Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Frage zu activex access trojaner (https://www.trojaner-board.de/41204-frage-activex-access-trojaner.html)

alexander72 23.07.2007 11:20
Frage zu activex access trojaner
 
XP Professional SP2 neuester Stand.

Habe über die Suche gefunden das in einem Programm Video ActiveX ein Trojaner enthalten ist.

Ich habe dieses Programm nicht heruntergeladen aber bei meinem letzten escan
tauchte die Meldung auf das "Video ActiveX access Trojaner" in Filesystem gefunden wurde ohne Pfadangabe. Desweiteren eine infected Datei IKernel32.exe
die allerdings 0 KB hat und somit auch nicht bei Virus Total hochgeladen werden kann.

Vorweg Entschuldigung das ich kein Logfile Poste werde es nachreichen.

Frage sind das eventuell nur übriggebliebene Signaturen oder schlicht weg eine falsche Virus Einschätzung von Escan.

Mobius07 23.07.2007 11:38
Ein HJT währe schon Vorteil. Stelle es bitte hier rein.
Video ActiveX access Trojaner deutet auf Zlob/Smidfraud hin, eine Bereinigung währe in diesem Fall nicht einfach.
Aber reiche bitte erst einmal Hijackthis nach (Eigenen Ordner erstellen, nicht im temp. Verzeichniss laufen lassen) und bennene die Hijackthis.exe in HJT.com oder so ähnlich um.
http://www.trojaner-board.de/17493-a...ijackthis.html (Bitte aktuelle HijackThis v2.0.2 Version downloaden)

alexander72 23.07.2007 18:00
so etwas spät aber hier ist das logfile.

