| lilchilla | 10.12.2008 14:33 |
neuer Versuch:DR/Autorun.P und DR/ActualSpy.28 in..\Anwendungsdaten\Mozilla\..\cache\
zum Hintergrund,
ich hatte die Tage mal Avira auf die "agressiven Einstellungen" umgestellt, wobei ich bei der Heuristik auf Erkennungsstufe "mittel" geblieben bin.
Benutze XP mit SP3, hänge hinter einem Router, aus nostalgischen Gründen läuft auch die SPF noch mit.
Programme (Tools, Freeware etc.) wurden unmittelbar vor den Warnungen keine installiert.
Das waren die Meldungen von Avira: Code:
Exportierte Ereignisse:
09.12.2008 22:36 [Guard] Malware gefunden
In der Datei 'C:\Dokumente und Einstellungen\Admin\Desktop\wiretappro.exe'
wurde ein Virus oder unerwünschtes Programm 'DR/AutoRun.P' [dropper] gefunden.
Ausgeführte Aktion: Zugriff verweigern
09.12.2008 22:36 [Guard] Malware gefunden
In der Datei 'C:\Dokumente und Einstellungen\Admin\Lokale
Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\rws2r12o.default\Cache\94
684622d01'
wurde ein Virus oder unerwünschtes Programm 'DR/AutoRun.P' [dropper] gefunden.
Ausgeführte Aktion: Zugriff verweigern
09.12.2008 22:37 [Guard] Malware gefunden
In der Datei 'C:\Dokumente und Einstellungen\Admin\Lokale
Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\rws2r12o.default\Cache\A0
AE4388d01'
wurde ein Virus oder unerwünschtes Programm 'DR/ActualSpy.28.3' [dropper]
gefunden.
Ausgeführte Aktion: Zugriff verweigern
09.12.2008 22:37 [Guard] Malware gefunden
In der Datei 'C:\Dokumente und Einstellungen\Admin\Lokale
Einstellungen\Temp\D6Y_Ias2.exe.part'
wurde ein Virus oder unerwünschtes Programm 'DR/ActualSpy.28.3' [dropper]
gefunden.
Ausgeführte Aktion: Zugriff verweigern
ich habe diesmal bewusst immer "nur" den Zugriff verweigert, damit man vielleicht später nachvollziehen kann wodurch das entstand (?)
btw, MB AntiMalware landet keine Treffer, auch nach Update nicht.
Hier das HijackLog: Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:23:10, on 10.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\SPF\smc.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe
D:\Programme\System-Tools\Shutdown\AutoShutdownManager\AutoShutdownManager.exe
D:\Programme\audio\Winamp\winampa.exe
D:\Programme\Multimedia Keyboard Driver\StartAutorun.exe
D:\Programme\Multimedia Keyboard Driver\KMConfig.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\System-Tools\Shutdown\AutoShutdownManager\Services\AutoShutdownManager_Service.exe
D:\Programme\Multimedia Keyboard Driver\KMProcess.exe
D:\Programme\Copernic Desktop Search - Home\DesktopSearchService.exe
D:\Programme\Adobe\Acrobat Pro 6.0\Distillr\acrotray.exe
D:\Programme\DynDNS Updater\DynTray.exe
D:\Programme\Yahoo! Widgets\YahooWidgets.exe
D:\Programme\Yahoo! Widgets\YahooWidgets.exe
d:\Programme\DynDNS Updater\DynUpSvc.exe
D:\Programme\FolderSize\FolderSizeSvc.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
D:\Programme\Multimedia Keyboard Driver\KMWDSrv.exe
D:\Programme\Yahoo! Widgets\YahooWidgets.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\Programme\FileZilla Server\FileZilla server.exe
C:\WINDOWS\explorer.exe
D:\Programme\audio\Winamp\winamp.exe
D:\PROGRAMME\STREAMRIPPER\wstreamripper.exe
d:\PROGRA~1\COPERN~1\DESKTO~1.EXE
D:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Adobe\Acrobat Pro 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - d:\Programme\Adobe\Acrobat Pro 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O3 - Toolbar: Copernic Desktop Search - Home - {968631B6-4729-440D-9BF4-251F5593EC9A} - d:\Programme\Copernic Desktop Search - Home\DesktopSearchBand300000081.dll
O3 - Toolbar: Dme&x Toolbar - {3F756BC4-26CB-497E-9409-8F09C1850C80} - D:\Programme\System-Tools\DMEXBar\dmexbar.dll
O3 - Toolbar: Dmexdir Toolbar - {4ADFE869-0C09-4F41-AD79-A8F1CFA201E8} - D:\Programme\System-Tools\DMEXBar\dmexdir\dmexdir.dll
O3 - Toolbar: Dmexfav Toolbar - {2977A961-7304-49C3-9BA5-C957E5277A76} - D:\Programme\System-Tools\DMEXBar\dmexfav\dmexfav.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - d:\Programme\Adobe\Acrobat Pro 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "d:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\Video\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [AutoShutdownManager] D:\Programme\System-Tools\Shutdown\AutoShutdownManager\AutoShutdownManager.exe
O4 - HKLM\..\Run: [WinampAgent] d:\Programme\audio\Winamp\winampa.exe
O4 - HKLM\..\Run: [KMConfig] "D:\Programme\Multimedia Keyboard Driver\StartAutorun.exe" KMConfig.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [Copernic Desktop Search - Home] "d:\Programme\Copernic Desktop Search - Home\DesktopSearchService.exe" /tray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat Pro 6.0\Distillr\acrotray.exe
O4 - Global Startup: DynDNS Updater Tray Icon.lnk = D:\Programme\DynDNS Updater\DynTray.exe
O4 - Global Startup: FileZilla START STOP.lnk = D:\Programme\FileZilla Server\FileZilla server.exe
O4 - Global Startup: Malwarebytes' Anti-Malware (2).lnk = D:\Programme\System-Tools\Sicherheit\Malwarebytes' Anti-Malware\mbam.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Yahoo! Widgets.lnk = D:\Programme\Yahoo! Widgets\YahooWidgets.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASDM_Service - EnviProt - D:\Programme\System-Tools\Shutdown\AutoShutdownManager\Services\AutoShutdownManager_Service.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: DynDNS Updater - Dynamic Network Services, Inc. - d:\Programme\DynDNS Updater\DynUpSvc.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - D:\Programme\FileZilla Server\FileZilla server.exe
O23 - Service: Folder Size (FolderSize) - Brio - D:\Programme\FolderSize\FolderSizeSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - D:\Programme\Multimedia Keyboard Driver\KMWDSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\SPF\smc.exe
--
End of file - 7684 bytes
soll ich die normale Routine anlaufen lassen? (SilentRunners, Bkacklight etc..) Zumal die Dinger bisher wohl nur in den Temp-Ordnern waren, und ich diese sowieso dauernd lösche?
Danke für Eure Antworten!
lil | 