Trojaner-Board - Drooper DR/Softomate.AA.a mit AntiVir festgestellt

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Drooper DR/Softomate.AA.a mit AntiVir festgestellt (https://www.trojaner-board.de/46504-drooper-dr-softomate-aa-a-antivir-festgestellt.html)

Drooper DR/Softomate.AA.a mit AntiVir festgestellt

Hallo liebe Profis!

Ich hoffe ihr könnt mir helfen. Antivir spuckt ständig die Meldung aus o.g. Drooper gefunden zu haben im Pfad: c:\dokumente und Einstellungen\+++\Lokale Einstellungen\temp\mediabar.exe

Was hat das zu bedeuten? Ich habe die Datei vorsichtshalber unter Quarantände gestellt.

Ich benutze Wín XP mit SP2

Hier mein Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:42:22, on 01.12.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe

F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe

F:\Programme\Office\Wiso\börse\bin\watchdog.exe

C:\WINDOWS\SOUNDMAN.EXE

F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programme\Microsoft Hardware\Mouse\point32.exe

C:\Programme\Microsoft Hardware\Keyboard\type32.exe

C:\Programme\Java\jre1.6.0_02\bin\jusched.exe

F:\Programme\Multimedia\Winamp\Winampa.exe

F:\Programme\Brennen\CloneCD\CloneCDTray.exe

F:\Programme\Sicherheit\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

F:\Programme\Brennen\Daemon Tools\daemon.exe

F:\Programme\Internet\emule\emule.exe

F:\Programme\Multimedia\Nikon\pictureproject\NkbMonitor.exe

C:\Programme\RALINK\Common\RaUI.exe

F:\Programme\Internet\Mozilla Thunderbird\thunderbird.exe

C:\WINDOWS\System32\svchost.exe

F:\Programme\Sicherheit\Spybot - Search & Destroy\SpybotSD.exe

F:\Programme\Office\OFFICE11\WINWORD.EXE

F:\Programme\Internet\Mozilla Firefox\firefox.exe

F:\Programme\Sicherheit\Hijackthis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.talti.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Programme\Sicherheit\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {FC1C4B37-87E1-49B9-93EF-D857FCA18C60} - C:\WINDOWS\system32\btpanuid.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [avgnt] "F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe"

O4 - HKLM\..\Run: [WinampAgent] "F:\Programme\Multimedia\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [CloneCDTray] "F:\Programme\Brennen\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Programme\Sicherheit\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools] "F:\Programme\Brennen\Daemon Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [eMuleAutoStart] F:\Programme\Internet\emule\emule.exe -AutoStart

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: NkbMonitor.exe.lnk = F:\Programme\Multimedia\Nikon\pictureproject\NkbMonitor.exe

O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\Office\OFFICE11\REFIEBAR.DLL

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Programme\Spiele\Partypoker\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Programme\Spiele\Partypoker\PartyPoker\RunApp.exe (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{A45F25B4-7184-4568-A211-0442F51A4990}: NameServer = 192.168.0.1

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programme\WinPcap\rpcapd.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: WisoBoerseWatchDog - market maker Software AG - F:\Programme\Office\Wiso\börse\bin\watchdog.exe
 

--

End of file - 7157 bytes

Vielen Dank im Voraus für eure Mühe!

Gudman

Hallo.

Du hast dir anscheinend Bearshare installiert. Du solltest es besser nicht nutzen und deinstallieren, da es mit Spy-/Adware daherkommt. Es gibt bessere Alternativen wie z.B. eMule. Sei aber allgemein sehr vorsichtig was das Thema Filesharing anbelangt, die Downloads sind meist illegal und in vielen Fällen auch mit Schädlingen verseucht.

Du solltest folgende Einträge mit Hijackthis im abgesicherten Modus fixen:

Code:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb

O2 - BHO: (no name) - {FC1C4B37-87E1-49B9-93EF-D857FCA18C60} - C:\WINDOWS\system32\btpanuid.dll

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Programme\Spiele\Partypoker\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Programme\Spiele\Partypoker\PartyPoker\RunApp.exe (file missing)

Starte dannn den Rechner wieder neu (normaler Modus) und erstelle und poste ein neues HJT-Logfile.

