Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   XP Antivir 2008 eingefangen (https://www.trojaner-board.de/57453-xp-antivir-2008-eingefangen.html)

mugel 07.08.2008 18:09
XP Antivir 2008 eingefangen
 
Hallo,
habe mir dummerweise den XP Antivir 2008 eingefangen :headbang:, die mit Popups und gefakten Systemscans nervt. Hab das Problem mit Malwarebytes Anti-Malware in den griff bekommen, so dass keine Popups und ich den Hintergrund ändern kann.

Dennoch habe ich noch kein gutes gefühl, kann sich bitte mal einer das log
ansehen.

Vielen Dank

PHP-Code:
Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1030
Windows 5.1.2600 Service Pack 2

18:46:43 07.08.2008
mbam-log-8-7-2008 (18-46-04).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 124825
Laufzeit: 37 minute(s), 23 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 3
Infizierte Registrierungsschlüssel: 12
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 14
Infizierte Verzeichnisse: 13
Infizierte Dateien: 31

Infizierte Speicherprozesse:
C:\WINDOWS\system32\lphc394j0eral.exe (Trojan.FakeAlert) -> No action taken.

Infizierte Speichermodule:
C:\WINDOWS\system32\msliksurcredo.dll (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\msliksurdns.dll (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\blphc394j0eral.scr (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dnlsvc (Proxy.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dnlsvc (Proxy.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dnlsvc (Proxy.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msdirect (Backdoor.ForBot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msdirect (Backdoor.ForBot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdirect (Backdoor.ForBot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\msliksur (Trojan.DNSChanger) -> No action taken.
HKEY_CLASSES_ROOT\sunporn (Trojan.DNSChanger) -> No action taken.
HKEY_CLASSES_ROOT\sunpornwrrb325 (Trojan.DNSChanger) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\1_is1 (Trojan.DNSChanger) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msliksurserv (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphc394j0eral (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.140 85.255.112.66 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{64152693-9d49-428d-81e7-9a5716bcb395}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.140,85.255.112.66 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{64152693-9d49-428d-81e7-9a5716bcb395}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.140,85.255.112.66 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{c56bbd8a-25d8-44ae-b3d6-6e15724aecd1}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.140,85.255.112.66 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{c6e7e204-ae47-4654-8273-a47f10236255}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.140,85.255.112.66 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{c6e7e204-ae47-4654-8273-a47f10236255}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.140,85.255.112.66 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.140 85.255.112.66 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{64152693-9d49-428d-81e7-9a5716bcb395}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.140,85.255.112.66 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{64152693-9d49-428d-81e7-9a5716bcb395}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.140,85.255.112.66 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{c56bbd8a-25d8-44ae-b3d6-6e15724aecd1}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.140,85.255.112.66 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{c6e7e204-ae47-4654-8273-a47f10236255}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.140,85.255.112.66 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{c6e7e204-ae47-4654-8273-a47f10236255}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.140,85.255.112.66 -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\Programme\rhc794j0eral (Rogue.Multiple) -> No action taken.
C:\Programme\SunPorn (Trojan.DNSChanger) -> No action taken.
C:\Dokumente und Einstellungen\user\Anwendungsdaten\rhc794j0eral (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\user\Anwendungsdaten\rhc794j0eral\Quarantine (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\user\Anwendungsdaten\rhc794j0eral\Quarantine\Autorun (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\user\Anwendungsdaten\rhc794j0eral\Quarantine\Autorun\HKCU (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\user\Anwendungsdaten\rhc794j0eral\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\user\Anwendungsdaten\rhc794j0eral\Quarantine\Autorun\HKLM (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\user\Anwendungsdaten\rhc794j0eral\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\user\Anwendungsdaten\rhc794j0eral\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\user\Anwendungsdaten\rhc794j0eral\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\user\Anwendungsdaten\rhc794j0eral\Quarantine\BrowserObjects (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\user\Anwendungsdaten\rhc794j0eral\Quarantine\Packages (Rogue.Multiple) -> No action taken.

