Trojaner-Board
Seite 3 von 4 12 3 4
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Sind noch Schädlinge auf meinem System? (https://www.trojaner-board.de/57883-noch-schaedlinge-meinem-system.html)

Dorka 17.08.2008 18:11
Warum? Ist dieser netpumper denn malware???

Code:
Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Professional (build 2600) SP 3.0
Architecture: X86; Language: German

CPU 0: Intel(R) Pentium(R) D CPU 3.00GHz
Percentage of Memory in Use: 76%
Physical Memory (total/avail): 511.23 MiB / 117.92 MiB
Pagefile Memory (total/avail): 1247.2 MiB / 594.5 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1923.06 MiB

C: is Fixed (NTFS) - 14.65 GiB total, 1.72 GiB free.
D: is Fixed (NTFS) - 283.43 GiB total, 21.86 GiB free.
E: is CDROM (No Media)
F: is Removable (No Media)
G: is Removable (No Media)
H: is Removable (No Media)
I: is CDROM (No Media)
J: is Removable (No Media)

\\.\PHYSICALDRIVE0 - ST3320620A - 298.09 GiB - 2 partitions
  \PARTITION0 (bootable) - Installierbares Dateisystem - 14.65 GiB - C:
  \PARTITION1 - Erweitert mit Int 13 (erweitert) - 283.43 GiB - D:

\\.\PHYSICALDRIVE3 - Medion Flash XL  MMC/SD USB Device

\\.\PHYSICALDRIVE1 - Medion Flash XL      CF USB Device

\\.\PHYSICALDRIVE2 - Medion Flash XL      MS USB Device

\\.\PHYSICALDRIVE4 - Medion Flash XL      SM USB Device



-- Security Center -------------------------------------------------------------

AUOptions is set to notify before download.


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users
APPDATA=C:\Dokumente und Einstellungen\***\Anwendungsdaten
CLASSPATH=.;C:\Programme\Java\jre1.6.0_03\lib\ext\QTJava.zip
CLIENTNAME=Console
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
COMPUTERNAME=DB
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Dokumente und Einstellungen\***
LOGONSERVER=\\DB
NUMBER_OF_PROCESSORS=2
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Programme\QuickTime\QTSystem\;C:\Programme\Gemeinsame Dateien\Adobe\AGL
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 6 Stepping 5, GenuineIntel
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=0605
ProgramFiles=C:\Programme
PROMPT=$P$G
QTJAVA=C:\Programme\Java\jre1.6.0_03\lib\ext\QTJava.zip
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOKUME~1\***\LOKALE~1\Temp
TMP=C:\DOKUME~1\***\LOKALE~1\Temp
tvdumpflags=8
USERDOMAIN=DB
USERNAME=***
USERPROFILE=C:\Dokumente und Einstellungen\***
windir=C:\WINDOWS


