Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Möglicher Maleware Befall - Typ unbekannt (https://www.trojaner-board.de/96996-moeglicher-maleware-befall-typ-unbekannt.html)

Tomsax 04.04.2011 16:56
OSAM Logfile:
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 17:55:55 on 04.04.2011

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.16

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GlaryInitialize.job" - "Glarysoft Ltd" - C:\Programme\Eigene Programme\Glary Utilities\initialize.exe
"Ad-Aware Update (Weekly).job" - ? - C:\Programme\Eigene Programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe  (File not found)
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"RealUpgradeLogonTaskS-1-5-21-484763869-1343024091-839522115-1004.job" - "RealNetworks, Inc." - C:\Programme\Real\RealUpgrade\realupgrade.exe
"RealUpgradeLogonTaskS-1-5-21-484763869-1343024091-839522115-1005.job" - "RealNetworks, Inc." - C:\Programme\Real\RealUpgrade\realupgrade.exe
"RealUpgradeScheduledTaskS-1-5-21-484763869-1343024091-839522115-1004.job" - "RealNetworks, Inc." - C:\Programme\Real\RealUpgrade\realupgrade.exe
"RealUpgradeScheduledTaskS-1-5-21-484763869-1343024091-839522115-1005.job" - "RealNetworks, Inc." - C:\Programme\Real\RealUpgrade\realupgrade.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\WINDOWS\system32\DivXControlPanelApplet.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"sscpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\sscpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\EIGENE~1\Avira\ANTIVI~1\avconfig.cpl
"QuickTime" - "Apple Inc." - C:\Programme\Eigene Programme\QuickTime Alternative\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Eigene Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\Thomas\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"Lavasoft helper driver" (Lavasoft Kernexplorer) - ? - C:\Programme\Eigene Programme\Lavasoft\Ad-Aware\KernExplorer.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"StarOpen" (StarOpen) - ? - C:\WINDOWS\system32\drivers\StarOpen.sys  (File found, but it contains no detailed information)
"truecrypt" (truecrypt) - "TrueCrypt Foundation" - C:\WINDOWS\System32\drivers\truecrypt.sys
"uxtdipoc" (uxtdipoc) - ? - C:\DOKUME~1\Thomas\LOKALE~1\Temp\uxtdipoc.sys  (Hidden registry entry, rootkit activity | File not found)
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
{91774881-D725-4E58-B298-07617B9B86A8} "Skype IE add-on Pluggable Protocol" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\Eigene Programme\7-Zip\7-zip.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{72923739-5A47-40A3-9895-25AF0DFBB9E4} "Glary Utilities Context Menu Shell Extension" - "Glarysoft Ltd" - C:\PROGRA~1\EIGENE~1\GLARYU~1\CONTEX~1.DLL
{A0752130-6D75-D111-B5B1-0800095A2318} "HandyBits File Shredder Virtual Folder" - ? -  (File not found | COM-object registry key not found)
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -  (File not found | COM-object registry key not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -  (File not found | COM-object registry key not found)
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -  (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Eigene Programme\Microsoft Office\Office10\msohev.dll
{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Programme\Eigene Programme\rpshell.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Eigene Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -  (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
Eraser Shell Extension "{BC9B776A-90D7-4476-A791-79D835F30650}" - ? -  (File not found | COM-object registry key not found)