Infizierte Dateien:
C:\0xf9.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\dnlsvc.exe (Proxy.Agent) -> No action taken.
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7TOANQRG\loader[1].exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PPUZUJDZ\dnlsvc[1].exe (Proxy.Agent) -> No action taken.
C:\WINDOWS\system32\msdirect.sys (Backdoor.ForBot) -> No action taken.
C:\Programme\rhc794j0eral\database.dat (Rogue.Multiple) -> No action taken.
C:\Programme\rhc794j0eral\license.txt (Rogue.Multiple) -> No action taken.
C:\Programme\rhc794j0eral\MFC71.dll (Rogue.Multiple) -> No action taken.
C:\Programme\rhc794j0eral\MFC71ENU.DLL (Rogue.Multiple) -> No action taken.
C:\Programme\rhc794j0eral\msvcp71.dll (Rogue.Multiple) -> No action taken.
C:\Programme\rhc794j0eral\msvcr71.dll (Rogue.Multiple) -> No action taken.
C:\Programme\rhc794j0eral\rhc794j0eral.exe (Rogue.Multiple) -> No action taken.
C:\Programme\rhc794j0eral\rhc794j0eral.exe.local (Rogue.Multiple) -> No action taken.
C:\Programme\rhc794j0eral\Uninstall.exe (Rogue.Multiple) -> No action taken.
C:\Programme\SunPorn\unins000.dat (Trojan.DNSChanger) -> No action taken.
C:\Programme\SunPorn\unins000.exe (Trojan.DNSChanger) -> No action taken.
C:\WINDOWS\system32\msliksurcredo.dll (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\msliksurdns.dll (Rootkit.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.tt8.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.ttA.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.ttC.tmp (Trojan.Downloader) -> No action taken.
C:\A1.tmp (Trojan.Agent) -> No action taken.
C:\A6.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\blphc394j0eral.scr (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\lphc394j0eral.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\phc394j0eral.bmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\pphc394j0eral.exe (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Desktop\Antivirus XP 2008.lnk (Rogue.Antivirus) -> No action taken.
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> No action taken.
C:\WINDOWS\system32\drivers\etc\services.backup (Heuristics.Reserved.Word.Exploit) -> No action taken. 

Tayk 07.08.2008 18:15
Ich hätte auch kein gutes gefühl bei den meisten funden hast du No action taken. gemacht lass malwarebytes nochmal scannen und lösche alles was er findet und poste auch noch ein hijackthis log! http://www.trojaner-board.de/51130-a...ijackthis.html

mugel 08.08.2008 13:43
So hab gestern nochmal malwarebytes durchlaufen lassen und alles löschen lassen, dazu hab ich leider kein log mehr, wenn ich heute malwarebytes laufen lassen kommt nur noch das nichts gefunden wurde.