-- User Profiles ---------------------------------------------------------------

*** (admin)
Administrator (new local, admin)


-- Add/Remove Programs ---------------------------------------------------------

 --> MsiExec.exe /I{9A346205-EA92-4406-B1AB-50379DA3F057}
 --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742) --> MsiExec.exe /X{6846389C-BAC0-4374-808E-B120F86AF5D7}
Adobe Bridge 1.0 --> MsiExec.exe /I{B74D4E10-1033-0000-0000-000000000001}
Adobe Common File Installer --> MsiExec.exe /I{8EDBA74D-0686-4C99-BFDD-F894678E5B39}
Adobe Flash Player 9 ActiveX --> MsiExec.exe /X{BB65C393-C76E-4F06-9B0C-2124AA8AF97B}
Adobe Flash Player ActiveX --> C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin --> C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Help Center 1.0 --> MsiExec.exe /I{E9787678-1033-0000-8E67-000000000001}
Adobe Photoshop CS2 --> msiexec /I {236BB7C4-4419-42FD-0409-1E257A25E34D}
Adobe Reader 8.1.2 --> MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A81200000003}
Adobe Reader 8.1.2 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}
Adobe Reader 8.1.2 Security Update 1 (KB403742) -->
Adobe Reader 8.1.2 Security Update 1 (KB403742) -->
Adobe Shockwave Player --> C:\WINDOWS\system32\Adobe\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Adobe\SHOCKW~1\Install.log
Adobe Stock Photos 1.0 --> MsiExec.exe /I{786C5747-1033-0000-B58E-000000000001}
AI Robot --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2BB8F01E-9BA5-4102-97F0-90D1B81A0038}\Setup.exe" -l0x9
Apple Software Update --> MsiExec.exe /I{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}
ATI - Dienstprogramm zur Deinstallation der Software --> C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Display Driver --> rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
AutoCAD Architecture 2008 - Deutsch --> D:\Programme\AutoCAD Architecture 2008\Setup\Setup.exe /P {5783F2D7-6004-0407-0002-0060B0CE6BBA} /M ACAD
Autodesk DWF Viewer 7 --> MsiExec.exe /I{9A346205-EA92-4406-B1AB-50379DA3F057}
Avira AntiVir Personal - Free Antivirus --> D:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Avira RootKit Detection --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1FD25FCD-6F39-4686-AFBB-7056EBAE5E68}\setup.exe" -l0x9
CCleaner (remove only) --> "D:\Programme\antivirus-Programme\CCleaner\uninst.exe"
CiD Help --> C:\DOKUME~1\***\ANWEND~1\LISTBO~1\plus mags.exe -uninstall
DVD to VCD AVI DivX Converter v3.2 (build 069) --> D:\PROGRA~1\MAGICD~1\UNWISE.EXE D:\PROGRA~1\MAGICD~1\INSTALL.LOG
Easy AVI/VCD/DVD/MPEG Converter --> "d:\Programme\Easy AVI VCD DVD MPEG Converter\unins000.exe"
FlashCapture v1.9.6.1104 --> "d:\Programme\FlashCapture\uninstall.exe"
G DATA Logox4 Speechengine --> C:\WINDOWS\LgxSetup.exe /u C:\PROGRA~1\GEMEIN~1\LOGOX4~1.0\Log.inf lgx.server lgx4
getPlus(R)_dll --> rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\inf\GETPLUSd.INF, DefaultUninstall
Gogo DVD Ripper --> "d:\Programme\Gogo DVD Ripper\unins000.exe"
Google Gmail Notifier --> "d:\Programme\Google\Gmail Notifier\UninstallGmail.exe"
High Definition Audio Driver Package - KB888111 --> "C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
HijackThis 2.0.2 --> "D:\Programme\antivirus-Programme\HijackThis\HijackThis.exe" /uninstall
Hotfix für Windows XP (KB952287) --> "C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Hotfix for Windows Media Format 11 SDK (KB929399) --> "C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
ionCube Package Foundry Evaluation 3.0 --> "d:\Programme\ionCube Package Foundry Evaluation\unins000.exe"
ionCube PHP Encoder Evaluation --> "d:\Programme\ionCube PHP Encoder 6.5 Evaluation\unins000.exe"
Java(TM) 6 Update 3 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
Kaspersky Online Scanner --> C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe
L&H TTS3000 Deutsch --> RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\LHTTSGED.inf, Uninstall
LiveUpdate 2.0 (Symantec Corporation) --> C:\Programme\Symantec\LiveUpdate\LSETUP.EXE /U
Malwarebytes' Anti-Malware --> "D:\Programme\antivirus-Programme\Malwarebytes' Anti-Malware\unins000.exe"
MD9570 Driver --> C:\WINDOWS\IsUn0407.exe -f"C:\Programme\USB Tablet\USB Tablet Driver\Uninst.isu"
Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket --> "C:\WINDOWS\$NtUninstallbasecsp$\spuninst\spuninst.exe"
