von rx8wanki (Beitrag 346054)

so hab mich gerade mal bei google über den Ardamax Keylogger schlau gemacht.Das Ding hört sich ja wirklich sehr bösartig an und es wurde definitiv nicht von mir oder meiner Freundin auf deren Rechner installiert.
Hab die DFGQ.exe nun auch mit Antyspy.info gefunden ,bringt das was wenn ich die betroffenen Dateien in die Quarantäne schiebe oder ist es dafür schon zu spät?

Muss sich meine Freundin nun sorgen über ihre sämtlichen Passwörter etc. machen?
Wie kann man sich denn so ne Scheiße einfangen?Zumal die wirklich ihren Rechner nur fürs Studium benutzt und nicht irgendwelche Moviez oder sonstiges Zeugs runterläd.

Über das Anti-Spy.info Programm ist es mir nun doch gelungen in den 28463 Ordner zu kommen.Das Programm zeigt mir die DFGQ.exe,DFGQ.007,DFGQ006 als gefährlich an im Ordner sind aber noch andere Dateien des selben Typs.Was ist mit denen??

Hier mal ein Screenshot

http://img161.imageshack.us/img161/3104/sypzi1.th.jpg

Wenn ich die DFGQ.exe mit Virustotal Scanne zeigt er mir auch diesen Ardamax an.

Das liegt sehr wahrscheinlich am veralteten IE den würd ich auch mal updaten!