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -  (File not found | COM-object registry key not found)
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"Klicke hier um das Projekt xp-AntiSpy zu unterstützen" - ? - C:\Programme\eigene programme\xp-AntiSpy\sponsoring\sponsor.html
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
DirectAnimation Java Classes "DirectAnimation Java Classes" - ? -  (File not found | COM-object registry key not found) / file://C:\WINDOWS\Java\classes\dajava.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Programme\Eigene Programme\Java\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Programme\Eigene Programme\Java\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Programme\Eigene Programme\Java\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
Microsoft XML Parser for Java "Microsoft XML Parser for Java" - ? -  (File not found | COM-object registry key not found) / file://C:\WINDOWS\Java\classes\xmldso.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{898EA8C8-E7FF-479B-8935-AEC46303B9E5} "Skype add-on for Internet Explorer" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Eigene Programme\Java\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Eigene Programme\Java\lib\deploy\jqs\ie\jqs_plugin.dll
{3049C3E9-B461-4BC5-8870-4C09146192CA} "RealPlayer Download and Record Plugin for Internet Explorer" - "RealPlayer" - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
{AE805869-2E5C-4ED4-8F7B-F1F7851A4497} "Skype add-on for Internet Explorer" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Eigene Programme\Microsoft Office\Office10\OSA.EXE  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Thomas\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"Skype" - "Skype Technologies S.A." - "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
"TomTomHOME.exe" - "TomTom" - "C:\Programme\Eigene Programme\TomTom HOME 2\TomTomHOMERunner.exe"
"Update Service" - "Teknum Systems AS" - C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Eigene Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Eigene Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"ContentTransferWMDetector.exe" - "Sony Corporation" - C:\Programme\Eigene Programme\Sony\Content Transfer\ContentTransferWMDetector.exe
"DivXUpdate" - ? - "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
"Eraser" - "The Eraser Project" - "C:\PROGRA~1\EIGENE~1\Eraser\Eraser.exe" --atRestart
"OpwareSE4" - "ScanSoft, Inc." - "C:\Programme\Eigene Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
"SSBkgdUpdate" - "Nuance Communications, Inc." - "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
"TkBellExe" - "RealNetworks, Inc." - "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
"zBrowser Launcher" - "Logitech Inc." - C:\Programme\iTouch\iTouch.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"PDFCreator" - ? - C:\WINDOWS\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Eigene Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Eigene Programme\Avira\AntiVir Desktop\sched.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Eigene Programme\Java\bin\jqs.exe
"MotoHelper Service" (MotoHelper) - ? - C:\Programme\Motorola\MotoHelper\MotoHelperService.exe
"NMSAccess" (NMSAccess) - ? - C:\Programme\Eigene Programme\CDBurnerXP\NMSAccessU.exe  (File found, but it contains no detailed information)
"TomTomHOMEService" (TomTomHOMEService) - "TomTom" - C:\Programme\Eigene Programme\TomTom HOME 2\TomTomHOMEService.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Tomsax 04.04.2011 16:58
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000000fc