Werte die Datei C:\WINDOWS\system32\btpanuid.dll bei Virustotal aus und poste die Ergebnisse inkl. Angaben zur Dateigröße und Prüfsummen.

Führ mal für weitere Analysen folgende Tools bzw. Anleitungen aus und poste die Logfiles:

- eScan
- Silentrunners
- combofix

Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:

Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Hallo,

hier der neue HJ-Log:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:58:31, on 09.12.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe

F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe

F:\Programme\Office\Wiso\börse\bin\watchdog.exe

C:\WINDOWS\SOUNDMAN.EXE

F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programme\Microsoft Hardware\Mouse\point32.exe

C:\Programme\Microsoft Hardware\Keyboard\type32.exe

C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

F:\Programme\Multimedia\Winamp\Winampa.exe

F:\Programme\Brennen\CloneCD\CloneCDTray.exe

F:\Programme\Sicherheit\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

F:\Programme\Brennen\Daemon Tools\daemon.exe

F:\Programme\Internet\emule\emule.exe

C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

F:\Programme\Multimedia\Nikon\pictureproject\NkbMonitor.exe

C:\Programme\RALINK\Common\RaUI.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\system32\wuauclt.exe

F:\Programme\Sicherheit\Hijackthis\HijackThis.exe

C:\WINDOWS\system32\wuauclt.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.talti.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Programme\Sicherheit\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [avgnt] "F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe"

O4 - HKLM\..\Run: [WinampAgent] "F:\Programme\Multimedia\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [CloneCDTray] "F:\Programme\Brennen\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Programme\Sicherheit\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools] "F:\Programme\Brennen\Daemon Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [eMuleAutoStart] F:\Programme\Internet\emule\emule.exe -AutoStart

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: NkbMonitor.exe.lnk = F:\Programme\Multimedia\Nikon\pictureproject\NkbMonitor.exe

O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\Office\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{A45F25B4-7184-4568-A211-0442F51A4990}: NameServer = 192.168.0.1

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programme\WinPcap\rpcapd.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: WisoBoerseWatchDog - market maker Software AG - F:\Programme\Office\Wiso\börse\bin\watchdog.exe
 

--

End of file - 6188 bytes

und der von Virustotal:

Code:

 Datei btpanui.dll empfangen 2007.12.09 22:00:43 (CET)

Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 0/32 (0%)

Laden der Serverinformationen...

Ihre Datei wartet momentan auf Position: 2.

Geschätzte Startzeit is zwischen 41 und 59 Sekunden.

Dieses Fenster bis zum Abschluss des Scans nicht schließen.

Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.

Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.

Ihre Datei wird momentan von VirusTotal überprüft,

Ergebnisse werden sofort nach der Generierung angezeigt.

Filter Filter

Drucken der Ergebnisse Drucken der Ergebnisse

Datei existiert nicht oder dessen Lebensdauer wurde überschritten

Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
 

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.

Email:         

        