Logfile of HijackThis v1.99.1
Scan saved at 18:45:34, on 23.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\TEMP\mexe.com
C:\Programme\AVS antispy\Hijais.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O1 - Hosts: 205.238.40.52 www.winmx.com err.winmx.com
O1 - Hosts: 205.238.40.1 cache0.winmx.com test3201.winmx.com test3205.winmx.com
O1 - Hosts: 205.238.40.2 cache1.winmx.com test3202.winmx.com test3206.winmx.com
O1 - Hosts: 82.43.224.20 cache2.winmx.com test3203.winmx.com test3207.winmx.com
O1 - Hosts: 82.204.21.111 cache3.winmx.com test3204.winmx.com test3208.winmx.com
O1 - Hosts: 205.238.40.1 c3310.z1301.winmx.com c3310.z1302.winmx.com c3310.z1303.winmx.com c3310.z1304.winmx.com c3310.z1305.winmx.com c3310.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3311.z1301.winmx.com c3311.z1302.winmx.com c3311.z1303.winmx.com c3311.z1304.winmx.com c3311.z1305.winmx.com c3311.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3312.z1301.winmx.com c3312.z1302.winmx.com c3312.z1303.winmx.com c3312.z1304.winmx.com c3312.z1305.winmx.com c3312.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3313.z1301.winmx.com c3313.z1302.winmx.com c3313.z1303.winmx.com c3313.z1304.winmx.com c3313.z1305.winmx.com c3313.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3314.z1301.winmx.com c3314.z1302.winmx.com c3314.z1303.winmx.com c3314.z1304.winmx.com c3314.z1305.winmx.com c3314.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3315.z1301.winmx.com c3315.z1302.winmx.com c3315.z1303.winmx.com c3315.z1304.winmx.com c3315.z1305.winmx.com c3315.z1306.winmx.com
O1 - Hosts: 82.43.224.20 c3316.z1301.winmx.com c3316.z1302.winmx.com c3316.z1303.winmx.com c3316.z1304.winmx.com c3316.z1305.winmx.com c3316.z1306.winmx.com
O1 - Hosts: 82.43.224.20 c3317.z1301.winmx.com c3317.z1302.winmx.com c3317.z1303.winmx.com c3317.z1304.winmx.com c3317.z1305.winmx.com c3317.z1306.winmx.com
O1 - Hosts: 82.204.21.111 c3318.z1301.winmx.com c3318.z1302.winmx.com c3318.z1303.winmx.com c3318.z1304.winmx.com c3318.z1305.winmx.com c3318.z1306.winmx.com
O1 - Hosts: 82.204.21.111 c3319.z1301.winmx.com c3319.z1302.winmx.com c3319.z1303.winmx.com c3319.z1304.winmx.com c3319.z1305.winmx.com c3319.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3520.z1301.winmx.com c3520.z1302.winmx.com c3520.z1303.winmx.com c3520.z1304.winmx.com c3520.z1305.winmx.com c3520.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3521.z1301.winmx.com c3521.z1302.winmx.com c3521.z1303.winmx.com c3521.z1304.winmx.com c3521.z1305.winmx.com c3521.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3522.z1301.winmx.com c3522.z1302.winmx.com c3522.z1303.winmx.com c3522.z1304.winmx.com c3522.z1305.winmx.com c3522.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3523.z1301.winmx.com c3523.z1302.winmx.com c3523.z1303.winmx.com c3523.z1304.winmx.com c3523.z1305.winmx.com c3523.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3524.z1301.winmx.com c3524.z1302.winmx.com c3524.z1303.winmx.com c3524.z1304.winmx.com c3524.z1305.winmx.com c3524.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3525.z1301.winmx.com c3525.z1302.winmx.com c3525.z1303.winmx.com c3525.z1304.winmx.com c3525.z1305.winmx.com c3525.z1306.winmx.com
O1 - Hosts: 82.43.224.20 c3526.z1301.winmx.com c3526.z1302.winmx.com c3526.z1303.winmx.com c3526.z1304.winmx.com c3526.z1305.winmx.com c3526.z1306.winmx.com
O1 - Hosts: 82.43.224.20 c3527.z1301.winmx.com c3527.z1302.winmx.com c3527.z1303.winmx.com c3527.z1304.winmx.com c3527.z1305.winmx.com c3527.z1306.winmx.com
O1 - Hosts: 82.204.21.111 c3528.z1301.winmx.com c3528.z1302.winmx.com c3528.z1303.winmx.com c3528.z1304.winmx.com c3528.z1305.winmx.com c3528.z1306.winmx.com
O1 - Hosts: 82.204.21.111 c3529.z1301.winmx.com c3529.z1302.winmx.com c3529.z1303.winmx.com c3529.z1304.winmx.com c3529.z1305.winmx.com c3529.z1306.winmx.com
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zonealarm\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKCU\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll"
O4 - HKCU\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\pokerstars\PokerStarsUpdate.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Sunny 23.07.2007 18:52
Ich bin zwar nicht Mobius, aber ich handle mal in seinem Sinn. ;)


Fixe mit HijackThis folgende Einträge:
(DO a System Scan -> Einträge anhaken -> Fix checked)