Microsoft ActiveSync --> MsiExec.exe /I{99052DB7-9592-4522-A558-5417BBAD48EE}
Microsoft Office Professional Edition 2003 --> MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
Minimo --> D:\Programme\Microsoft ActiveSync\Minimo\Uninstall.exe Minimo
Movavi Flash Converter --> MsiExec.exe /I{F713632B-989B-4AD0-88E3-0290F4C5DA71}
Mozilla Firefox (2.0.0.14) --> C:\Dokumente und Einstellungen\***\Desktop\Portable_Firefox 2.0.0.12_deutsch\Firefox\uninstall\helper.exe
Mozilla Firefox (2.0.0.16) --> C:\Dokumente und Einstellungen\***\Desktop\Kopie von Portable_Firefox 2.0.0.12_deutsch\Firefox\uninstall\helper.exe
MSXML 6.0 Parser (KB933579) --> MsiExec.exe /I{C4A230B7-518F-4224-A5A3-27F06CC57111}
Navilog1 3.6.3 --> "C:\Programme\Navilog1\unins000.exe"
Nero 7 Premium --> MsiExec.exe /I{4781569D-5404-1F26-4B2B-6DF444441031}
Panda ActiveScan --> C:\WINDOWS\system32\ASUninst.exe Panda ActiveScan
Panda ActiveScan 2.0 --> C:\Programme\Panda Security\ActiveScan 2.0\as2uninst.exe
PrismaCards --> "C:\Programme\InstallShield Installation Information\{2D890BDB-7AF2-44A6-B01C-38B7E8BE3011}\setup.exe" -runfromtemp -l0x0007 -removeonly
PrismaCards Südeuropäische Vokabeln --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9A7D95DF-396B-4A80-911E-6E431E1C952C}\setup.exe" -l0x9
QuickTime --> MsiExec.exe /I{BFD96B89-B769-4CD6-B11E-E79FFD46F067}
RapidLeecher Ultimate 2007 --> "d:\Programme\RapidLeecher Ultimate 2007\Uninstall.exe"
Realtek High Definition Audio Driver --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x7  -removeonly
Sicherheitsupdate für Step by Step Interactive Training (KB923723) --> "C:\WINDOWS\$NtUninstallKB923723$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789) --> C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Sicherheitsupdate für Windows XP (KB941569) --> "C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648) --> "C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760) --> "C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762) --> "C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974) --> "C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066) --> "C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2) --> "C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376) --> "C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698) --> "C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748) --> "C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954) --> "C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953839) --> "C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Startup Manager 2.4.1 --> "d:\Programme\Startup Manager\unins000.exe"
Symantec AntiVirus --> MsiExec.exe /I{848AC794-8B81-440A-81AE-6474337DB527}
Update für Windows XP (KB951072-v2) --> "C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Update für Windows XP (KB951978) --> "C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
VIA Plattform-Geräte-Manager --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{20D4A895-748C-4D88-871C-FDB1695B0169}
VMware Workstation --> MsiExec.exe /I{A3FF5CB2-FB35-4658-8751-9EDE1D65B3AA}
WEB.DE MultiMessenger --> d:\Programme\WEB.DE\WEB.DE MultiMessenger\uninst.exe
Windows Communication Foundation --> MsiExec.exe /X{491DD792-AD81-429C-9EB4-86DD3D22E333}
Windows Imaging Component --> "C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Media Format 11 runtime --> "C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Format SDK Hotfix - KB891122 --> "C:\WINDOWS\$NtUninstallKB891122$\spuninst\spuninst.exe"
Windows Presentation Foundation --> MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
Windows Presentation Foundation Language Pack (DEU) --> MsiExec.exe /X{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}
Windows Workflow Foundation --> MsiExec.exe /I{7D1B85BD-AA07-48B8-808D-67A4067FC6BD}
Windows Workflow Foundation DE Language Pack --> MsiExec.exe /I{7228FD8C-3B9E-4204-AE36-8A466107685B}
Windows XP Service Pack 3 --> "C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
X-Micro WLAN 11g USB Adapter --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{337A3204-E3FC-4DC4-9B7E-8B66FEEE85DC} /l1031
XML Paper Specification Shared Components Language Pack 1.0 --> "C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"
XML Paper Specification Shared Components Pack 1.0 -->
ZoneAlarm Pro --> C:\Programme\Zone Labs\ZoneAlarm\zauninst.exe