Kernel Drivers (total 130):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806EF000 \WINDOWS\system32\hal.dll
0xF7A2F000 \WINDOWS\system32\KDCOM.DLL
0xF793F000 \WINDOWS\system32\BOOTVID.dll
0xF74DF000 ACPI.sys
0xF7A31000 \WINDOWS\System32\DRIVERS\WMILIB.SYS
0xF74CE000 pci.sys
0xF752F000 isapnp.sys
0xF753F000 ohci1394.sys
0xF754F000 \WINDOWS\System32\DRIVERS\1394BUS.SYS
0xF7AF7000 pciide.sys
0xF77AF000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
0xF755F000 MountMgr.sys
0xF74AF000 ftdisk.sys
0xF77B7000 PartMgr.sys
0xF756F000 VolSnap.sys
0xF7497000 atapi.sys
0xF757F000 disk.sys
0xF758F000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
0xF7477000 fltmgr.sys
0xF7465000 sr.sys
0xF759F000 PxHelp20.sys
0xF744E000 KSecDD.sys
0xF743B000 WudfPf.sys
0xF73AE000 Ntfs.sys
0xF7381000 NDIS.sys
0xF7943000 nv_agp.sys
0xF7367000 Mup.sys
0xF75CF000 \SystemRoot\System32\DRIVERS\nic1394.sys
0xF778F000 \SystemRoot\System32\DRIVERS\amdk7.sys
0xF7847000 \SystemRoot\System32\DRIVERS\usbohci.sys
0xF72DA000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
0xF784F000 \SystemRoot\System32\DRIVERS\usbehci.sys
0xF72C6000 \SystemRoot\System32\DRIVERS\NVENET.sys
0xF79E7000 \SystemRoot\system32\drivers\nvax.sys
0xF7271000 \SystemRoot\System32\DRIVERS\Cap7134.sys
0xF779F000 \SystemRoot\System32\DRIVERS\STREAM.SYS
0xF724E000 \SystemRoot\System32\DRIVERS\ks.sys
0xF7222000 \SystemRoot\System32\DRIVERS\HSFHWBS2.sys
0xF7113000 \SystemRoot\System32\DRIVERS\HSF_DP.sys
0xF707B000 \SystemRoot\System32\DRIVERS\HSF_CNXT.sys
0xF7857000 \SystemRoot\System32\Drivers\Modem.SYS
0xF75DF000 \SystemRoot\System32\DRIVERS\cdrom.sys
0xF75EF000 \SystemRoot\System32\DRIVERS\redbook.sys
0xF75FF000 \SystemRoot\System32\DRIVERS\imapi.sys
0xF6F49000 \SystemRoot\System32\DRIVERS\nv4_mini.sys
0xF6F35000 \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS
0xF760F000 \SystemRoot\System32\DRIVERS\serial.sys
0xF79F3000 \SystemRoot\System32\DRIVERS\serenum.sys
0xF6F21000 \SystemRoot\System32\DRIVERS\parport.sys
0xF761F000 \SystemRoot\System32\DRIVERS\i8042prt.sys
0xF785F000 \SystemRoot\System32\DRIVERS\mouclass.sys
0xF79F7000 \SystemRoot\System32\DRIVERS\itchfltr.sys
0xF7867000 \SystemRoot\System32\DRIVERS\kbdclass.sys
0xF7B82000 \SystemRoot\System32\DRIVERS\audstub.sys
0xF762F000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
0xF79FB000 \SystemRoot\System32\DRIVERS\ndistapi.sys
0xF6EAE000 \SystemRoot\System32\DRIVERS\ndiswan.sys
0xF763F000 \SystemRoot\System32\DRIVERS\raspppoe.sys
0xF764F000 \SystemRoot\System32\DRIVERS\raspptp.sys
0xF786F000 \SystemRoot\System32\DRIVERS\TDI.SYS
0xF6DFD000 \SystemRoot\System32\DRIVERS\psched.sys
0xF765F000 \SystemRoot\System32\DRIVERS\msgpc.sys
0xF7877000 \SystemRoot\System32\DRIVERS\ptilink.sys
0xF787F000 \SystemRoot\System32\DRIVERS\raspti.sys
0xF766F000 \SystemRoot\System32\DRIVERS\termdd.sys
0xF7A51000 \SystemRoot\System32\DRIVERS\swenum.sys
0xF65EF000 \SystemRoot\System32\DRIVERS\update.sys
0xF7A0B000 \SystemRoot\System32\DRIVERS\mssmbios.sys
0xF767F000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF768F000 \SystemRoot\System32\DRIVERS\usbhub.sys
0xF7A53000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xF58CD000 \SystemRoot\system32\drivers\nvapu.sys
0xF58A9000 \SystemRoot\system32\drivers\portcls.sys
0xF769F000 \SystemRoot\system32\drivers\drmk.sys
0xF57E8000 \SystemRoot\system32\drivers\nvmcp.sys
0xF76AF000 \SystemRoot\system32\drivers\nvarm.sys
0xF788F000 \SystemRoot\System32\DRIVERS\PhTVTune.sys
0xF7A2B000 \SystemRoot\system32\drivers\MODEMCSA.sys
0xF7A5B000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7C78000 \SystemRoot\System32\Drivers\Null.SYS
0xF7A5D000 \SystemRoot\System32\Drivers\Beep.SYS
0xF78AF000 \SystemRoot\System32\drivers\vga.sys
0xF7A5F000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7A61000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF78B7000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF78BF000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF731E000 \SystemRoot\System32\DRIVERS\rasacd.sys
