Hatte seit 1-2 Tagen nach dem Hochfahren immer ein Fenster/PopUp geöffnet mit dem Titel '#' und dem Text 'BOT NOT CRYPTED' und klickbarem 'OK'->hjt-scan & online-analyse->einmal wurde der Pfad zu dokumente&einstellungen/***/Izgec\ihim.exe als schädlich angezeigt und darunter auch noch mit der vorangabe [O4 - HKCU\..\Run: [{E32CA58F-ADE1-4AE9-CD8A-0EC1D39D3149}] "C:\Documents and Settings\***\Datos de programa\Izgec\ihim.exe"].
Den Ordner 'Izgec' hab ich dann mit antivir und malwarebytes ergebnislos überprüft und zur Sicherheit mal manuell gelöscht. Nach einem Neustart war der erstere Prozess verschwunden, der zweite mit dem nicht vorhandenem Pfad allerdings noch da.
Deswegen die Frage wie schädlich der ist und wie ich auch den noch wegbekommen (möglichst ohne formatieren)
Momentaner Log:
HiJackthis Logfile:
Code:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:58:54, on 24.07.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE
C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe
C:\Archivos de programa\DivX\DivX Update\DivXUpdate.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe
C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe
C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\Archivos de programa\MirandaFusion\miranda32.exe
C:\Documents and Settings\***\Menú Inicio\Programas\Inicio\etmin.exe
C:\Archivos de programa\Avira\AntiVir Desktop\avshadow.exe
C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Archivos de programa\OpenOffice.org 3\program\soffice.exe
C:\Archivos de programa\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\PnkBstrA.exe
C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Archivos comunes\Logishrd\KHAL2\KHALMNPR.EXE
C:\Archivos de programa\MirandaFusion\mfwd.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Documents and Settings\***\Mis documentos\Downloads\HiJackThis204.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Archivos de programa\DVDVideoSoftTB\tbDVD1.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: DVDVideoSoftTB Toolbar - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Archivos de programa\DVDVideoSoft\tbDVD1.dll
O3 - Toolbar: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Archivos de programa\DVDVideoSoftTB\tbDVD1.dll
O3 - Toolbar: DVDVideoSoftTB Toolbar - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Archivos de programa\DVDVideoSoft\tbDVD1.dll
O4 - HKLM\..\Run: [StartCCC] C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [DivXUpdate] "C:\Archivos de programa\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Miranda Fusion] C:\Archivos de programa\MirandaFusion\mfstart.exe
O4 - HKCU\..\Run: [{E32CA58F-ADE1-4AE9-CD8A-0EC1D39D3149}] "C:\Documents and Settings\***\Datos de programa\Izgec\ihim.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: etmin.exe
O4 - Startup: Logitech . Produktregistrierung.lnk = C:\Archivos de programa\Archivos comunes\Logishrd\eReg\SetPoint\eReg.exe
O4 - Startup: OpenOffice.org 3.2.lnk = C:\Archivos de programa\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Archivos de programa\Archivos comunes\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
--
End of file - 8151 bytes
--- --- ---
hab jetz mal den bootkit remover laufen lassen + dann remover fix und bin grad am virenscan mit antivir+malwarebytes, vielleicht wird diesmal was gefunden..
vielleicht kann mir trotzdem noch jemand was dazu sagen (ob das so richtig/sinnvoll ist oder irgendwas andres:))
-antivir hat in der zwischenzeit sdra64.exe gefunden (außerhalb des scans) und in quarantäne verschoben; reicht das aus?
-der remover zeigt inzwischen 'bootcode found' an
-hijackthis-log ist weiterhin unverändert und ich weiß noch immer nicht, was von dem bei hijackthis.de(online-analyse) als schädlich eingestuften zu halten ist..
-nach knapp 1,5 stunden suchlauf keine funde in malwarebytes und antivir
edit: malware log
Code:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4316
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
24.07.2010 17:07:36
mbam-log-2010-07-24 (17-07-36).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 227037
Laufzeit: 2 Stunde(n), 15 Minute(n), 43 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
antivir bislang 8 funde sowie 10 warnung, zusätzlich 3 funde außerhalb des suchlaufs
neben dem problem hier:
http://www.trojaner-board.de/88632-b...-ihim-exe.html und dem nun laufenden suchlauf hat antivir bislang 3 funde gemeldet(nicht im suchlauf fenster, also eventuell einfach so?)
