Trojaner-Board - WoW Keylogger. Trojaner Tr/Dropper

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - WoW Keylogger. Trojaner Tr/Dropper (https://www.trojaner-board.de/70167-wow-keylogger-trojaner-tr-dropper.html)

WoW Keylogger. Trojaner Tr/Dropper

Hallo, ich bin die Maumi und habe Flgendes Problem.

Ich hatte durch einen Freund einen Youtube link bekommen. Dort konnte man sich ein Programm downloaden was einem Gold geben soll. Da ich es ihm nicht geglaubt habe habe ich es mir gedownloadet und auf einem Funserver getestet.

Natürlich ging es nicht, ich Lies die Dtei it Antivir scannen und dan stand da Tr/Dropper Vius geffunden. Ich hatte angst und habe danach Gegooglet.

In einem Forum stadnd dan ich solle ihn in die Quarantäne stekcken und dan die Systemwiederherstellung Deaktivieren und iden virus dan klöschen. 1 Tag waren dan Systemwiederherstellung Aktivieren. Die ist 1 Tag her, als ich mich heute einloggen wollte erstellte mein WoW ordner die Ganzezeit eine neue datei Scan.dll NEW. Ich löschte sie Startete wow neu und sie kam immer wieder.

Als ich auf meiner Accountseite von Worldofwarcraft war und mein Pw geändert habe , sollte ich es in einem neuen Fenster bestätigen. Das komische kommt jetzt,

Fürwelcchen account wollen sie ihr Passwort ändern: [X]
Maxmusteaccount1
Maxmusteraccount2
[Ok ] [Abbrechen]

Da beide meine Accounst waren konnte das nicht sein da ich mit dem Account 1 eingeloogt war.

So da ich mir sicher wr das ist ein Virus bin ich auf Abbrechen gegangen.

Ich habe mein PW durh einen Bekannten ändern lassen .

Da ich euch Gegooglet habe hoffe ich ihr könnt mir Bitte helfen .

Ich habe Versucht :

Antivir

die scan.ddl gelöscht

den Ordner gestern gelöscht.

und nun hijack durchlaufen lassen und Übermittel euch den bericht das ist alles was im Editor stand

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:07:08, on 19.02.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\conime.exe
C:\Windows\explorer.exe
C:\Windows\system32\Taskmgr.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Besitzer\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O1 - Hosts: ::1 localhost
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MFServices] "C:\Program Files\Companion Suite IH\MFServices.exe" -n
O4 - HKLM\..\Run: [MFPrintServer] "C:\Program Files\Companion Suite IH\MFPrintServer.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [CurseClient] C:\Program Files\Curse\CurseClient.exe -silent
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

--
End of file - 4651 bytes

So ich hoffe ihr könnt mir Helfen und Bitte ich würde alles drum geben das der Virus weg ist habe angst um meinen Account.

Ihch werde niewieder son müll Downloaden bitte helft mit Mfg maumi

Halli hallo maumi

:hallo:

Ich würde folgendes machen:

Deinstalliere WoW komplett. Den Account hast du ja sicher irgendwo notiert.
Lösche danach alle verbleibenden WoW Ordner im abgesicherten Modus.
So wird der abgesicherte Modus am einfachsten aufgerufen: KLICK mich Guck mal in meiner Signatur da findest du einen Link wie du die Windows Suche richtig konfigurierst. Suche damit nach Überresten und lösche alles.
Räume danach mit dem cCleaner auf. Punkte 1&2.
Starte den rechner neu und gehe sicher, dass auch wirklich alle Ordner und Dateien gelöscht wurden.

Danach machen wir uns an die Bereinigung:

Fixe mit HJT folgende Einträge:

Zitat:

R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

Folders to delete:

C:\Program Files\AskBarDis

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Scanne den Rechner danach mit SuperAntiSpyware und Anti-Malware und poste die logs.