Antivirus         Version         letzte aktualisierung         Ergebnis

AhnLab-V3        2007.12.8.0        2007.12.07        -

AntiVir        7.6.0.40        2007.12.07        -

Authentium        4.93.8        2007.12.08        -

Avast        4.7.1098.0        2007.12.09        -

AVG        7.5.0.503        2007.12.09        -

BitDefender        7.2        2007.12.09        -

CAT-QuickHeal        9.00        2007.12.08        -

ClamAV        0.91.2        2007.12.09        -

DrWeb        4.44.0.09170        2007.12.09        -

eSafe        7.0.15.0        2007.12.09        -

eTrust-Vet        31.3.5361        2007.12.08        -

Ewido        4.0        2007.12.09        -

FileAdvisor        1        2007.12.09        -

Fortinet        3.14.0.0        2007.12.09        -

F-Prot        4.4.2.54        2007.12.08        -

F-Secure        6.70.13030.0        2007.12.09        -

Ikarus        T3.1.1.12        2007.12.09        -

Kaspersky        7.0.0.125        2007.12.09        -

McAfee        5181        2007.12.08        -

Microsoft        1.3007        2007.12.09        -

NOD32v2        2711        2007.12.07        -

Norman        5.80.02        2007.12.07        -

Panda        9.0.0.4        2007.12.09        -

Prevx1        V2        2007.12.09        -

Rising        20.21.42.00        2007.12.07        -

Sophos        4.24.0        2007.12.09        -

Sunbelt        2.2.907.0        2007.12.07        -

Symantec        10        2007.12.09        -

TheHacker        6.2.9.154        2007.12.09        -

VBA32        3.12.2.5        2007.12.07        -

VirusBuster        4.3.26:9        2007.12.09        -

Webwasher-Gateway        6.6.2        2007.12.08        -

weitere Informationen

File size: 50688 bytes

MD5: 9e86ec4d367a619233f4bef2c0084ea2

SHA1: 6c3a639915df0728076df7abb13b9eef5cf002ce

PEiD: -

Bei escan funktioniert im abgesichterten modus mit netzwerkunterstützung die internetverbindung nicht.
silentrunner krieg ich irgendwie nicht zum laufen.
Und bei combofix zeigt mir an das es keine win32 anwendung ist.

Viele Grüße

guddy

Zitat:

Bei escan funktioniert im abgesichterten modus mit netzwerkunterstützung die internetverbindung nicht.

Nimm die Anleitung für user ohne Router => http://files.trojaner-board.de/escan_ohne_router.pdf
Du lädst dann also die Updates im normalen Modus bei bestehender Internetverbindung und führst den scan im abgesicherten Modus durch, brauchste dann auch keine Netzwerkunterstützung mehr.

Zitat:

silentrunner krieg ich irgendwie nicht zum laufen.

Fehlermeldung?

Zitat:

Und bei combofix zeigt mir an das es keine win32 anwendung ist.

Der Link zum combofix ist hin und wieder kaputt. :mad:
Nimm diesen => ComboFix - Download - INSTALKI.pl

Hey,

Silentrunner läuft und bringt mir folgendes Ergebnis:

Code:

"Silent Runners.vbs", revision 53, http://www.silentrunners.org/

Operating System: Windows XP SP2

Output limited to non-default values, except where indicated by "{++}"
 
 

Startup items buried in registry:

---------------------------------
 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

"DAEMON Tools" = ""F:\Programme\Brennen\Daemon Tools\daemon.exe" -lang 1033" ["DT Soft Ltd."]

"eMuleAutoStart" = "F:\Programme\Internet\emule\emule.exe -AutoStart" ["http://www.emule-project.net"]
 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]

"avgnt" = ""F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]

"BluetoothAuthenticationAgent" = "rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" [MS]

"POINTER" = "point32.exe" [MS]

"IntelliType" = ""C:\Programme\Microsoft Hardware\Keyboard\type32.exe"" [MS]

"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."]

"TerraTec Remote Control" = ""C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe"" [file not found]

"WinampAgent" = ""F:\Programme\Multimedia\Winamp\Winampa.exe"" [null data]

"CloneCDTray" = ""F:\Programme\Brennen\CloneCD\CloneCDTray.exe" /s" ["SlySoft, Inc."]