-sdra64.exe
-a0022344.dll
-a0026884.exe
hab diese in quarantäne verschieben lassen..kenn mich da nicht wirklich aus, muss ich noch irgendwas anderes tun?
dankeschön fürs zusammenfügen! kann leider den beitrag nichtmehr selbst editieren, deshalb hier die letzten wichtigen information:
-ccleaner wurde durchgeführt
-das problem habe ich bei google nicht gefunden
-antivir-log
Code:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 24. Juli 2010 14:48
Es wird nach 2566895 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : ****
Computername : ****
Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 14:32:37
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 10:14:59
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 12:35:05
VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 12:35:05
VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 12:35:06
VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 12:35:06
VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 12:35:06
VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 12:35:06
VBASE013.VDF : 7.10.9.171 2048 Bytes 23.07.2010 12:35:06
VBASE014.VDF : 7.10.9.172 2048 Bytes 23.07.2010 12:35:06
VBASE015.VDF : 7.10.9.173 2048 Bytes 23.07.2010 12:35:06
VBASE016.VDF : 7.10.9.174 2048 Bytes 23.07.2010 12:35:06
VBASE017.VDF : 7.10.9.175 2048 Bytes 23.07.2010 12:35:07
VBASE018.VDF : 7.10.9.176 2048 Bytes 23.07.2010 12:35:07
VBASE019.VDF : 7.10.9.177 2048 Bytes 23.07.2010 12:35:07
VBASE020.VDF : 7.10.9.178 2048 Bytes 23.07.2010 12:35:07
VBASE021.VDF : 7.10.9.179 2048 Bytes 23.07.2010 12:35:07
VBASE022.VDF : 7.10.9.180 2048 Bytes 23.07.2010 12:35:07
VBASE023.VDF : 7.10.9.181 2048 Bytes 23.07.2010 12:35:07
VBASE024.VDF : 7.10.9.182 2048 Bytes 23.07.2010 12:35:07
VBASE025.VDF : 7.10.9.183 2048 Bytes 23.07.2010 12:35:07
VBASE026.VDF : 7.10.9.184 2048 Bytes 23.07.2010 12:35:07
VBASE027.VDF : 7.10.9.185 2048 Bytes 23.07.2010 12:35:08
VBASE028.VDF : 7.10.9.186 2048 Bytes 23.07.2010 12:35:08
VBASE029.VDF : 7.10.9.187 2048 Bytes 23.07.2010 12:35:08
VBASE030.VDF : 7.10.9.188 2048 Bytes 23.07.2010 12:35:08
VBASE031.VDF : 7.10.9.193 68608 Bytes 23.07.2010 12:35:09
Engineversion : 8.2.4.26
AEVDF.DLL : 8.1.2.0 106868 Bytes 05.05.2010 14:32:48
AESCRIPT.DLL : 8.1.3.41 1364346 Bytes 21.07.2010 12:35:24
AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 15:07:20
AESBX.DLL : 8.1.3.1 254324 Bytes 05.05.2010 14:32:48
AERDL.DLL : 8.1.8.2 614772 Bytes 21.07.2010 12:35:19
AEPACK.DLL : 8.2.3.2 471414 Bytes 21.07.2010 12:35:16
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 24.07.2010 12:35:13
AEHEUR.DLL : 8.1.2.6 2793846 Bytes 21.07.2010 12:35:11
AEHELP.DLL : 8.1.13.2 242039 Bytes 21.07.2010 12:34:53
AEGEN.DLL : 8.1.3.17 385396 Bytes 24.07.2010 12:35:11
AEEMU.DLL : 8.1.2.0 393588 Bytes 05.05.2010 14:32:43
AECORE.DLL : 8.1.16.2 192887 Bytes 21.07.2010 12:34:49
AEBB.DLL : 8.1.1.0 53618 Bytes 05.05.2010 14:32:42
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Manuelle Auswahl
Konfigurationsdatei...................: C:\Documents and Settings\All Users\Datos de programa\Avira\AntiVir Desktop\PROFILES\folder.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +SPR,
Beginn des Suchlaufs: Samstag, 24. Juli 2010 14:48
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nSvcIp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrB.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'apache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nSvcLog.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'apache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'etmin.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATIAAE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '917' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\Documents and Settings\Benutzer\Configuración local\Archivos temporales de Internet\Content.IE5\0TIZG1E3\Firefox%20Setup%203.6.3[1].exe
--> Object
[WARNUNG] Die Datei konnte nicht gelesen werden!