0xEC625000 \SystemRoot\System32\DRIVERS\ipsec.sys
0xEC5CC000 \SystemRoot\System32\DRIVERS\tcpip.sys
0xEC5A4000 \SystemRoot\System32\DRIVERS\netbt.sys
0xEC582000 \SystemRoot\System32\drivers\afd.sys
0xF76DF000 \SystemRoot\System32\DRIVERS\netbios.sys
0xEC54B000 \SystemRoot\System32\drivers\truecrypt.sys
0xF78C7000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xEC520000 \SystemRoot\System32\DRIVERS\rdbss.sys
0xEC488000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
0xF76EF000 \SystemRoot\System32\Drivers\Fips.SYS
0xEC3C2000 \SystemRoot\System32\DRIVERS\ipnat.sys
0xEC39B000 \SystemRoot\System32\Drivers\omcamvid.sys
0xF78CF000 \SystemRoot\System32\Drivers\OVTCAMD.SYS
0xF78D7000 \SystemRoot\System32\DRIVERS\USBSTOR.SYS
0xEC375000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF76FF000 \SystemRoot\System32\DRIVERS\wanarp.sys
0xF770F000 \SystemRoot\System32\DRIVERS\arp1394.sys
0xF7A65000 \??\C:\Programme\Eigene Programme\Avira\AntiVir Desktop\avgio.sys
0xEC351000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xEC339000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7A6D000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF79DB000 \SystemRoot\System32\drivers\Dxapi.sys
0xF78F7000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7BC5000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xBF31B000 \SystemRoot\System32\ATMFD.DLL
0xEBF63000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xEBF23000 \SystemRoot\System32\DRIVERS\ndisuio.sys
0xEBCDE000 \SystemRoot\System32\DRIVERS\mrxdav.sys
0xF7A9F000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xEBC4D000 \SystemRoot\System32\Drivers\HTTP.sys
0xEBD0F000 \SystemRoot\System32\DRIVERS\mdmxsdk.sys
0xEBB05000 \SystemRoot\System32\DRIVERS\srv.sys
0xF77EF000 \SystemRoot\System32\DRIVERS\strmdisp.sys
0xEB7F8000 \SystemRoot\system32\drivers\wdmaud.sys
0xEBD63000 \SystemRoot\system32\drivers\sysaudio.sys
0xEB915000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xEB0F6000 \??\C:\DOKUME~1\Thomas\LOKALE~1\Temp\uxtdipoc.sys
0xEB0CB000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 37):
0 System Idle Process
4 System
544 C:\WINDOWS\system32\smss.exe
616 csrss.exe
640 C:\WINDOWS\system32\winlogon.exe
684 C:\WINDOWS\system32\services.exe
696 C:\WINDOWS\system32\lsass.exe
856 C:\WINDOWS\system32\svchost.exe
1004 svchost.exe
1044 C:\WINDOWS\system32\svchost.exe
1112 C:\WINDOWS\system32\svchost.exe
1168 svchost.exe
1224 svchost.exe
1308 C:\WINDOWS\system32\spoolsv.exe
1356 C:\Programme\Eigene Programme\Avira\AntiVir Desktop\sched.exe
1400 svchost.exe
1456 C:\Programme\Eigene Programme\Avira\AntiVir Desktop\avguard.exe
1528 C:\Programme\Eigene Programme\Java\bin\jqs.exe
1576 C:\Programme\Motorola\MotoHelper\MotoHelperService.exe
1644 C:\Programme\Eigene Programme\Avira\AntiVir Desktop\avshadow.exe
1664 C:\Programme\Eigene Programme\CDBurnerXP\NMSAccessU.exe
1724 C:\WINDOWS\system32\nvsvc32.exe
1852 C:\WINDOWS\system32\svchost.exe
1908 C:\Programme\Eigene Programme\TomTom HOME 2\TomTomHOMEService.exe
488 C:\WINDOWS\explorer.exe
808 C:\Programme\Motorola\MotoHelper\MotoHelperAgent.exe
1620 C:\WINDOWS\system32\carpserv.exe
1604 C:\Programme\Eigene Programme\Avira\AntiVir Desktop\avgnt.exe
1776 C:\Programme\Eigene Programme\ScanSoft\OmniPageSE4.0\OpWareSE4.exe
1636 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
1848 C:\Programme\Eigene Programme\Sony\Content Transfer\ContentTransferWMDetector.exe
2096 C:\Programme\DivX\DivX Update\DivXUpdate.exe
2300 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
2396 alg.exe
2516 C:\WINDOWS\system32\ctfmon.exe
2264 C:\Programme\Eigene Programme\Mozilla Firefox\firefox.exe
2448 C:\Dokumente und Einstellungen\Thomas\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000001a`9cb90e00 (FAT32)