"ZoneAlarm Client" = ""F:\Programme\Sicherheit\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"]
 

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"

                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "F:\Programme\Sicherheit\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "SSVHelper Class"

                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
 

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"

  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"

                   \InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"

  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]

"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"

  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"

                   \InProcServer32\(Default) = "F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "F:\Programme\system\Winrar\rarext.dll" [null data]

"{1CAA843A-6DBD-40EF-AB71-8F7B209997C0}" = "IntelliType Pro Key Settings Control Panel Property Page"

  -> {HKLM...CLSID} = "ITPropertyPage Class"

                   \InProcServer32\(Default) = "C:\Programme\Microsoft Hardware\Keyboard\itcpl.dll" [MS]

"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"

  -> {HKLM...CLSID} = "NeroDigitalIconHandler Class"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" [file not found]

"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"

  -> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" [file not found]

"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "F:\Programme\Office\OFFICE11\msohev.dll" [MS]

"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"

  -> {HKLM...CLSID} = "Microsoft Office Outlook"

                   \InProcServer32\(Default) = "F:\PROGRA~1\Office\OFFICE11\MLSHEXT.DLL" [MS]

"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"

  -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"

                   \InProcServer32\(Default) = "F:\PROGRA~1\Office\OFFICE11\OLKFSTUB.DLL" [MS]

"{506F4668-F13E-4AA1-BB04-B43203AB3CC0}" = "{506F4668-F13E-4AA1-BB04-B43203AB3CC0}"

  -> {HKLM...CLSID} = "ImageExtractorShellExt Class"

                   \InProcServer32\(Default) = "F:\Programme\Office\Visio11\VISSHE.DLL" [null data]

"{D66DC78C-4F61-447F-942B-3FB6980118CF}" = "{D66DC78C-4F61-447F-942B-3FB6980118CF}"

  -> {HKLM...CLSID} = "CInfoTipShellExt Class"

                   \InProcServer32\(Default) = "F:\Programme\Office\Visio11\VISSHE.DLL" [null data]

"{D9872D13-7651-4471-9EEE-F0A00218BEBB}" = "Multiscan"

  -> {HKLM...CLSID} = "ZLAVShExt Class"

                   \InProcServer32\(Default) = "F:\Programme\Sicherheit\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]
 

HKLM\Software\Classes\PROTOCOLS\Filter\

<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]
 

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\

{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"

  -> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" [file not found]

{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"

  -> {HKLM...CLSID} = "PDF Shell Extension"

                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]
 

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"

  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"

                   \InProcServer32\(Default) = "F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "F:\Programme\system\Winrar\rarext.dll" [null data]

ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"

  -> {HKLM...CLSID} = "ZLAVShExt Class"

                   \InProcServer32\(Default) = "F:\Programme\Sicherheit\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]
 

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "F:\Programme\system\Winrar\rarext.dll" [null data]
 

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"

  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"

                   \InProcServer32\(Default) = "F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "F:\Programme\system\Winrar\rarext.dll" [null data]

ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"

  -> {HKLM...CLSID} = "ZLAVShExt Class"

                   \InProcServer32\(Default) = "F:\Programme\Sicherheit\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]
 
 

Group Policies {GPedit.msc branch and setting}:

-----------------------------------------------
 

Note: detected settings may not have any effect.
 

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\
 

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Shutdown: Allow system to be shut down without having to log on}
 

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Devices: Allow undock without having to log on}
 
 

Active Desktop and Wallpaper:

-----------------------------
 

Active Desktop may be disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
 

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\

"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
 

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:

HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\Dokumente und Einstellungen\Torsten-admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
 
 

Startup items in "Torsten-admin" & "All Users" startup folders:

---------------------------------------------------------------
 

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart

"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]

"NkbMonitor.exe" -> shortcut to: "F:\Programme\Multimedia\Nikon\pictureproject\NkbMonitor.exe" ["Nikon Corporation"]

"Ralink Wireless Utility" -> shortcut to: "C:\Programme\RALINK\Common\RaUI.exe -s" ["Ralink Technology, Corp."]
 
 

Enabled Scheduled Tasks:

------------------------
 

"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Computer, Inc."]
 