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\Documents and Settings\Benutzer\Configuración local\Archivos temporales de Internet\Content.IE5\0TIZG1E3\Firefox%20Setup%203.6.3[2].exe
--> Object
[WARNUNG] Die Datei konnte nicht gelesen werden!
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\Documents and Settings\Benutzer\Configuración local\Archivos temporales de Internet\Content.IE5\8X2B8LIR\Firefox%20Setup%203.6.3[3].exe
--> Object
[WARNUNG] Die Datei konnte nicht gelesen werden!
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\Documents and Settings\Benutzer\Configuración local\Archivos temporales de Internet\Content.IE5\C1YZSP2Z\Firefox%20Setup%203.6.3[1].exe
--> Object
[WARNUNG] Die Datei konnte nicht gelesen werden!
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\Documents and Settings\Benutzer\Configuración local\Archivos temporales de Internet\Content.IE5\C1YZSP2Z\Firefox%20Setup%203.6.3[2].exe
--> Object
[WARNUNG] Die Datei konnte nicht gelesen werden!
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\Documents and Settings\***\Datos de programa\SLAnticheat\client.slac
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
C:\Documents and Settings\***\Datos de programa\Sun\Java\Deployment\cache\6.0\10\dc2a9ca-1ee29ab8
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.S
--> dev/s/AdgredY.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.S
--> dev/s/DyesyasZ.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.R
--> dev/s/LoaderX.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.M.1
C:\Documents and Settings\***\Datos de programa\Sun\Java\Deployment\cache\6.0\14\3e1ca38e-6d89a666
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.S
--> dev/s/AdgredY.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.S
--> dev/s/DyesyasZ.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.R
--> dev/s/LoaderX.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.M.1
C:\Documents and Settings\***\Escritorio\slac_04\SLAC.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
Beginne mit der Desinfektion:
C:\Documents and Settings\***\Escritorio\slac_04\SLAC.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[WARNUNG] Die Datei wurde ignoriert.
C:\Documents and Settings\***\Datos de programa\Sun\Java\Deployment\cache\6.0\14\3e1ca38e-6d89a666
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.M.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48fea068.qua' verschoben!
C:\Documents and Settings\***\Datos de programa\Sun\Java\Deployment\cache\6.0\10\dc2a9ca-1ee29ab8
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.M.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '50688fcd.qua' verschoben!
C:\Documents and Settings\***\Datos de programa\SLAnticheat\client.slac
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[WARNUNG] Die Datei wurde ignoriert.
Ende des Suchlaufs: Samstag, 24. Juli 2010 17:19
Benötigte Zeit: 2:30:00 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
8591 Verzeichnisse wurden überprüft
449193 Dateien wurden geprüft
8 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
449185 Dateien ohne Befall
2497 Archive wurden durchsucht
12 Warnungen
2 Hinweise
slac ist harmlos, der java/agent ist in quarantäne, ich weiß aber nicht, wie ich weiter mit dem umgehen soll.