Zitat:
O1 - Hosts: 205.238.40.52 www.winmx.com err.winmx.com
O1 - Hosts: 205.238.40.1 cache0.winmx.com test3201.winmx.com test3205.winmx.com
O1 - Hosts: 205.238.40.2 cache1.winmx.com test3202.winmx.com test3206.winmx.com
O1 - Hosts: 82.43.224.20 cache2.winmx.com test3203.winmx.com test3207.winmx.com
O1 - Hosts: 82.204.21.111 cache3.winmx.com test3204.winmx.com test3208.winmx.com
O1 - Hosts: 205.238.40.1 c3310.z1301.winmx.com c3310.z1302.winmx.com c3310.z1303.winmx.com c3310.z1304.winmx.com c3310.z1305.winmx.com c3310.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3311.z1301.winmx.com c3311.z1302.winmx.com c3311.z1303.winmx.com c3311.z1304.winmx.com c3311.z1305.winmx.com c3311.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3312.z1301.winmx.com c3312.z1302.winmx.com c3312.z1303.winmx.com c3312.z1304.winmx.com c3312.z1305.winmx.com c3312.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3313.z1301.winmx.com c3313.z1302.winmx.com c3313.z1303.winmx.com c3313.z1304.winmx.com c3313.z1305.winmx.com c3313.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3314.z1301.winmx.com c3314.z1302.winmx.com c3314.z1303.winmx.com c3314.z1304.winmx.com c3314.z1305.winmx.com c3314.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3315.z1301.winmx.com c3315.z1302.winmx.com c3315.z1303.winmx.com c3315.z1304.winmx.com c3315.z1305.winmx.com c3315.z1306.winmx.com
O1 - Hosts: 82.43.224.20 c3316.z1301.winmx.com c3316.z1302.winmx.com c3316.z1303.winmx.com c3316.z1304.winmx.com c3316.z1305.winmx.com c3316.z1306.winmx.com
O1 - Hosts: 82.43.224.20 c3317.z1301.winmx.com c3317.z1302.winmx.com c3317.z1303.winmx.com c3317.z1304.winmx.com c3317.z1305.winmx.com c3317.z1306.winmx.com
O1 - Hosts: 82.204.21.111 c3318.z1301.winmx.com c3318.z1302.winmx.com c3318.z1303.winmx.com c3318.z1304.winmx.com c3318.z1305.winmx.com c3318.z1306.winmx.com
O1 - Hosts: 82.204.21.111 c3319.z1301.winmx.com c3319.z1302.winmx.com c3319.z1303.winmx.com c3319.z1304.winmx.com c3319.z1305.winmx.com c3319.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3520.z1301.winmx.com c3520.z1302.winmx.com c3520.z1303.winmx.com c3520.z1304.winmx.com c3520.z1305.winmx.com c3520.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3521.z1301.winmx.com c3521.z1302.winmx.com c3521.z1303.winmx.com c3521.z1304.winmx.com c3521.z1305.winmx.com c3521.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3522.z1301.winmx.com c3522.z1302.winmx.com c3522.z1303.winmx.com c3522.z1304.winmx.com c3522.z1305.winmx.com c3522.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3523.z1301.winmx.com c3523.z1302.winmx.com c3523.z1303.winmx.com c3523.z1304.winmx.com c3523.z1305.winmx.com c3523.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3524.z1301.winmx.com c3524.z1302.winmx.com c3524.z1303.winmx.com c3524.z1304.winmx.com c3524.z1305.winmx.com c3524.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3525.z1301.winmx.com c3525.z1302.winmx.com c3525.z1303.winmx.com c3525.z1304.winmx.com c3525.z1305.winmx.com c3525.z1306.winmx.com
O1 - Hosts: 82.43.224.20 c3526.z1301.winmx.com c3526.z1302.winmx.com c3526.z1303.winmx.com c3526.z1304.winmx.com c3526.z1305.winmx.com c3526.z1306.winmx.com
O1 - Hosts: 82.43.224.20 c3527.z1301.winmx.com c3527.z1302.winmx.com c3527.z1303.winmx.com c3527.z1304.winmx.com c3527.z1305.winmx.com c3527.z1306.winmx.com
O1 - Hosts: 82.204.21.111 c3528.z1301.winmx.com c3528.z1302.winmx.com c3528.z1303.winmx.com c3528.z1304.winmx.com c3528.z1305.winmx.com c3528.z1306.winmx.com
O1 - Hosts: 82.204.21.111 c3529.z1301.winmx.com c3529.z1302.winmx.com c3529.z1303.winmx.com c3529.z1304.winmx.com c3529.z1305.winmx.com c3529.z1306.winmx.com
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKCU\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll"

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://virus-protect.org/artikel/bilder/avanger.png

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Zitat:
Files to delete:
c:\windows\System32\syssetub.dll
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

http://virus-protect.org/artikel/bilder/avenger4.png

4.) Danach das System unverzüglich neu starten lassen
5.) Lass HijackThis nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.


Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 1)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans


Gruß
Sunny

Gruß
Sunny

alexander72 23.07.2007 19:08
hallo sunny vielen dank für deine antwort die hijack fixes habe ich gemacht
aber mit avenger geht das leider nicht bekommen mehere fehler meldungen script fehler error code 0

alexander72 23.07.2007 19:11
hier das smidfraud log

SmitFraudFix v2.206

Scan done at 20:10:25,26, 23.07.2007
Run from C:\Programme\AVS antispy\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zonealarm\ZoneAlarm\zlclient.exe
C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\david


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\david\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\david\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 213.191.92.84
DNS Server Search Order: 213.191.74.12

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F8CF82B9-D7C3-4D4C-9678-B9A9AC28BE86}: NameServer=213.191.92.84 213.191.74.12
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F8CF82B9-D7C3-4D4C-9678-B9A9AC28BE86}: NameServer=213.191.92.84 213.191.74.12


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

alexander72 23.07.2007 19:33
und hijack log - wie gesagt avenger geht nicht also auch kein log möglich


Logfile of HijackThis v1.99.1
Scan saved at 20:29:56, on 23.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zonealarm\ZoneAlarm\zlclient.exe
C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\imapi.exe
C:\Programme\AVS antispy\Hijais.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zonealarm\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\pokerstars\PokerStarsUpdate.exe
O9 - Extra button: Poker.com - {6FDD5236-C9F0-49ef-935D-385F5E21991A} - C:\Programme\Poker.com\Poker.exe (HKCU)
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Sunny 23.07.2007 19:34
Zitat:
Zitat von alexander72 (Beitrag 281914)
hallo sunny vielen dank für deine antwort die hijack fixes habe ich gemacht
aber mit avenger geht das leider nicht bekommen mehere fehler meldungen script fehler error code 0

Versuch mal die Datei zu überprüfen:



Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)
Zitat:
c:\windows\System32\syssetub.dll
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)


Gruß
Sunny

alexander72 23.07.2007 19:36
habe nach syssetub.dll gesucht keine dateien gefunden

KORREKTUR habe sie manuel gefunden sorry ging nicht über die windows suche :
ergebniss kommt in wenigen sekunden
ile syssetup.dll received on 07.23.2007 20:39:23 (CET)


Antivirus Version Last Update Result
AhnLab-V3 2007.7.24.0 2007.07.23 no virus found
AntiVir 7.4.0.44 2007.07.23 no virus found
Authentium 4.93.8 2007.07.23 no virus found
Avast 4.7.997.0 2007.07.23 no virus found
AVG 7.5.0.476 2007.07.22 no virus found
BitDefender 7.2 2007.07.23 no virus found
CAT-QuickHeal 9.00 2007.07.23 no virus found
ClamAV devel-20070416 2007.07.23 no virus found
DrWeb 4.33 2007.07.23 no virus found
eSafe 7.0.15.0 2007.07.23 no virus found
eTrust-Vet 31.1.5002 2007.07.23 no virus found
Ewido 4.0 2007.07.23 no virus found
FileAdvisor 1 2007.07.23 no virus found
Fortinet 2.91.0.0 2007.07.23 no virus found
F-Prot 4.3.2.48 2007.07.20 no virus found
F-Secure 6.70.13030.0 2007.07.23 no virus found
Ikarus T3.1.1.8 2007.07.23 no virus found
Kaspersky 4.0.2.24 2007.07.23 no virus found
McAfee 5080 2007.07.23 no virus found
Microsoft 1.2704 2007.07.23 no virus found
NOD32v2 2415 2007.07.23 no virus found
Norman 5.80.02 2007.07.23 no virus found
Panda 9.0.0.4 2007.07.23 no virus found
Sophos 4.19.0 2007.07.17 no virus found
Sunbelt 2.2.907.0 2007.07.21 no virus found
Symantec 10 2007.07.23 no virus found
TheHacker 6.1.7.152 2007.07.23 no virus found
VBA32 3.12.2.1 2007.07.23 no virus found
VirusBuster 4.3.26:9 2007.07.23 no virus found
Webwasher-Gateway 6.0.1 2007.07.23 no virus found
Additional information
File size: 998912 bytes
MD5: d70e57f2d7bd5bd0d06964ca8e2704d2
SHA1: 927aca4225fcd434f102231b64a70f81ff05cbb3