 

Winsock2 Service Provider DLLs:

-------------------------------
 

Namespace Service Providers
 

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000004\LibraryPath = "%SystemRoot%\system32\wshbth.dll" [MS]
 

Transport Service Providers
 

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 24

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
 
 

Toolbars, Explorer Bars, Extensions:

------------------------------------
 

Explorer Bars
 

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
 

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"

Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]

InProcServer32\(Default) = "F:\PROGRA~1\Office\OFFICE11\REFIEBAR.DLL" [MS]
 

Extensions (Tools menu items, main toolbar menu buttons)
 

HKLM\Software\Microsoft\Internet Explorer\Extensions\

{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\

"MenuText" = "Sun Java Konsole"

"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"

  -> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"

                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]

  -> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"

                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]
 

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\

"ButtonText" = "Recherchieren"
 

{E2E2DD38-D088-4134-82B7-F2BA38496583}\

"MenuText" = "@xpsp3res.dll,-20001"

"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]
 

{FB5F1910-F110-11D2-BB9E-00C04F795683}\

"ButtonText" = "Messenger"

"MenuText" = "Windows Messenger"

"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]
 
 

Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------
 

AntiVir PersonalEdition Classic Guard, AntiVirService, "F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]

AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]

Bluetooth Support Service, BthServ, "C:\WINDOWS\system32\svchost.exe -k bthsvcs" {"C:\WINDOWS\System32\bthserv.dll" [MS]}

TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]

Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]

WisoBoerseWatchDog, WisoBoerseWatchDog, "F:\Programme\Office\Wiso\börse\bin\watchdog.exe" ["market maker Software AG"]
 
 

Print Monitors:

---------------
 

HKLM\System\CurrentControlSet\Control\Print\Monitors\

Canon BJ Language Monitor S400\Driver = "CNMLM2P.DLL" ["CANON INC."]

Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]
 
 

---------- (launch time: 2007-12-09 23:07:47)

<<!>>: Suspicious data at a malware launch point.
 

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

  launch it from a command prompt or a shortcut with the -all parameter.

+ To search all directories of local fixed drives for DESKTOP.INI

  DLL launch points, use the -supp parameter or answer "No" at the

  first message box and "Yes" at the second message box.

---------- (total run time: 75 seconds, including 28 seconds for message bo

combofix:

Code:

ComboFix 07-12-09.1 - Torsten-admin 2007-12-09 22:55:58.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.910 [GMT 1:00]

ausgeführt von:: C:\Dokumente und Einstellungen\Torsten-admin\Desktop\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt

.
 

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\WINDOWS\system32\drivers\npf.sys

C:\WINDOWS\system32\packet.dll

C:\WINDOWS\system32\pthreadVC.dll

C:\WINDOWS\system32\wanpacket.dll

C:\WINDOWS\system32\wpcap.dll
 

.

(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
 

.

-------\LEGACY_NPF

-------\NPF
 
 

(((((((((((((((((((((((   Dateien erstellt von 2007-11-09 bis 2007-12-09  ))))))))))))))))))))))))))))))

.
 

2007-12-03 10:25 . 2007-12-03 10:25        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\World Money

2007-12-03 10:24 . 2007-12-03 10:24        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\DataDesign

2007-12-03 10:24 . 2007-04-12 15:38        135,168        ---------        C:\WINDOWS\system32\LexEBankCommon10VC8.dll

2007-12-03 10:24 . 2006-05-15 15:58        117,760        ---------        C:\WINDOWS\system32\LexEBankCommon.dll

2007-12-03 10:23 . 2007-12-03 10:23        <DIR>        d--------        C:\Programme\Lexware

2007-12-03 10:23 . 2007-12-03 10:23        <DIR>        d--------        C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\Lexware

2007-12-03 10:23 . 2007-12-03 10:23        <DIR>        d--------        C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\InstallShield

2007-12-03 10:18 . 2007-12-03 10:24        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lexware

2007-12-03 10:15 . 2007-12-03 17:54        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Lexware

2007-11-26 17:40 . 2007-11-26 17:40        <DIR>        d--------        C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\eMule

2007-11-20 15:22 . 2007-11-20 15:22        <DIR>        d--------        C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\Microsoft Web Folders
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-12-09 22:00        9,478,176        --sha-w        C:\WINDOWS\system32\drivers\fidbox.dat