- RSIT-Logs
RSIT Logfile:
Code:
Logfile of random's system information tool 1.08 (written by random/random)
Run by *** at 2010-07-24 17:44:59
Microsoft Windows XP Home Edition Service Pack 2
System drive C: has 201 GB (84%) free of 238 GB
Total RAM: 1023 MB (59% free)
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:45:02, on 24.07.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE
C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe
C:\Archivos de programa\DivX\DivX Update\DivXUpdate.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe
C:\Documents and Settings\***\Menú Inicio\Programas\Inicio\etmin.exe
C:\Archivos de programa\OpenOffice.org 3\program\soffice.exe
C:\Archivos de programa\OpenOffice.org 3\program\soffice.bin
C:\Archivos de programa\Archivos comunes\Logishrd\KHAL2\KHALMNPR.EXE
C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe
C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Archivos de programa\Avira\AntiVir Desktop\avshadow.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\***\Configuración local\Datos de programa\Opera\Opera\temporary_downloads\RSIT.exe
C:\Archivos de programa\trend micro\***.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Archivos de programa\DVDVideoSoftTB\tbDVD1.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: DVDVideoSoftTB Toolbar - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Archivos de programa\DVDVideoSoft\tbDVD1.dll
O3 - Toolbar: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Archivos de programa\DVDVideoSoftTB\tbDVD1.dll
O3 - Toolbar: DVDVideoSoftTB Toolbar - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Archivos de programa\DVDVideoSoft\tbDVD1.dll
O4 - HKLM\..\Run: [StartCCC] C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [DivXUpdate] "C:\Archivos de programa\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Miranda Fusion] C:\Archivos de programa\MirandaFusion\mfstart.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: etmin.exe
O4 - Startup: Logitech . Produktregistrierung.lnk = C:\Archivos de programa\Archivos comunes\Logishrd\eReg\SetPoint\eReg.exe
O4 - Startup: OpenOffice.org 3.2.lnk = C:\Archivos de programa\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Archivos de programa\Archivos comunes\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
--
End of file - 8008 bytes
======Registry dump======
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-01-12 63128]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
DVDVideoSoftTB Toolbar - C:\Archivos de programa\DVDVideoSoftTB\tbDVD1.dll [2010-06-30 2736736]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll [2010-05-15 41760]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2010-05-15 79648]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
DVDVideoSoftTB Toolbar - C:\Archivos de programa\DVDVideoSoft\tbDVD1.dll [2010-07-18 2736736]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{872b5b88-9db5-4310-bdd0-ac189557e5f5} - DVDVideoSoftTB Toolbar - C:\Archivos de programa\DVDVideoSoftTB\tbDVD1.dll [2010-06-30 2736736]
{e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - DVDVideoSoftTB Toolbar - C:\Archivos de programa\DVDVideoSoft\tbDVD1.dll [2010-07-18 2736736]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"=C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2006-11-10 90112]
"avgnt"=C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe [2010-03-02 282792]
"EPSON Stylus D68 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE [2005-01-25 98304]
"SunJavaUpdateSched"=C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe [2010-02-18 248040]
"DivXUpdate"=C:\Archivos de programa\DivX\DivX Update\DivXUpdate.exe [2010-06-03 1144104]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2010-06-08 19552872]