Arion 23.07.2007 20:00
Hallo,

Bist du dir sicher, dass du die richtige Datei bei Virustotal hochgeladen hast? :)
Ich sehe in Sunnys Post eine "syssetub.dll", doch du hast bei Virustotal eine "syssetup.dll" hochgeladen.
Nur ne kleine Anmerkung. ^^

MFG,
Arion

alexander72 23.07.2007 20:05
Zitat:
Zitat von Arion (Beitrag 281943)
Hallo,

Bist du dir sicher, dass du die richtige Datei bei Virustotal hochgeladen hast? :)
Ich sehe in Sunnys Post eine "syssetub.dll", doch du hast bei Virustotal eine "syssetup.dll" hochgeladen.
Nur ne kleine Anmerkung. ^^

MFG,
Arion
mmm lach mist bin ich selber reingefallen sowas passiert schon mal im eifer des gefechts - naja dann bleibt es bei meiner ersten aussage ich finde die datei nicht

Sunny 23.07.2007 20:12
@Arion

Danke :daumenhoc Das ist mir selbst auch nicht aufgefallen! ;)

@alexander

Geh mal auf die Seite von Virustotal, und kopiere einfach in das weiße Feld diesen Dateipfad:

Zitat:
c:\windows\System32\syssetub.dll
Ist nur ein Versuch, aber vielleicht funktioniert es ja so. ;)
Ansonsten hat der Avenger vielleicht doch die Datei noch gelöscht, wenn du mal den Report posten würdest, weiß ich es. ;)

Ansonsten solllte dein System wieder clean sein, sofern von deiner Seite keine Probleme mehr bestehen.

Sunny

alexander72 23.07.2007 20:17
clean hört sich immer gut an waren den die 2 meldungen von escan nur gohst medungen?

"activex access tojaner" in filesystem found
und corrupted exe file in Ikernel32.exe

ps bei virustotal geht das nicht
avenger log :
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: selected file does not appear to be a valid script.
Error code: 0

Sunny 23.07.2007 20:21
Zitat:
Zitat von alexander72 (Beitrag 281952)
clean hört sich immer gut an waren den die 2 meldungen von escan nur gohst medungen?

Meiner Ansicht nach hat Smitfraudfix diese Activex-Spyware schon gelöscht. ;)

Kannst aber gerne nochmal eScan laufen lassen:


MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.

Gruß :daumenhoc
Sunny

alexander72 23.07.2007 20:41
naja geht so resultat sieht so aus :
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.3.4
Sprache: English
Virus Database date: 7/20/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with video activex access Trojan ({7E853D72-626A-48EC-A868-BA8D5E23E045})! Action taken: No Action Taken.
System found infected with Trojan-Downloader.BAT.Ftp.ab Trojan-Downloader (swsc.exe)! Action taken: No Action Taken.
System found infected with Trojan-Downloader.BAT.Ftp.ab Trojan-Downloader (swreg.exe)! Action taken: No Action Taken.
System found infected with Trojan-Downloader.BAT.Ftp.ab Trojan-Downloader (process.exe)! Action taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
File C:\Programme\Gemeinsame Dateien\InstallShield\engine\6\Intel 32\iKernel.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\process.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Total Critical Objects: 5
Total Disinfected Objects: 0
Total Objects Renamed: 0
Total Deleted Objects: 0
Total Errors: 2
Time Elapsed: 00:03:56
Total Objects Scanned: 36062
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Memory Check: Enabled
Registry Check: Enabled
System Folder Check: Enabled
System Area Check: Disabled
Services Check: Enabled
Drive Check: Disabled
All Drive Check :Enabled
All Drive Check :Enabled

Batchstart: 21:39:17,70
Batchende: 21:39:33,03

Sunny 23.07.2007 20:45

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)
Zitat:
C:\Programme\Gemeinsame Dateien\InstallShield\engine\6\Intel 32\iKernel.exe
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)



Datenträgerbereinigung

Zum Starten des Dienstprogramms Datenträgerbereinigung klicke auf Start -> Programme -> Zubehör -> Systemprogramme und klicken anschließend auf Datenträgerbereinigung.
Lass die Partition bereinigen, auf dem dein Betriebssystem installiert ist!
(wird normalerweise automatisch erkannt!)


ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

alexander72 23.07.2007 20:58
also noch mal geballte ladung sunny :

1. ikernel geht nicht bei virustotal weil 0 kb

2. habe die anderen von escan gefundenen dateien gescannt :
2.1 :
File swsc.exe received on 07.23.2007 21:43:31 (CET)

Antivirus Version Last Update Result
AhnLab-V3 2007.7.24.0 2007.07.23 no virus found
AntiVir 7.4.0.44 2007.07.23 no virus found
Authentium 4.93.8 2007.07.23 no virus found
Avast 4.7.997.0 2007.07.23 no virus found
AVG 7.5.0.476 2007.07.22 no virus found
BitDefender 7.2 2007.07.23 no virus found
CAT-QuickHeal 9.00 2007.07.23 no virus found
ClamAV devel-20070416 2007.07.23 no virus found
DrWeb 4.33 2007.07.23 no virus found
eSafe 7.0.15.0 2007.07.23 suspicious Trojan/Worm
eTrust-Vet 31.1.5002 2007.07.23 no virus found
Ewido 4.0 2007.07.23 no virus found
FileAdvisor 1 2007.07.23 Low threat detected
Fortinet 2.91.0.0 2007.07.23 no virus found
F-Prot 4.3.2.48 2007.07.20 no virus found
F-Secure 6.70.13030.0 2007.07.23 no virus found
Ikarus T3.1.1.8 2007.07.23 no virus found
Kaspersky 4.0.2.24 2007.07.23 no virus found
McAfee 5080 2007.07.23 no virus found
Microsoft 1.2704 2007.07.23 no virus found
NOD32v2 2415 2007.07.23 no virus found
Norman 5.80.02 2007.07.23 no virus found
Panda 9.0.0.4 2007.07.23 no virus found
Sophos 4.19.0 2007.07.17 no virus found
Sunbelt 2.2.907.0 2007.07.21 no virus found
Symantec 10 2007.07.23 no virus found
TheHacker 6.1.7.152 2007.07.23 no virus found
VBA32 3.12.2.1 2007.07.23 no virus found
VirusBuster 4.3.26:9 2007.07.23 no virus found
Webwasher-Gateway 6.0.1 2007.07.23 no virus found

2.2.
ile Process.exe received on 07.23.2007 21:47:11 (CET)


Antivirus Version Last Update Result
AhnLab-V3 2007.7.24.0 2007.07.23 Win-AppCare/PrcViewer.53248
AntiVir 7.4.0.44 2007.07.23 no virus found
Authentium 4.93.8 2007.07.23 no virus found
Avast 4.7.997.0 2007.07.23 no virus found
AVG 7.5.0.476 2007.07.22 no virus found
BitDefender 7.2 2007.07.23 no virus found
CAT-QuickHeal 9.00 2007.07.23 no virus found
ClamAV devel-20070416 2007.07.23 no virus found
DrWeb 4.33 2007.07.23 no virus found
eSafe 7.0.15.0 2007.07.23 no virus found
eTrust-Vet 31.1.5002 2007.07.23 no virus found
Ewido 4.0 2007.07.23 no virus found
FileAdvisor 1 2007.07.23 no virus found
Fortinet 2.91.0.0 2007.07.23 Misc/PrcViewer
F-Prot 4.3.2.48 2007.07.20 no virus found
F-Secure 6.70.13030.0 2007.07.23 no virus found
Ikarus T3.1.1.8 2007.07.23 no virus found
Kaspersky 4.0.2.24 2007.07.23 no virus found
McAfee 5080 2007.07.23 potentially unwanted program PrcViewer
Microsoft 1.2704 2007.07.23 no virus found
NOD32v2 2415 2007.07.23 Win32/PrcView
Norman 5.80.02 2007.07.23 no virus found
Panda 9.0.0.4 2007.07.23 Application/Processor
Sophos 4.19.0 2007.07.17 no virus found
Sunbelt 2.2.907.0 2007.07.21 no virus found
Symantec 10 2007.07.23 no virus found
TheHacker 6.1.7.152 2007.07.23 Aplicacion/Processor.20
VBA32 3.12.2.1 2007.07.23 no virus found
VirusBuster 4.3.26:9 2007.07.23 no virus found
Webwasher-Gateway 6.0.1 2007.07.23 no virus