2007-12-09 21:58        119,408        --sha-w        C:\WINDOWS\system32\drivers\fidbox.idx

2007-12-09 15:32        ---------        d-----w        C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\Skype

2007-12-04 19:57        ---------        d-----w        C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\foobar2000

2007-12-03 16:57        ---------        d--h--w        C:\Programme\InstallShield Installation Information

2007-12-03 09:17        ---------        d-----w        C:\Programme\Gemeinsame Dateien\InstallShield

2007-12-01 18:29        ---------        d-----w        C:\Programme\Java

2007-11-25 18:25        ---------        d-----w        C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\ChessBase

2007-11-24 07:22        17,847,315        ----a-w        C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_11_24_08_21_10_full.dmp.zip

2007-11-14 12:31        6,042,474        ----a-w        C:\WINDOWS\Internet Logs\tvDebug.zip

2007-11-06 17:08        ---------        d-----w        C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\The Bat!

2007-10-30 15:26        ---------        d-----w        C:\Dokumente und Einstellungen\Guddy\Anwendungsdaten\Talkback

2007-10-29 08:04        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Downloaded Installations

2007-10-24 07:58        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier

2007-10-13 15:22        ---------        d-----w        C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\DataDesign

2007-10-13 10:59        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Buhl Data Service

2007-10-13 10:58        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Börse 2007

2007-10-12 18:32        ---------        d-----w        C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\Buhl Data Service GmbH

2007-10-12 18:32        ---------        d-----w        C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\Buhl Data Service

2007-10-12 18:32        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH

2007-10-12 18:27        ---------        d-----w        C:\Programme\DataDesign

2007-05-13 14:28        20,770,584        ----a-w        C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_05_13_16_20_41_full.dmp.zip

2007-03-22 19:08        20        ---h--w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLec.DAT

2006-12-12 14:58        16,368        ----a-w        C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\GDIPFONTCACHEV1.DAT

.
 

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00]

"DAEMON Tools"="F:\Programme\Brennen\Daemon Tools\daemon.exe" [2007-04-03 23:29]

"eMuleAutoStart"="F:\Programme\Internet\emule\emule.exe" [2007-05-13 15:57]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMan"="SOUNDMAN.EXE" [2003-01-10 04:39 C:\WINDOWS\SOUNDMAN.EXE]

"avgnt"="F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-13 10:25]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 13:00 C:\WINDOWS\system32\bthprops.cpl]

"POINTER"="point32.exe" []

"IntelliType"="C:\Programme\Microsoft Hardware\Keyboard\type32.exe" [2002-03-22 05:41]

"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]

"TerraTec Remote Control"="C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe" []

"WinampAgent"="F:\Programme\Multimedia\Winamp\Winampa.exe" [2003-04-17 07:54]

"CloneCDTray"="F:\Programme\Brennen\CloneCD\CloneCDTray.exe" [2006-09-28 20:21]

"ZoneAlarm Client"="F:\Programme\Sicherheit\ZoneAlarm\zlclient.exe" [2007-09-06 15:14]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00]

                        

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\emMON]

                        emMON.exe
 

R2 WisoBoerseWatchDog;WisoBoerseWatchDog;F:\Programme\Office\Wiso\börse\bin\watchdog.exe

S3 kvpndev;Kerio VPN adapter;C:\WINDOWS\system32\DRIVERS\kvpndrv.sys

S3 PTV337;Mini DigitalTV USB;C:\WINDOWS\system32\DRIVERS\PTV337.SYS

S3 USB28xxBGA;Cinergy Hybrid T USB XS;C:\WINDOWS\system32\DRIVERS\emBDA.sys

S3 USB28xxOEM;Cinergy T USB XS Custom Filter;C:\WINDOWS\system32\DRIVERS\emOEM.sys
 

.

Inhalt des "geplante Tasks" Ordners

"2007-10-12 05:11:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

- C:\Programme\Apple Software Update\SoftwareUpdate.exe

.