"Kernel and Hardware Abstraction Layer"=C:\WINDOWS\KHALMNPR.EXE [2009-06-17 55824]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2004-09-14 15360]
"Miranda Fusion"=C:\Archivos de programa\MirandaFusion\mfstart.exe [2010-02-14 918788]
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio
Adobe Reader Speed Launch.lnk - C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
Logitech SetPoint.lnk - C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe
C:\Documents and Settings\***\Menú Inicio\Programas\Inicio
etmin.exe
Logitech . Produktregistrierung.lnk - C:\Archivos de programa\Archivos comunes\Logishrd\eReg\SetPoint\eReg.exe
OpenOffice.org 3.2.lnk - C:\Archivos de programa\OpenOffice.org 3\program\quickstart.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2007-06-07 118784]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\LBTWlgn]
c:\archivos de programa\archivos comunes\logishrd\bluetooth\LBTWlgn.dll [2009-07-20 72208]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WdfLoadGroup]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=1
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe"="C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe:*:Enabled:Apache HTTP Server"
"C:\Archivos de programa\Opera\opera.exe"="C:\Archivos de programa\Opera\opera.exe:*:Enabled:Opera Internet Browser"
"C:\Archivos de programa\mIRC\mirc.exe"="C:\Archivos de programa\mIRC\mirc.exe:*:Enabled:mIRC"
"C:\Archivos de programa\Enemy Territory\ET.exe"="C:\Archivos de programa\Enemy Territory\ET.exe:*:Enabled:ET"
"C:\Archivos de programa\HLSW\hlsw.exe"="C:\Archivos de programa\HLSW\hlsw.exe:*:Enabled:HLSW Application"
"C:\Archivos de programa\MirandaFusion\miranda32.exe"="C:\Archivos de programa\MirandaFusion\miranda32.exe:*:Enabled:Miranda Fusion"
"C:\Archivos de programa\Xfire\Xfire.exe"="C:\Archivos de programa\Xfire\Xfire.exe:*:Enabled:Xfire"
"C:\Archivos de programa\Sports Interactive\Football Manager 2010\fm.exe"="C:\Archivos de programa\Sports Interactive\Football Manager 2010\fm.exe:*:Enabled:Football Manager 2010"
"C:\Documents and Settings\***\Datos de programa\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe"="C:\Documents and Settings\***\Datos de programa\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe:*:Enabled:Main program for Octoshape client"
"C:\Archivos de programa\Gamers.IRC\mirc.exe"="C:\Archivos de programa\Gamers.IRC\mirc.exe:*:Enabled:mIRC"
"C:\WINDOWS\explorer.exe"="C:\WINDOWS\explorer.exe:*:Disabled:Explorador de Windows"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
======List of files/folders created in the last 1 months======
2010-07-24 17:45:00 ----D---- C:\Archivos de programa\trend micro
2010-07-24 17:44:59 ----D---- C:\rsit
2010-07-24 17:34:18 ----D---- C:\Archivos de programa\CCleaner
2010-07-24 15:38:13 ----A---- C:\WINDOWS\system32\bootkit_remover_debug_log.txt
2010-07-24 13:34:56 ----A---- C:\WINDOWS\system32\remover.exe
2010-07-24 12:57:54 ----D---- C:\Documents and Settings\***\Datos de programa\Leadertech
2010-07-16 16:41:27 ----D---- C:\WINDOWS\Minidump
2010-07-15 20:51:33 ----D---- C:\Avenger
2010-07-15 20:39:55 ----D---- C:\Documents and Settings\***\Datos de programa\Malwarebytes
2010-07-15 20:39:40 ----A---- C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2010-07-15 20:39:38 ----D---- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2010-07-15 20:39:38 ----D---- C:\Archivos de programa\Malwarebytes' Anti-Malware
2010-07-15 20:39:38 ----A---- C:\WINDOWS\system32\drivers\mbam.sys
2010-07-15 03:02:43 ----HDC---- C:\WINDOWS\$NtUninstallKB2229593$
2010-07-14 12:43:06 ----D---- C:\Documents and Settings\***\Datos de programa\Logitech
2010-07-14 12:42:13 ----A---- C:\WINDOWS\system32\drivers\LBeepKE.sys
2010-07-14 12:41:52 ----HDC---- C:\WINDOWS\$NtUninstallWdf01005$
2010-07-14 12:40:53 ----A---- C:\WINDOWS\system32\BtCoreIf.dll