2.3
ile swreg.exe received on 07.23.2007 21:46:22 (CET)


Antivirus Version Last Update Result
AhnLab-V3 2007.7.24.0 2007.07.23 no virus found
AntiVir 7.4.0.44 2007.07.23 no virus found
Authentium 4.93.8 2007.07.23 could be a corrupted executable file
Avast 4.7.997.0 2007.07.23 no virus found
AVG 7.5.0.476 2007.07.22 no virus found
BitDefender 7.2 2007.07.23 no virus found
CAT-QuickHeal 9.00 2007.07.23 no virus found
ClamAV devel-20070416 2007.07.23 no virus found
DrWeb 4.33 2007.07.23 no virus found
eSafe 7.0.15.0 2007.07.23 suspicious Trojan/Worm
eTrust-Vet 31.1.5002 2007.07.23 no virus found
Ewido 4.0 2007.07.23 no virus found
FileAdvisor 1 2007.07.23 High threat detected
Fortinet 2.91.0.0 2007.07.23 no virus found
F-Prot 4.3.2.48 2007.07.20 no virus found
F-Secure 6.70.13030.0 2007.07.23 no virus found
Ikarus T3.1.1.8 2007.07.23 no virus found
Kaspersky 4.0.2.24 2007.07.23 no virus found
McAfee 5080 2007.07.23 no virus found
Microsoft 1.2704 2007.07.23 no virus found
NOD32v2 2415 2007.07.23 no virus found
Norman 5.80.02 2007.07.23 no virus found
Panda 9.0.0.4 2007.07.23 Suspicious file
Sophos 4.19.0 2007.07.17 no virus found
Sunbelt 2.2.907.0 2007.07.21 no virus found
Symantec 10 2007.07.23 no virus found
TheHacker 6.1.7.152 2007.07.23 no virus found
VBA32 3.12.2.1 2007.07.23 no virus found
VirusBuster 4.3.26:9 2007.07.23 no virus found
Webwasher-Gateway 6.0.1 2007.07.23 no virus found
3. combofix log :

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com


((((((((((((((((((((((((( Files Created from 2007-06-23 to 2007-07-23 )))))))))))))))))))))))))))))))