-- Application Event Log -------------------------------------------------------

Event Record #/Type1896 / Error
Event Submitted/Written: 08/17/2008 05:00:15 PM
Event ID/Source: 3011 / LoadPerf
Event Description:
Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren für
Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.

Event Record #/Type1895 / Error
Event Submitted/Written: 08/17/2008 05:00:15 PM
Event ID/Source: 3012 / LoadPerf
Event Description:
Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn
der Prozess Performance auf dem Erweitungerungsindikator-Anbieter ausgeführt wird. Der Wert BaseIndex aus der
Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert LastCounter ist das zweite
DWORD im Datenbereich und der Werte LastHelp ist das dritte DWORD im Datenbereich.

Event Record #/Type1894 / Error
Event Submitted/Written: 08/17/2008 05:00:15 PM
Event ID/Source: 3012 / LoadPerf
Event Description:
Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn
der Prozess Performance auf dem Erweitungerungsindikator-Anbieter ausgeführt wird. Der Wert BaseIndex aus der
Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert LastCounter ist das zweite
DWORD im Datenbereich und der Werte LastHelp ist das dritte DWORD im Datenbereich.

Event Record #/Type1892 / Error
Event Submitted/Written: 08/17/2008 03:50:42 PM
Event ID/Source: 3011 / LoadPerf
Event Description:
Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren für
Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.

Event Record #/Type1891 / Error
Event Submitted/Written: 08/17/2008 03:50:42 PM
Event ID/Source: 3012 / LoadPerf
Event Description:
Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn
der Prozess Performance auf dem Erweitungerungsindikator-Anbieter ausgeführt wird. Der Wert BaseIndex aus der
Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert LastCounter ist das zweite
DWORD im Datenbereich und der Werte LastHelp ist das dritte DWORD im Datenbereich.



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type17998 / Error
Event Submitted/Written: 08/17/2008 06:33:10 PM
Event ID/Source: 29 / W32Time
Event Description:
Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen
konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb
der nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung
mit der Quelle herzustellen.
Der NtpClient verfügt über keine Quelle mit genauer Zeit.

Event Record #/Type17997 / Error
Event Submitted/Written: 08/17/2008 06:33:10 PM
Event ID/Source: 17 / W32Time
Event Description:
Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten Peer
"time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15 Minuten
wiederholt.
Fehler: Der Host war bei einem Socketvorgang nicht erreichbar. (0x80072751)

Event Record #/Type17995 / Error
Event Submitted/Written: 08/17/2008 06:14:30 PM
Event ID/Source: 29 / W32Time
Event Description:
Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen
konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb
der nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung
mit der Quelle herzustellen.
Der NtpClient verfügt über keine Quelle mit genauer Zeit.

Event Record #/Type17994 / Error
Event Submitted/Written: 08/17/2008 06:14:30 PM
Event ID/Source: 17 / W32Time
Event Description:
Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten Peer
"time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15 Minuten
wiederholt.
Fehler: Der Host war bei einem Socketvorgang nicht erreichbar. (0x80072751)

Event Record #/Type17993 / Error
Event Submitted/Written: 08/17/2008 06:14:30 PM
Event ID/Source: 1000 / Dhcp
Event Description:
Die Lease dieses Computers zu der IP-Adresse 192.168.0.12 über die
Netzwerkkarte mit der Netzwerkadresse 0011E206E0CB ist verloren gegangen.



-- End of Deckard's System Scanner: finished at 2008-08-17 18:50:18 ------------

Silent sharK 17.08.2008 18:19
Google mal, dann wirst du es sehn.
Nochwas, sind dir diese Ordner bekannt:
Zitat:
2008-08-12 17:21:21 17459960 --a------ C:\WINDOWS\system32\QGGGGJRUOF
2008-07-20 18:40:14 0 d-------- C:\Down
2008-07-20 18:39:12 0 d-------- C:\Programme\List bore hide
Und du hast Symantec AntiVirus zusätzlich installiert? :eek:

Dorka 17.08.2008 22:22
ok, um netpumper kümmer ich mich gleich.