2010-07-14 12:40:47 ----A---- C:\WINDOWS\system32\KemXML.dll
2010-07-14 12:40:47 ----A---- C:\WINDOWS\system32\KemWnd.dll
2010-07-14 12:40:47 ----A---- C:\WINDOWS\system32\KemUtil.dll
2010-07-14 12:40:47 ----A---- C:\WINDOWS\system32\kemutb.dll
2010-07-14 12:40:15 ----D---- C:\Documents and Settings\All Users\Datos de programa\Logitech
2010-07-14 12:40:02 ----D---- C:\Archivos de programa\Archivos comunes\Logishrd
2010-07-14 12:39:53 ----D---- C:\Archivos de programa\Logitech
2010-07-14 12:39:27 ----D---- C:\Documents and Settings\All Users\Datos de programa\LogiShrd
2010-07-13 03:44:31 ----D---- C:\Archivos de programa\YAWn.NET
2010-07-09 21:04:40 ----A---- C:\WINDOWS\system32\xfcodec.dll
2010-07-08 15:03:28 ----D---- C:\Archivos de programa\Ultraviolet MediaManager
2010-06-30 16:18:24 ----D---- C:\Documents and Settings\***\Datos de programa\PriceGong
======List of files/folders modified in the last 1 months======
2010-07-24 17:45:00 ----RD---- C:\Archivos de programa
2010-07-24 17:37:32 ----D---- C:\WINDOWS\Temp
2010-07-24 17:37:32 ----D---- C:\WINDOWS\Debug
2010-07-24 17:37:32 ----D---- C:\WINDOWS
2010-07-24 15:38:13 ----D---- C:\WINDOWS\system32
2010-07-24 15:30:41 ----D---- C:\Documents and Settings\***\Datos de programa\HLSW
2010-07-24 14:48:27 ----D---- C:\WINDOWS\Prefetch
2010-07-24 14:48:15 ----D---- C:\WINDOWS\Registration
2010-07-24 14:47:48 ----D---- C:\WINDOWS\system32\CatRoot2
2010-07-24 14:40:24 ----D---- C:\WINDOWS\system32\NtmsData
2010-07-24 14:39:52 ----SHD---- C:\System Volume Information
2010-07-24 14:37:15 ----N---- C:\WINDOWS\SchedLgU.Txt
2010-07-24 13:34:29 ----D---- C:\Archivos de programa\Gamers.IRC
2010-07-24 01:34:18 ----D---- C:\Documents and Settings\***\Datos de programa\Xfire
2010-07-24 01:33:21 ----A---- C:\WINDOWS\system32\PnkBstrB.exe
2010-07-21 01:32:21 ----D---- C:\Documents and Settings\***\Datos de programa\NoNameScript
2010-07-21 01:28:57 ----D---- C:\Archivos de programa\mIRC
2010-07-18 04:48:38 ----D---- C:\Archivos de programa\DVDVideoSoft
2010-07-17 16:49:47 ----D---- C:\Documents and Settings\***\Datos de programa\vlc
2010-07-17 15:12:47 ----D---- C:\Archivos de programa\Xfire
2010-07-16 19:51:12 ----D---- C:\Documents and Settings\***\Datos de programa\SLAnticheat
2010-07-15 20:51:33 ----HDC---- C:\WINDOWS\$NtUninstallKB961501$
2010-07-15 20:51:33 ----D---- C:\WINDOWS\system32\drivers
2010-07-15 16:31:54 ----HD---- C:\WINDOWS\inf
2010-07-15 03:02:45 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-07-15 03:02:37 ----HD---- C:\WINDOWS\$hf_mig$
2010-07-15 01:42:14 ----D---- C:\Documents and Settings\***\Datos de programa\dvdcss
2010-07-14 12:42:59 ----SHD---- C:\WINDOWS\Installer
2010-07-14 12:42:00 ----D---- C:\WINDOWS\system32\ReinstallBackups
2010-07-14 12:40:10 ----HD---- C:\Archivos de programa\InstallShield Installation Information
2010-07-14 12:40:02 ----D---- C:\Archivos de programa\Archivos comunes
2010-07-11 11:32:58 ----D---- C:\Documents and Settings\All Users\Datos de programa\DivX
2010-07-11 11:31:02 ----D---- C:\Archivos de programa\DivX
2010-07-10 17:42:32 ----D---- C:\Archivos de programa\Mozilla Firefox
2010-07-10 04:27:01 ----D---- C:\WINDOWS\system32\config
2010-07-08 15:16:28 ----D---- C:\Archivos de programa\Enemy Territory
2010-07-04 19:30:32 ----D---- C:\Archivos de programa\Opera
2010-07-02 21:39:05 ----A---- C:\WINDOWS\system32\MRT.exe
2010-06-30 16:15:38 ----D---- C:\Archivos de programa\DVDVideoSoftTB
======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R0 nvata;nvata; C:\WINDOWS\system32\DRIVERS\nvata.sys [2006-06-28 105088]
R0 PxHelp20;PxHelp20; C:\WINDOWS\System32\Drivers\PxHelp20.sys [2010-03-31 44944]
R0 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
R1 AmdK8;Controlador de procesador AMD; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2006-06-18 43520]