PhysicalDrive0 Model Number: WDCWD1200BB-00CAA1, Rev: 17.07W17

Size Device Name MBR Status
--------------------------------------------
111 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

Tomsax 04.04.2011 16:59
So erledigt. Aber eine Frage zwischendrin hätte ich mal. Hast du eigentlich schon irgendetwas gefunden oder suchen wir noch?

Viele Grüße und noch einen schönen Abend.
Thomas

cosinus 04.04.2011 19:26
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Tomsax 05.04.2011 16:06
Vor dem ersten Log mal wieder eine Frage an dich. Wenn ich meinen PC starte oder einen Neustart durchführe, sehe ich jetzt immer für ca. eine Sekunde das Auswahlfenster, bei dem man u.a. "abgesicherten Modus" wählen könnte. Nach der Sekunde fährt der PC weiter normal hoch, bis zum Windows-Startbildschirm, der dann relativ lange (ca. 2 bis 4 Minuten) zu sehen ist, ehe es weiter geht und ich den Benutzer auswählen kann. Dieses Problem habe ich erst seid heute. Kann das mit den Scans und Tools zusammenhängen?

So nun aber der erste Log. Der zweite folgt nach dem nächsten Scan:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6276

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05.04.2011 16:58:10
mbam-log-2011-04-05 (16-58-10).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 234116
Laufzeit: 2 Stunde(n), 23 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus 05.04.2011 18:01
Zitat:
bei dem man u.a. "abgesicherten Modus" wählen könnte. Nach der Sekunde fährt der PC weiter normal hoch, bis zum Windows-Startbildschirm, der dann relativ lange (ca. 2 bis 4 Minuten) zu sehen ist,
Dasist nur eine Bootoption, CF hat die Wiederherstellungskonsole für WinXP mit installiert und damit man diese auswählen kann ist für wenige Sekunden ein Menü zu sehen. Warum das jetzt aber bis zu 4 Minuten dauert bis Windows bereit kann ich dir nicht sagen - wie lange war's denn vorher?

Tomsax 05.04.2011 20:19
Vielleicht ein viertel oder halb so lange. ... Na, wenn das normal ist, bin ich beruhigt. Mit der Wartezeit kann ich leben, wenn sonst wieder alles OK ist ;)



SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 04/05/2011 at 08:45 PM

Application Version : 4.50.1002

Core Rules Database Version : 6755
Trace Rules Database Version: 4567

Scan type : Complete Scan
Total Scan Time : 03:24:55

Memory items scanned : 449
Memory threats detected : 0
Registry items scanned : 6431
Registry threats detected : 0
File items scanned : 61267
File threats detected : 1