Dateien Online überprüfen lassen:

* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virtustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Zitat:

C:\Program Files\Companion Suite IH\MFServices.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:

Deinstalliere bitte Spybot, AdAware, Spyware Doctor und sonstige Anti-Spy/Malware Programme sowie personal-Firewalls wie ZoneAlarm!
Installiert bleiben dürfen nur Anti-Malware oder SuperAntispyware ohne Wächter.
.
Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
.
Update der Viren-Signaturen deines Anti-Viren Programmes.
.
Treiberupdate der Hardware (Grafikkarte, Soundkarte).
.
Windows Update -> Der Frischmacher.
.
Installation des aktuellen ServicePacks:
- XP_ ServicePack3
- Vista_ ServicePack1
.
Vernünftige Ordneransicht -> Einstellungen.
.
Abschalten unnötiger Dienste:
- Vista_ TechNET
.
Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
- XP_ Firewall
- Vista_ Firewall
.
Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen->Sicherheit
- Sicherheit: -> höchste Stufe
  Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen" und Installation von Desktopobj. -> "Bestätigen".
- Datenschutz: -> alle Cookies blockieren
Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
.
Räume mit cCleaner auf; Punkte 1&2.
.
Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.

Häufig gestellte Fragen: XP | Vista

Ersteinmal danke afür die super schnelle antwort

Ui da steht sehr viel. Askbar ist sowas wie google auch eine such maschine das habe ich schon Ewig auf dem PC. habe es gerade deinstalliert das wollte ich eh schon machen^^

http://www.trojaner-board.de/64242-trojaner-wow-keylogger.html

bei dem gng das auch sehr einfach =)

Hm oki ich werde das forum jede 1 minuteaktuallisieren für neue Antworten ich befolge dan nun die Anweisung von gerade

Die ASK ist definitiv schädlich! Gehe vor wie ich es dir beschrieben habe...

http://dl.de.ask.com/de/askbarde/download.html

http://de.ask.com/?o=312&l=dir

Das ist doch ein Suchprogramm so wie Yahoo. Ich habe das schon längst Deinstalliert, hatte es vorher mit Virus Figther Antivir Spywarefighter und http://www.virustotal.com/de/

überprüfen lassen die sagten kein Fund,

Hier schau mal diese Datei erstellt sich immer wenn ich wow Starte

http://www.virustotal.com/de/analisi...e4771ef63e5516

OK afu Youtube wo der Lin k war hat der Type mich angeschrieben und meinte

lol
du eule tut mir leid für dich der trojaner installiert sich leider im windows ordner

lol
*edit muss dich leider enttäuschen der installiert sich in C:\Programme :)

mfg schinken

Ok was kann ich machen ? Soll ich Windows neu Installieren ?

Zu dem wurde mir gesagt: der Trojana Installiert ein normalles programm was eine datei erstellt die meine paswörter speichert. durch die .dll auch. und kein virus programm findet diedatei da es zu einem normalen programm geworden ist Pls hilfe

Die Ask-Bar ist und bleibt schädlich.

Würdest du nun evtl. die Güte haben meinen Empfehlungen zu folgen?

Also ich habe Ask ja nicht mehr da ich es Deinstalliert habe. Ich habe mir den CClceaner gedownloadet und durchgeführt ect.

So ich werde den Rechner Formatieren und Vista neu Installieren. Wird der Virus dan weg sein ??? Ach ja hier mal der Error, habe wow deinstalliert da ich das mit dem Abgesicherten Modus nicht geschafft habe. Frau halt.