#1 weiß ich nicht wo das herkommt (ist eine auflistung aller Verzeichnisse und datein auf D)
#2 mein downloadordner für FlashGot
#3 kenn ich auch nicht (ist angeblich leer bzw. hat 0b)

Silent sharK 17.08.2008 22:25
Zu den ganzen Trojanern/Viren am Anfang:

Poste bitte, wo Avira die genau gefunden hat. Das heißt, die Pfadangabe.

mfg

Dorka 17.08.2008 22:58
Symantec hatte ich mal drauf, sollte aber eigentlich abgeschaltet sein.

Code:
C:\hiberfil.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!

C:\pagefile.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!

C:\Dokumente und Einstellungen\***\Desktop\FirefoxPortable\Data\profile\Cache\9D38BBDCd01
    [0] Archivtyp: GZ
      [FUND]      Enthält verdächtigen Code: HEUR/HTML.Malware
    [HINWEIS]  Eine Sicherungskopie wurde unter dem Namen 48d5d66e.qua erstellt ( QUARANTÄNE )
    [HINWEIS]  Die Datei wurde gelöscht.

D:\alte Festplatte\c\Programme\Adobe\Acrobat 7.0\Setup Files\RdrBig707\DEU_\Data1.cab
    [0] Archivtyp: CAB (Microsoft)
      [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

D:\alte Festplatte\d\***\Installationsdateien
    [0] Archivtyp: ZIP
      [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Autorun.cxl
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4911f856.qua' verschoben!

D:\alte Festplatte\d\***\Installationsdateien
    [0] Archivtyp: RAR
      [FUND]      Enthält Erkennungsmuster des Windows-Virus W95/CIH
      [FUND]      Enthält Erkennungsmuster des Windows-Virus W95/CIH
      [FUND]      Enthält Erkennungsmuster des Joker-Relokator-Virus
    [WARNUNG]  Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26001
    [WARNUNG]  Fehler in der Quarantäne Initialisierung!
    [HINWEIS]  Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49050af4.qua' verschoben!

D:\alte Festplatte\d\***\Installationsdateien
    [0] Archivtyp: ZIP
      [FUND]      Enthält verdächtigen Code: HEUR/Malware
    [WARNUNG]  Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht!

D:\alte Festplatte\d\***\Installationsdateien
    [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Autorun.cxl
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49120e19.qua' verschoben!

D:\alte Festplatte\d\***\Installationsdateien
    [FUND]      Enthält verdächtigen Code: HEUR/Malware
    [HINWEIS]  Der Fund wurde als verdächtig eingestuft.
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49170e77.qua' verschoben!

D:\alte Festplatte\d\***\Installationsdateien
    [FUND]      Enthält Erkennungsmuster des Windows-Virus W95/CIH
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f70e7d.qua' verschoben!

D:\alte Festplatte\d\***\Installationsdateien\RB338CRK.COM
    [FUND]      Enthält Erkennungsmuster des Joker-Relokator-Virus
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48d60e7e.qua' verschoben!

D:\alte Festplatte\d\***
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49170f92.qua' verschoben!

D:\alte Festplatte\d\***
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491a0f9a.qua' verschoben!

D:\alte Festplatte\d\***
    [0] Archivtyp: ZIP
      [FUND]      Ist das Trojanische Pferd TR/Vaklik.cdd
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49160f95.qua' verschoben!

D:\alte Festplatte\d
    [0] Archivtyp: RAR
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BCP
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49151269.qua' verschoben!

D:\alte Festplatte\d
    [0] Archivtyp: RAR
      [FUND]      Ist das Trojanische Pferd TR/Agent.240128.B
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f912e2.qua' verschoben!