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2010-03-01 124784]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2010-02-16 60936]
R2 irda;Protocolo IrDA; C:\WINDOWS\system32\DRIVERS\irda.sys [2004-08-04 87424]
R2 LBeepKE;LBeepKE; C:\WINDOWS\System32\Drivers\LBeepKE.sys [2009-06-17 10384]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2007-06-07 2155520]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2005-01-07 138752]
R3 hidusb;Controlador de clases HID de Microsoft; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2010-06-08 6056040]
R3 irsir;Controlador de infrarrojos serie de Microsoft; C:\WINDOWS\system32\DRIVERS\irsir.sys [2001-08-17 18688]
R3 L8042Kbd;Logitech SetPoint Keyboard Driver; C:\WINDOWS\system32\DRIVERS\L8042Kbd.sys [2009-06-17 20240]
R3 LHidFilt;Logitech SetPoint KMDF HID Filter Driver; C:\WINDOWS\system32\DRIVERS\LHidFilt.Sys [2009-06-17 35472]
R3 LMouFilt;Logitech SetPoint KMDF Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\LMouFilt.Sys [2009-06-17 37392]
R3 LUsbFilt;Logitech SetPoint KMDF USB Filter; C:\WINDOWS\System32\Drivers\LUsbFilt.Sys [2009-06-17 28560]
R3 mouhid;Controlador HID de mouse; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-22 12416]
R3 ms_mpu401;Controlador UART MIDI Microsoft MPU-401; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2006-07-11 57856]
R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2006-07-11 20480]
R3 Rasirda;Minipuerto WAN (IrDA); C:\WINDOWS\system32\DRIVERS\rasirda.sys [2001-08-17 19584]
R3 Wdf01000;Wdf01000; C:\WINDOWS\system32\DRIVERS\Wdf01000.sys [2006-11-02 492000]
S1 avgio;avgio; \??\C:\Archivos de programa\Avira\AntiVir Desktop\avgio.sys []
S3 Ambfilt;Ambfilt; C:\WINDOWS\system32\drivers\Ambfilt.sys [2009-11-18 1691480]
S3 Monfilt;Monfilt; C:\WINDOWS\system32\drivers\Monfilt.sys [2009-11-18 1395800]
S3 PnkBstrK;PnkBstrK; \??\C:\WINDOWS\system32\drivers\PnkBstrK.sys []
S3 usbprint;Clase de impresora USB de Microsoft; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856]
S3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe [2010-02-24 135336]
R2 AntiVirService;Avira AntiVir Guard; C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe [2010-04-01 267432]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2007-06-07 483328]
R2 ForcewareWebInterface;Forceware Web Interface; C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe [2006-04-03 20543]
R2 Irmon;Monitor de infrarrojos; C:\WINDOWS\system32\svchost.exe [2004-09-14 14336]
R2 JavaQuickStarterService;Java Quick Starter; C:\Archivos de programa\Java\jre6\bin\jqs.exe [2010-05-15 153376]
R2 nSvcIp;ForceWare IP service; C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe [2006-07-13 131131]
R2 nSvcLog;ForceWare user log service; C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe [2006-07-13 65599]
R2 PnkBstrA;PnkBstrA; C:\WINDOWS\system32\PnkBstrA.exe [2010-05-07 75064]
R2 PnkBstrB;PnkBstrB; C:\WINDOWS\system32\PnkBstrB.exe [2010-07-24 214816]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2004-09-14 14336]
S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2007-06-06 520192]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 LBTServ;Logitech Bluetooth Service; C:\Archivos de programa\Archivos comunes\Logishrd\Bluetooth\LBTServ.exe [2009-07-20 121360]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Archivos de programa\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]
-----------------EOF-----------------
--- --- ---
Ich hoffe damit alle nötigen Angaben gemacht zu haben, um Hilfe zu erhalten.
=> Meine Fragen sind momentan:
-Wie ist mit den 3 'normal' erkannten Viren (sdra64, aa00usw.dll, aa00usw.exe) umzugehen?
-Wie ist mit den Java/Agents umzugehen?
ihim.exe ist nach cclean in hijackthis vollständig verschwunden!, kann damit evtl. in den schädlingsbereich verschoben werden:)
Vielen Dank schonmal