**************************************************************************
 

catchme 0.3.1331 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-12-09 23:00:46

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Eintr„ge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen 

versteckte Dateien: 0 
 

**************************************************************************

.

Zeit der Fertigstellung: 2007-12-09 23:01:53 - machine was rebooted

.

        --- E O F ---

Der neue escanlink funktioniert nicht.

Grüße

guddy

=> escan-Anleitung
Scroll da runter zur Anleitung für User OHNE Router. Acker das ab, ich schau mir derweil die Logfiles an...

Servus,

hab es wie in der Anleitung gemacht. Leider startet das Programm nicht im abgesicherten Modus. Irgendwie findet er die com Datei nicht.

Grüße

guddy

Wenn du WinRAR hast, solltest du mal die MWAV.EXE (die du runtergeladen hast) über Rechtsklicks entpacken (ja man kann auch *.exe entpacken) - im normalen Modus dann im entpackten MWAV-Ordner die MWAVSCAN.COM starten und bei bestehender Internetverbindung Update starten - isses durch, Rechenr im abgesicherten Modus starten und die MWAVSCAN.COM im MWAV-Ordner öffnen. Den Rest nach Anleitung. ;)

Hey,

hier der escanlog:

Code:

b]Header[/b] 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  

find.bat Version 2007.06.16.01 
 

Microsoft Windows XP [Version 5.1.2600]

Bootmodus: MINIMAL 

    

eScan Version: 9.5.9 

Sprache: German 

C:\DOKUME~1\TORSTE~1\LOKALE~1\Temp\MWAV.LOG

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Infektionsmeldungen 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   

 Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 System found infected with spyware.imfmonitor Spyware/Adware ({2a652f47-a8ce-414c-bbb4-203a59031056})! Action taken: Keine Aktion vorgenommen. 

 System found infected with spyware.imfmonitor Spyware/Adware ({3c43bba2-9e93-4758-8669-adce56687e0c})! Action taken: Keine Aktion vorgenommen. 

 System found infected with spyware.imfmonitor Spyware/Adware ({4898d118-1d1e-4a2d-a8a3-4a75bf333cd5})! Action taken: Keine Aktion vorgenommen. 

 System found infected with spyware.imfmonitor Spyware/Adware ({517f778c-078d-4d33-953b-afbf1720c947})! Action taken: Keine Aktion vorgenommen. 

 System found infected with spyware.imfmonitor Spyware/Adware ({76d230aa-fc0c-4dd4-bf9e-4032d60369f1})! Action taken: Keine Aktion vorgenommen. 

 System found infected with spyware.imfmonitor Spyware/Adware ({87b24642-366e-4393-851a-b6cec5d7e641})! Action taken: Keine Aktion vorgenommen. 

 System found infected with spyware.imfmonitor Spyware/Adware ({8c22668a-d7d8-42f5-99e8-4f30ed0d18b0})! Action taken: Keine Aktion vorgenommen. 

 System found infected with spyware.imfmonitor Spyware/Adware ({963dfd8c-2e6a-4db4-bcb3-9d5c78142e41})! Action taken: Keine Aktion vorgenommen. 

 System found infected with spyware.imfmonitor Spyware/Adware ({a06d036f-984f-4482-ad5c-ebd11a638b4c})! Action taken: Keine Aktion vorgenommen. 

 System found infected with spyware.imfmonitor Spyware/Adware ({a434ac6f-7286-42c3-982b-20f00263501b})! Action taken: Keine Aktion vorgenommen. 

 System found infected with spyware.imfmonitor Spyware/Adware ({c5a786b9-3bd6-4a4e-b4d7-9b752138dc4b})! Action taken: Keine Aktion vorgenommen. 

 System found infected with spyware.imfmonitor Spyware/Adware ({d044d89c-01e4-4722-8812-8df543680606})! Action taken: Keine Aktion vorgenommen. 

 System found infected with spyware.imfmonitor Spyware/Adware ({d3e78b93-4b65-405d-9095-e82b78555173})! Action taken: Keine Aktion vorgenommen. 