hier jetzt das hijackthis.log

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:55:11, on 08.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Citrix\ICA Client\ssonsvr.exe
c:\windows\system32\ceisvc.exe
C:\WINDOWS\SYSTEM32\DWRCS.EXE
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\DWRCST.exe
C:\WINDOWS\system32\Hummingbird\Connectivity\10.00\Inetd\inetd32.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\T-Online\CA Connect XXXXX\iPassPeriodicUpdateService.exe
C:\Programme\Realtek\InstallShield\AzMixerSel.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Babylon\Babylon-Pro\Babylon.exe
C:\Programme\CE-Infosys\CompuSec\rme.exe
C:\Programme\CE-Infosys\CompuSec\policy_service.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\NCP\SecureClient\ncpmon.exe
C:\Programme\NCP\SecureClient\ncpclcfg.exe
C:\Programme\NCP\SecureClient\ncpbudgt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NCP\SecureClient\ncprwsnt.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\NCP\SecureClient\ncpsec.exe
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\NCP\SecureClient\rwsrsu.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Sophos\Remote Management System\ManagementAgentNT.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\Programme\Sophos\Remote Management System\RouterNT.exe
C:\WINDOWS\system32\CCM\CLICOMP\RemCtrl\Wuser32.exe
C:\WINDOWS\system32\CCM\CcmExec.exe
C:\Programme\T-Online\CA Connect XXXXX\iPassPeriodicUpdateApp.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Java\jre1.5.0_11\bin\jucheck.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mrwww.goole.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://earth.google.de/support/bin/answer.py?answer=47145?errCode=8&hl=de&gl=DE&proxy=1
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 130.0.3.254:80
O1 - Hosts: 139.29.4.79 rr-saprout
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [HumMeteringClient] rundll32.exe "C:\Programme\Hummingbird\Connectivity\10.00\Accessories\MeteringClient.dll",RegisterProduct
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [Removable Media Utility] C:\Programme\CE-Infosys\CompuSec\rme.exe
O4 - HKLM\..\Run: [Disk Utility] C:\Programme\CE-Infosys\CompuSec\BE.exe
O4 - HKLM\..\Run: [CompuSec Policy Manager] C:\Programme\CE-Infosys\CompuSec\policy_service.exe /app
O4 - HKLM\..\Run: [NcpPopup] "C:\Programme\NCP\SecureClient\ncppopup.exe" noerrmsg
O4 - HKLM\..\Run: [NcpMonitor] "C:\Programme\NCP\SecureClient\ncpmon.exe" AUTORUN
O4 - HKLM\..\Run: [NcpBudget] "C:\Programme\NCP\SecureClient\ncpbudgt.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader\reader_sl.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: Program Neighborhood Agent.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: xx
O17 - HKLM\Software\..\Telephony: DomainName = xxx
O17 - HKLM\System\CCS\Services\Tcpip\..\{C56BBD8A-25D8-44AE-B3D6-6E15724AECD1}: NameServer = 10.0.0.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xx
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = xxx
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = xxx
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = xxx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = xxx
O20 - AppInit_DLLs: C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL
O23 - Service: CE-Infosys Security System (CE-Infosys Security Service) - CE-Infosys GmbH - c:\windows\system32\ceisvc.exe
O23 - Service: DB2 JDBC Applet Server (DB2JDS) - Unknown owner - C:\Programme\SQLLIB\bin\db2jds.exe
O23 - Service: DB2-Sicherheitsservice (DB2NTSECSERVER) - International Business Machines Corporation - C:\Programme\SQLLIB\bin\db2sec.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DWRCS.EXE
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: Hummingbird InetD (HCLInetd) - Hummingbird Ltd. - C:\WINDOWS\system32\Hummingbird\Connectivity\10.00\Inetd\inetd32.exe
O23 - Service: iPassConnectEngine - iPass, Inc. - C:\Programme\T-Online\CA Connect XXXXX\iPassConnectEngine.exe
O23 - Service: iPassPeriodicUpdateApp - iPass, Inc. - C:\Programme\T-Online\CA Connect XXXXX\iPassPeriodicUpdateApp.exe
O23 - Service: iPassPeriodicUpdateService - iPass, Inc. - C:\Programme\T-Online\CA Connect XXXXX\iPassPeriodicUpdateService.exe
O23 - Service: ncpclcfg - NCP engineering GmbH - C:\Programme\NCP\SecureClient\ncpclcfg.exe
O23 - Service: ncprwsnt - NCP Engineering GmbH - C:\Programme\NCP\SecureClient\ncprwsnt.exe
O23 - Service: NcpSec - Unknown owner - C:\Programme\NCP\SecureClient\ncpsec.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\Programme\oracle\ora92\BIN\ONRSD.EXE
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: RwsRsu (rwsrsu) - Unknown owner - C:\Programme\NCP\SecureClient\rwsrsu.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: SNMP Trap Service (SNMPTRAP) - Unknown owner - C:\WINDOWS\system32\snmptrap.exe (file missing)
O23 - Service: Sophos Agent - Sophos Plc - C:\Programme\Sophos\Remote Management System\ManagementAgentNT.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Sophos Message Router - Sophos Plc - C:\Programme\Sophos\Remote Management System\RouterNT.exe

--
End of file - 9205 bytes

TR-Vundo 08.08.2008 14:23
Hallo erstmahl! Ich finde bei dir noch eine Datei. Bitte scanne isass.exe noch extra.

milleniumboy 24.09.2008 14:21
Hallo zusammen habe mir auch diesen Sch** :headbang: eingefangen. Allerdings mit Win Vista Ultimate 32 bit. Habe Malwarebytes drüber laufen lassen, und möchte die Logdatei gerne posten, damit jemand schaut ob ich es losgeworden bin.

Herzlichen Dank


Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1201
Windows 6.0.6001 Service Pack 1

24.09.2008 14:45:35
mbam-log-2008-09-24 (14-45-27).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 110861
Laufzeit: 33 minute(s), 18 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
C:\Program Files\SAV\sav.exe (Rogue.SystemAntivirus) -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\antivirus (Rogue.SystemAntivirus) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\antivirus (Rogue.SystemAntivirus) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Program Files\SAV\sav.cpl (Rogue.SystemAntiVirus2008) -> No action taken.
C:\Windows\System32\sav.cpl (Rogue.SystemAntiVirus2008) -> No action taken.
C:\Program Files\SAV\sav.exe (Rogue.SystemAntivirus) -> No action taken.
C:\Program Files\SAV\sav0.dat (Rogue.SystemAntivirus) -> No action taken.
C:\Program Files\SAV\sav1.dat (Rogue.SystemAntivirus) -> No action taken.
C:\Users\Danny\AppData\Local\Temp\video1004.cfg (Trojan.FakeAlert) -> No action taken.


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:01 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131