D:\alte Festplatte\d
    [0] Archivtyp: ZIP
        [1] Archivtyp: RAR
          [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
     

D:\alte Festplatte\d
    [0] Archivtyp: ZIP
          [FUND]      Enthält verdächtigen Code: HEUR/Crypted
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49152a3d.qua' verschoben!

D:\alte Festplatte\d
    [0] Archivtyp: RAR
        [1] Archivtyp: CAB SFX (self extracting)
          [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

D:\alte Festplatte\d
    [0] Archivtyp: ACE
      [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

D:\alte Festplatte\d
    [0] Archivtyp: ZIP
          [FUND]      Enthält verdächtigen Code: HEUR/Crypted
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491133da.qua' verschoben!

D:\alte Festplatte\d
    [0] Archivtyp: ZIP
      [FUND]      Ist das Trojanische Pferd TR/Agent.57344.O
      [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
      [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490634a0.qua' verschoben!

D:\mda\Neuer Ordner
    [0] Archivtyp: ZIP
      [FUND]      Ist das Trojanische Pferd TR/Agent.57344.O
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48fa4dad.qua' verschoben!

D:\mda\Neuer Ordner
    [0] Archivtyp: RAR
      [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49114e1f.qua' verschoben!

D:\mda\Neuer Ordner
    [0] Archivtyp: RAR
      [FUND]      Ist das Trojanische Pferd TR/Agent.57344.O
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49164e2e.qua' verschoben!

D:\mda\Neuer Ordner
    [0] Archivtyp: ZIP
      [FUND]      Ist das Trojanische Pferd TR/Agent.57344.O
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49124e19.qua' verschoben!

D:\mda\Neuer Ordner
    [0] Archivtyp: ZIP
      [FUND]      Ist das Trojanische Pferd TR/Agent.57344.O
      [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
      [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49124e1d.qua' verschoben!
    [0] Archivtyp: RAR
        [1] Archivtyp: CAB SFX (self extracting)
          [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Ich bin dir krass dankbar, dass du mir hilfst, ist wirklich klasse, aber wenn du keine lust hast brauchst du das echt nicht machen.

Silent sharK 17.08.2008 23:22
Warum, sieht doch gut aus, wenn sich das Zeug in Archiven befindet und du es nicht ausgeführt hast.
ZoneAlarm würde ich noch deinstallieren und stattdessen die XP eigene aktivieren.

mfg

Dorka 17.08.2008 23:34
Ne, das meiste dürfte ich nicht ausgefüht haben uns NetPumper hatte ich auch sofort wieder deinstalliert über die software-systemsteuerung.

Ist die Windowsfirewall denn besser? Weil Zonealarm jetzt halbwegs funzt und ich die ganzen einstellungen ungerne noch mal machen würde. (wenns nötig ist mach ich das aber natürlich.)

Silent sharK 17.08.2008 23:36
Windows Firewall ist besser,
kommt erstens mit dem System besser klar und verbraucht zweitens weniger Ressourcen.

Dorka 17.08.2008 23:59
Ok, überredet. Wenn ich genug ressourcen habe ist es theoretisch aber egal oder?

Du bist so zuversichtlich. Heißt das jetzt, dass mein PC erstmal als vierenfrei zu sehen ist?

Silent sharK 18.08.2008 00:14
Zitat:
Ok, überredet. Wenn ich genug ressourcen habe ist es theoretisch aber egal oder?
Ich versuch es mal so auszudrücken: Sie ist einfach unnötig und bietet absolut keinen Schutz. Das Beste wäre ein Router, zumindest gegen eingehende Verbindungen.
Zitat:
Du bist so zuversichtlich. Heißt das jetzt, dass mein PC erstmal als vierenfrei zu sehen ist?
Mach noch einen Scan mit SuperAntiSpyware um den evlt. vorhandenen Swizzor zu entfernen. Danach noch Navilog1:

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
  • Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
  • Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
    Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
  • Wähle E für Englisch im Sprachenmenü
  • Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
  • Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
  • Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
  • Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.
Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

Dorka 18.08.2008 01:11
Nen Router hab ich sowieso.

Der SuperAntiSpyware-scan kommt dann morgen.