 System found infected with spyware.imfmonitor Spyware/Adware ({e6857874-b535-46d7-a3eb-4103614e91fc})! Action taken: Keine Aktion vorgenommen. 

 System found infected with spyware.imfmonitor Spyware/Adware ({fbd42940-b837-40eb-bdb4-86ae00e1d0d1})! Action taken: Keine Aktion vorgenommen. 

 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. 

 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. 

 System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. 

 

 

~~~~~~~~~~~ 
 Dateien 

~~~~~~~~~~~ 

~~~~ Infected files 

~~~~~~~~~~~ 

~~~~~~~~~~~ 

~~~~ Tagged files 

~~~~~~~~~~~ 

~~~~~~~~~~~ 

~~~~ Offending files 

~~~~~~~~~~~ 

 Offending file found: C:\WINDOWS\system32\swreg.exe 

 Offending file found: C:\WINDOWS\system32\swsc.exe 

 Offending file found: C:\WINDOWS\system32\unrar.dll 

~~~~~~~~~~~ 
 Ordner 

~~~~~~~~~~~ 

 Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\codecs\k-lite codec pack\tools 

 Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\codecs\k-lite codec pack\tools 

~~~~~~~~~~~ 
 Registry 

~~~~~~~~~~~ 

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Diverses 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   

~~~~~~~~~~~~~~~~~~~~~~ 
 Prozesse und Module 

~~~~~~~~~~~~~~~~~~~~~~ 

~~~~~~~~~~~~~~~~~~~~~~ 
 Scanfehler 

~~~~~~~~~~~~~~~~~~~~~~ 

~~~~~~~~~~~~~~~~~~~~~~ 
 Hosts-Datei 

~~~~~~~~~~~~~~~~~~~~~~ 

DataBasePath: %SystemRoot%\System32\drivers\etc 

Zeilen die nicht dem Standard entsprechen: 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Statistiken: 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Scan-Optionen 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   

 Specherüberprüfung: Aktiviert 

 Registry Überprüfung: Aktiviert 

 System-Ordner Überprüfung: Aktiviert 

 Überprüfung der Systembereiche: Deaktiviert 

 Überprüfung der Dienste: Aktiviert 

 Überprüfung der Festplatten: Deaktiviert 

 Überprüfung aller Festplatten :Aktiviert 

 

Batchstart: 20:52:30,81 

Batchende: 20:52:39,92

Mfg

Guddy

Okay, ich fass mal zusammen:

- im Silentrunners nichts auffälliges
- im combofix nichts auffälliges
- escan (mal wieder :rolleyes:) Fehlalarme erzeugt

Dein Rechner macht absolut keinen kompromittierten Eindruck.

Zitat:

C:\Programme\Adobe\Acrobat 7.0

Aber Acrobat hätte mal ein Update verdient. :D

Verhält sich das System denn noch merkwürdig?

Hallo,

scheint alles in Ordnung zu sein. Noch eine Frage: Was kannst du mir als kostenlose oder kostengünstige Programme empfehlen die ich zum Schutz vor Viren und anderen Schädlingen installieren sollte.

Vielen Dank für deine Mühe! Schnell und Kompetent!

Viele Grüße

guddy

Zitat:

Was kannst du mir als kostenlose oder kostengünstige Programme empfehlen die ich zum Schutz vor Viren und anderen Schädlingen installieren sollte.

In erster Linie: BRAIN :D => Kompromittierung unvermeidbar?

Unterstützen kann dich dabei jew. einer der folgenden Kostenlose Virenscanner:

- AntiVir
- AVG Free
- Avast

Mit Spybot S&D kannst du rel. zuverlässig übriggebliebene Spywarereste noch entfernen, achte aber darauf, dass du den Teatimer nicht mitinstallierst, denn der muckt bei fast jeder Aktion auf... :rolleyes:

Und vergiss nicht, regelmäßig Backups zu erstellen! :daumenhoc