Trojan.Agent/Gen-ReLoader
D:\DRIVER\DRIVERINFODE.EXE

Tomsax 05.04.2011 20:32
Nochmal ich. Also ich habe etwas übertrieben. Ich habe jetzt mal die Zeit gestoppt. Der Windows-Startbildschirm ist genau 94 Sekunden zu sehen bevor ich die Benutzer auswählen kann. Aber es ist trotzdem in jedem Fall mehr als doppelt so lang wie vorher. Aber wie schon gesagt, wenn es hilft, dann soll es mir Recht sein und ich warte gerne ;)

cosinus 06.04.2011 08:12
Zitat:
Trojan.Agent/Gen-ReLoader
D:\DRIVER\DRIVERINFODE.EXE
Kennst du diese Datei?

Zitat:
Aber es ist trotzdem in jedem Fall mehr als doppelt so lang wie vorher.

Probier mal das => http://www.trojaner-board.de/71631-p...samer-tun.html

Tomsax 06.04.2011 09:43
Nein, die Datei sagt mir gar nichts. Sollte ich die kennen? Ich denke mal, das wird auch irgendwas schädliches sein. Aber ich habe ja keine Ahnung. Ich verlasse mich da auf dein Diagnoseprogramm. :)
Mich wundert nur, dass der Befall auf Laufwerk D: ist. Damit mache ich eigentlich nichts. Ich arbeite immer nur mit C: . Aber was sein kann, da ich schon früher mal auf dem Rechner ein Schädlingsproblem hatte und dann den Rechner formatiert habe, das ich das eben nur für Laufwerk C: getan habe und D: insoweit unberührt gelassen habe.

Übrigens, wenn dann habe ich eh schon einen Fehler gemacht. Denn das Programm hat mich gefragt, ob ich die Datei isolieren und löschen möchte oder so ähnlich. Da habe ich natürlich auf OK gedrückt, da ich dachte, das wäre normal. Ich hatte keine Ahnung, dass das Programm sich täuschen könnte.

Und danke für den Link. Den werde ich durcharbeiten, wenn du mir das OK gibst, dass mein Rechner wieder schädlingsfrei ist ;)

cosinus 06.04.2011 11:20
Zitat:
Aber ich habe ja keine Ahnung. Ich verlasse mich da auf dein Diagnoseprogramm.
Nur weil es "mein" Diagnoseprogramm ist, heißt das noch lange nicht, dass ich deine Ordnerstruktur auf D: kennen muss und ob du den Ordner D:\Driver selbst/gewollt angelegt hast oder nicht. Aber nungut, du kannst es nicht, also lösch es :pfeiff:

Tomsax 06.04.2011 11:49
Na du weißt doch sicher wie ich das meine ;) :P ... Ich würde schon nachfragen, wenn er was löschen wollen würde, dass ich kenne. Aber wenn mir was unbekannt ist, dann vertraue ich eben mal. Zumal ich eh nicht weiß, was du hier alles machst. Auch das ist insoweit ja blindes Vertrauen :)

Zu der gelöschten Datei. Wie schon vorhin geschrieben, aber vielleicht hast du es überlesen, da ich es editiert hatte, hat das Programm kurz nach Entdeckung die Sache gleich isoliert und gefragt, ob ich es löschen möchte, was ich auch tat. Mithin, ist es eh verschwunden gewesen ;)

Aber ich habe in dem Ordner nochmal geschaut. Da findet sich dann noch driverinfoNL.exe, driverinfoUK.exe und driverinfoFR.exe. Soll ich die einfach mal öffnen?

cosinus 06.04.2011 13:13
Lösch diesen ganzen Ordner mal, die sieht mir nicht ganz geheuer aus. Und brauchen tust du in ja auch nicht.

Tomsax 06.04.2011 13:36
Gut, ich habe die Dateien mit Eraser gerlöscht. Ich bin für den nächsten Schritt bereit ;)

cosinus 06.04.2011 14:29
Wir wären eigentlich durch wenn du keine weiteren neuen Funde oder Probleme noch offen hast.,


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:54 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19