Die Datei "D:\Wow\World of Warcraft.temp" konnte nicht in "D:\Wow\World of Warcraft" umbenannt werden. (ConflictManager::ResolveConflicts/1)
Die Datei "D:\Wow\World of Warcraft.temp\Data.temp\deDE.temp\Documentation.temp\Images.temp\TWidget.jpg" konnte nicht in "D:\Wow\World of Warcraft.temp\Data.temp\deDE.temp\Documentation.temp\Images.temp\TWidget.jpg.temp" umbenannt werden. (ConflictManager::ResolveConflicts/rollback)
Die Datei "D:\Wow\World of Warcraft.temp\Data.temp\deDE.temp\Documentation.temp\Images.temp\TWidget.jpg.temp" konnte nicht entfernt werden. (ConflictManager::UncreateObjects)
Der Ordner "D:\Wow\World of Warcraft.temp\Data.temp\deDE.temp\Documentation.temp\Images.temp" konnte nicht entfert werden. (ConflictManager::UncreateObjects)
Der Ordner "D:\Wow\World of Warcraft.temp\Data.temp\deDE.temp\Documentation.temp" konnte nicht entfert werden. (ConflictManager::UncreateObjects)
Der Ordner "D:\Wow\World of Warcraft.temp\Data.temp\deDE.temp" konnte nicht entfert werden. (ConflictManager::UncreateObjects)
Der Ordner "D:\Wow\World of Warcraft.temp\Data.temp" konnte nicht entfert werden. (ConflictManager::UncreateObjects)
Der Ordner "D:\Wow\World of Warcraft.temp" konnte nicht entfert werden. (ConflictManager::UncreateObjects)

Neuinstallieren ist die beste, weil einzig sichere Variante!

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von gmer auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von gmer ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Also das stand da habe es als Admin ausgeführt dan hat sich ein Schwarzes fenster geöfnet dan stand da nur
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

Dan habe ich es geschlossen und neu gestartet und dan stand in einer Text datei die erstellt wurde

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Also is das Gut oder eher nicht ?

Der MBR ist sauber. Dann kannst du nach Anleitung neuaufsetzten.

SOO ich habe es im abgesicherten Modus des gemacht. Den Pc lasse ich in den Nächsten taagen neu machen also Vista neu drauf. Schau mal mitte da sind Viren wie mache ich die weg ?

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2008.03.07

Microsoft Windows [Version 6.0.6001]
Bootmodus: Normal

eScan Version: 11.0.28
Sprache: German
C:\Users\Besitzer\AppData\Local\Temp\MWAV.LOG