Gute Nacht noch

Code:
Search Navipromo version 3.6.3 began on 18.08.2008 at  1:27:13,07

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "+++"

Updated on 09.08.2008 at 18h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.13
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\+++\anwend~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\+++\lokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\+++\startm~1\progra~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\+++\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *



*** Search files ***



*** Search specific Registry keys ***


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\+++\lokale~1\anwend~1" :


* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" :


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 18.08.2008 at  1:32:39,18 ***

Silent sharK 18.08.2008 01:14
Ok,
das fixnavi.txt ist i.O.

Gute Nacht,

mfg

Dorka 18.08.2008 16:39
Das war nen Super Tipp mit SUPERAntiSpyware. Der hat noch mal was ausgegraben.
Netpumper war wohl doch noch nicht ganz weg wie du schon vermutet hast. Was es mit diesen "XAMPP_START.PHP" auf sich hat, habe ich aber noch nicht genau raus finden können. Ich habe zwar XAMPP (und einige Sicherungen weil ich ne menge ändern musste bis alles so funktioniert hat wie ich es wollte) aber eine "XAMPP_START.PHP" ist schon sehr komisch, da völlig sinnlos.
Ich hab 2 der Dateien (hatten den selben md5 hash) bei VirusTotal hoch geladen aber da wurde nichts gefunden.
Ich hab die Seite trojan-dropper-removal.c0m gefunden, vielleicht ist das ja was!?

Ich hab weiter noch nichts gemacht und warte auf Anweisungen. ^^



Code:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 08/18/2008 at 05:06 PM

Application Version : 4.15.1000

Core Rules Database Version : 3538
Trace Rules Database Version: 1527

Scan type      : Complete Scan
Total Scan Time : 02:53:56

Memory items scanned      : 409
Memory threats detected  : 0
Registry items scanned    : 7201
Registry threats detected : 1
File items scanned        : 263386
File threats detected    : 11

Adware.Tracking Cookie
        C:\Dokumente und Einstellungen\Dirk\Cookies\dirk@adtech[1].txt
        C:\Dokumente und Einstellungen\Dirk\Cookies\dirk@track.webtrekk[1].txt
        C:\Dokumente und Einstellungen\Dirk\Cookies\dirk@track.webtrekk[2].txt

Adware.NetPumper
        HKU\S-1-5-21-842925246-1343024091-682003330-1003\Software\NetPumper
        C:\Programme\NetPumper
        C:\Dokumente und Einstellungen\Dirk\Anwendungsdaten\NetPumper\Dirk.ini
        C:\Dokumente und Einstellungen\Dirk\Anwendungsdaten\NetPumper

Trojan.Dropper/Gen-PHP
        D:\##XAMPPLITE##\APACHE\XAMPP_START.PHP
        D:\AAS\APACHE\XAMPP_START.PHP
        D:\KOPIE VON XAMPPLITE\APACHE\XAMPP_START.PHP
        D:\XAMPP(DAS WAR EIN MAL)\APACHE\XAMPP_START.PHP
        D:\XAMPPLITE KOPIE2.0\APACHE\XAMPP_START.PHP

Silent sharK 18.08.2008 16:48
Zitat:
Ich hab die Seite trojan-dropper-removal.c0m gefunden, vielleicht ist das ja was!?
Die Seite klingt für mich unseriös.
Lass lieber die Finger davon.

Ansonsten, wenn du jetzt keine Probleme mehr hast, kann ich dich entlassen.
Für weitere Fragen stehe ich aber offen. ;)

Dorka 18.08.2008 16:59
Ich hab die Seite über nen Proxy versucht zu öffnen (ohne java(script) o.ä.) und bekomme ne Fehlermeldung mit "searchportal.information.c0m". Die seite ist wohl versäucht, sprich: guter Tipp nicht drauf zu gehen. ;)

Ich hab die Sachen noch nicht gelöcht, soll ich die .phps auch alle löschen lassen?


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:34 Uhr.
Seite 3 von 4 12 3 4
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131