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei F:\$RECYCLE.BIN\S-1-5-21-383871456-1585066733-2235857296-1000\$RNPEJTV.zip ist durch den Virus "Trojan.Keylogger.Hotkeyshook.A (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei F:\Desktop\102412\Crusader Trainer.exe ist durch den Virus "Trojan.Keylogger.Hotkeyshook.A (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei F:\Desktop\Crusader Trainer.exe ist durch den Virus "Trojan.Keylogger.Hotkeyshook.A (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei F:\Desktop\InstallPamela4.exe ist durch den Virus "Application.Hoax.Pamela.A (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Spyware (Vorsicht: Oft Fehlalarm!)
~~~~~~~~~~~
eScan-Antiviren- und Antispyware-Werkzeugsatz.
eScan-Antiviren- und Antispyware-Werkzeugsatz.
Scannen Spyware: Aktiviert
***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft *****
Indexed Spyware Databases Successfully Created...
System found infected with combo Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{9AFB8248-617F-460d-9366-D71CDEDA3179})! Action taken: Keine Maßnahme ergriffen.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Users\Besitzer\AppData\Roaming\ICQ\BART\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8c002013-e9de-11dd-aca8-806e6f6e6963} !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
laufende Prozesse - commandline
~~~~~~~~~~~~~~~~~~~~~~
System Idle Process -
System -
smss.exe -
csrss.exe -
wininit.exe -
csrss.exe -
services.exe -
lsass.exe -
lsm.exe -
svchost.exe -
winlogon.exe -
nvvsvc.exe -
svchost.exe -
svchost.exe -
svchost.exe -
svchost.exe -
svchost.exe -
audiodg.exe -
SLsvc.exe -
svchost.exe -
rundll32.exe -
svchost.exe -
vsmon.exe -
dwm.exe - "C:\Windows\system32\Dwm.exe"
explorer.exe - C:\Windows\Explorer.EXE
taskeng.exe -
spoolsv.exe -
sched.exe -
svchost.exe -
taskeng.exe - taskeng.exe {0CDA1949-8279-4850-9DF5-3968A8A4735F}
taskeng.exe -
avguard.exe -
ICQ Service.exe -
svchost.exe -
ConfigService.exe -
svchost.exe -
svchost.exe -
SearchIndexer.exe -
LicenseService.exe -
UpdateService.exe -
ScannerService.exe -
WmiPrvSE.exe -
WUDFHost.exe -
TrustedInstaller.exe -
MSASCui.exe - "C:\Program Files\Windows Defender\MSASCui.exe" -hide
RtHDVCpl.exe - "C:\Windows\RtHDVCpl.exe"
avgnt.exe - "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
zlclient.exe - "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
RocketDock.exe - "C:\Program Files\RocketDock\RocketDock.exe"
zlclient.exe - "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
Skype.exe - "C:\Program Files\Skype\Phone\Skype.exe"
skypePM.exe - "C:\Program Files\Skype\Plugin Manager\skypePM.exe" /SILENT
SearchProtocolHost.exe -
SearchFilterHost.exe -
cmd.exe - cmd /c ""C:\Users\Besitzer\Desktop\find.bat" "
conime.exe - C:\Windows\system32\conime.exe
firefox.exe - "C:\Program Files\Mozilla Firefox\firefox.exe"
cscript.exe - cscript C:\escan\prclst.vbs //nologo
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
ERROR!!! Invalid Entry \??\C:\Windows\system32\drivers\EagleNT.sys in HKLM\SYSTEM\CurrentControlSet\Services\EagleNT. Action Taken: No Action Taken.
ERROR(3)!!! ScanFile fails for C:\Boot\BCD
ERROR(3)!!! ScanFile fails for C:\Boot\BCD.LOG
ERROR(3)!!! ScanFile fails for C:\pagefile.sys
ERROR(3)!!! ScanFile fails for C:\Users\Besitzer\AppData\Local\Microsoft\Windows\UsrClass.dat
ERROR(3)!!! ScanFile fails for C:\Users\Besitzer\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG1
ERROR(3)!!! ScanFile fails for C:\Users\Besitzer\NTUSER.DAT
ERROR(3)!!! ScanFile fails for C:\Users\Besitzer\ntuser.dat.LOG1
ERROR(3)!!! ScanFile fails for C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
ERROR(3)!!! ScanFile fails for C:\Windows\ServiceProfiles\LocalService\ntuser.dat.LOG1
ERROR(3)!!! ScanFile fails for C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
ERROR(3)!!! ScanFile fails for C:\Windows\ServiceProfiles\NetworkService\ntuser.dat.LOG1
ERROR(3)!!! ScanFile fails for C:\Windows\System32\catroot2\edb.log
ERROR(3)!!! ScanFile fails for C:\Windows\System32\catroot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb
ERROR(3)!!! ScanFile fails for C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
ERROR(3)!!! ScanFile fails for C:\Windows\System32\config\COMPONENTS
ERROR(3)!!! ScanFile fails for C:\Windows\System32\config\COMPONENTS.LOG1
ERROR(3)!!! ScanFile fails for C:\Windows\System32\config\DEFAULT
ERROR(3)!!! ScanFile fails for C:\Windows\System32\config\DEFAULT.LOG1
ERROR(3)!!! ScanFile fails for C:\Windows\System32\config\RegBack\COMPONENTS
ERROR(3)!!! ScanFile fails for C:\Windows\System32\config\RegBack\DEFAULT
ERROR(3)!!! ScanFile fails for C:\Windows\System32\config\RegBack\SAM
ERROR(3)!!! ScanFile fails for C:\Windows\System32\config\RegBack\SECURITY
ERROR(3)!!! ScanFile fails for C:\Windows\System32\config\RegBack\SOFTWARE
ERROR(3)!!! ScanFile fails for C:\Windows\System32\config\RegBack\SYSTEM
ERROR(3)!!! ScanFile fails for C:\Windows\System32\config\SAM
ERROR(3)!!! ScanFile fails for C:\Windows\System32\config\SAM.LOG1
ERROR(3)!!! ScanFile fails for C:\Windows\System32\config\SECURITY
ERROR(3)!!! ScanFile fails for C:\Windows\System32\config\SECURITY.LOG1
ERROR(3)!!! ScanFile fails for C:\Windows\System32\config\SOFTWARE
ERROR(3)!!! ScanFile fails for C:\Windows\System32\config\SOFTWARE.LOG1
ERROR(3)!!! ScanFile fails for C:\Windows\System32\config\SYSTEM
ERROR(3)!!! ScanFile fails for C:\Windows\System32\config\SYSTEM.LOG1
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\Windows\System32\drivers\etc\hosts:
C:\Windows\System32\drivers\etc\hosts:127.0.0.1 localhost
C:\Windows\System32\drivers\etc\hosts:::1 localhost
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Zeit überschritten beim Scannen von C:\Users\Besitzer\Desktop\mwav.exe!!!
Zeit überschritten beim Scannen von C:\$Recycle.Bin\S-1-5-21-825936400-2917736951-624679611-1000\$RF6TO1I.exe!!!
Zeit überschritten beim Scannen von C:\Users\Besitzer\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2UWDQBKY\zlsSetup_71_254_000_de[1].exe!!!
Zeit überschritten beim Scannen von !!!
Zeit überschritten beim Scannen von F:\Desktop\Ausrede\lula_demo.zip!!!
Zeit überschritten beim Scannen von F:\Desktop\Manuel\Gemischt\Winy#\Photoshop_CS2_tryout.zip!!!
Zeit überschritten beim Scannen von F:\Desktop\Manuel\Gemischt\Winy#\WOW_GIGA_Interface_v3.3_mit_Widescreen.rar!!!
Zeit überschritten beim Scannen von F:\Desktop\Manuel\Kanzler Forever Demo\Gothic_-_Der_Film.mpg.zip!!!
Zeit überschritten beim Scannen von F:\Desktop\Manuel\Kanzler Forever Demo\T08promo.exe!!!
Zeit überschritten beim Scannen von F:\Desktop\Programme\Install exe\178.24_geforce_winvista_32bit_international_whql.exe!!!
Zeit überschritten beim Scannen von F:\Desktop\Programme\Install exe\180.48_geforce_winvista_32bit_international_whql.exe!!!
Zeit überschritten beim Scannen von F:\Desktop\Spiele\180.48_geforce_winxp_32bit_international_whql.exe!!!
Zeit überschritten beim Scannen von F:\Desktop\Spiele\AirRivalsDe_1.0.0.22.exe!!!
Zahl der gescannten Objekte: 210834
Zahl der kritischen Objekte: 5
Zahl der desinfizierten Objekte: 0
Zahl der umbenannten Objekte: 0
Zahl der gelöschten Objekte: 0
Zeit verstrichen: 00:51:07
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Speicherüberprüfung: Aktiviert
Überprüfung der Registrierungsdatenbank: Aktiviert
Überprüfung des Startordners: Aktiviert
Überprüfung des Systemordners: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Laufwerke: Deaktiviert
Überprüfung aller Laufwerke:Aktiviert
Überprüfung der Ordner: Aktiviert

Batchstart: 21:38:33,71
Batchende: 21:38:52,80

Warum machst du dir noch die Mühe nach Viren zu scannen wenn du eh neuaufsetzen willst?
Wenn du das wie in der Anleitung beschrieben tust bracuhst du dir um Viren keine Gedanken machen..

PS: Die Dateien hier löschen.

Datei F:\Desktop\102412\Crusader Trainer.exe ist durch den Virus "Trojan.Keylogger.Hotkeyshook.A (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei F:\Desktop\Crusader Trainer.exe ist durch den Virus "Trojan.Keylogger.Hotkeyshook.A (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei F:\Desktop\InstallPamela4.exe ist durch den Virus "Application.Hoax.Pamela.A (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.