2007-07-23 21:50 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-23 20:22 524,288 --ah----- C:\DOKUME~1\ADMINI~1.DAV\NTUSER.DAT
2007-07-23 20:22 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1.DAV\Anwendungsdaten
2007-07-23 20:22 <DIR> dr------- C:\DOKUME~1\ADMINI~1.DAV\Startmen
2007-07-23 20:22 <DIR> d--h----- C:\DOKUME~1\ADMINI~1.DAV\Vorlagen
2007-07-23 20:22 <DIR> d--h----- C:\DOKUME~1\ADMINI~1.DAV\Netzwerkumgebung
2007-07-23 20:22 <DIR> d--h----- C:\DOKUME~1\ADMINI~1.DAV\Lokale Einstellungen
2007-07-23 20:22 <DIR> d--h----- C:\DOKUME~1\ADMINI~1.DAV\Druckumgebung
2007-07-23 20:22 <DIR> d-------- C:\DOKUME~1\ADMINI~1.DAV\Favoriten
2007-07-23 20:10 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-07-23 20:10 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-07-23 20:10 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-07-23 20:10 1,736 --a------ C:\WINDOWS\system32\tmp.reg
2007-07-23 18:44 524,288 --ah----- C:\DOKUME~1\ADMINI~1\NTUSER.DAT
2007-07-23 18:44 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten
2007-07-23 18:44 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen
2007-07-23 18:44 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Vorlagen
2007-07-23 18:44 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung
2007-07-23 18:44 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen
2007-07-23 18:44 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung
2007-07-23 18:44 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Favoriten
2007-07-22 17:18 12,800 --a------ C:\WINDOWS\system32\Wing32.dll
2007-07-17 12:29 <DIR> d-------- C:\Programme\MXpie Patch
2007-07-17 12:26 <DIR> d-------- C:\Programme\winmx
2007-07-10 18:03 <DIR> d-------- C:\DOKUME~1\Konto2\ANWEND~1\teamspeak2
2007-07-10 18:01 <DIR> d-------- C:\Programme\Teamspeak2_RC2
2007-07-09 20:03 <DIR> d-------- C:\DOKUME~1\Konto2\ANWEND~1\Creative
2007-07-09 17:25 <DIR> d-------- C:\DOKUME~1\Konto2\ANWEND~1\MAGIX
2007-07-09 17:23 82,432 --a------ C:\WINDOWS\system32\msxml4r.dll
2007-07-09 17:23 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2007-07-09 17:23 1,233,920 --a------ C:\WINDOWS\system32\msxml4.dll
2007-07-09 17:23 <DIR> d-------- C:\DOKUME~1\david\ANWEND~1\MAGIX
2007-07-09 17:23 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\MAGIX
2007-07-09 17:22 94,208 --a------ C:\WINDOWS\system32\DLLCPY32.dll
2007-07-09 17:22 85,504 --a------ C:\WINDOWS\system32\HtmlWH.dll
2007-07-09 17:22 65,536 --a------ C:\WINDOWS\system32\DLLPTL32.dll
2007-07-09 17:22 61,440 --a------ C:\WINDOWS\system32\DLLCDF32.dll
2007-07-09 17:22 57,344 --a------ C:\WINDOWS\system32\DLLTPO32.dll
2007-07-09 17:22 53,248 --a------ C:\WINDOWS\system32\DLLPRJ32.dll
2007-07-09 17:22 503,808 --a------ C:\WINDOWS\system32\mgxoschk.dll
2007-07-09 17:22 49,152 --a------ C:\WINDOWS\system32\INETWH32.dll
2007-07-09 17:22 49,152 --a------ C:\WINDOWS\system32\DLLPRF32.dll
2007-07-09 17:22 49,152 --a------ C:\WINDOWS\system32\DLLIO32.dll
2007-07-09 17:22 462,848 --a------ C:\WINDOWS\system32\DLLAV32.dll
2007-07-09 17:22 45,056 --a------ C:\WINDOWS\system32\DLLIMG32.dll
2007-07-09 17:22 430,080 --a------ C:\WINDOWS\system32\MXRestore.exe
2007-07-09 17:22 40,960 --a------ C:\WINDOWS\system32\DLLRD32.dll
2007-07-09 17:22 36,864 --a------ C:\WINDOWS\system32\DLLPNT32.dll
2007-07-09 17:22 32,768 --a------ C:\WINDOWS\system32\STRING32.dll
2007-07-09 17:22 32,768 --a------ C:\WINDOWS\system32\DLLMSC32.dll
2007-07-09 17:22 32,768 --a------ C:\WINDOWS\system32\DLLISO32.dll
2007-07-09 17:22 32,768 --a------ C:\WINDOWS\system32\DLLDIR32.dll
2007-07-09 17:22 24,576 --a------ C:\WINDOWS\system32\TTIC32.dll
2007-07-09 17:22 24,576 --a------ C:\WINDOWS\system32\TTI32.dll
2007-07-09 17:22 24,576 --a------ C:\WINDOWS\system32\DLLIX.dll
2007-07-09 17:22 188,416 --a------ C:\WINDOWS\system32\DLLRES32.dll
2007-07-09 17:22 163,840 --a------ C:\WINDOWS\system32\DLLDEV32.dll
2007-07-09 17:22 151,552 --a------ C:\WINDOWS\system32\DLLDRV32.dll
2007-07-09 17:22 114,688 --a------ C:\WINDOWS\system32\DLLCDA32.dll
2007-07-09 17:22 1,089,536 --a------ C:\WINDOWS\system32\ROBOEX32.DLL
2007-07-09 17:22 <DIR> d-------- C:\WINDOWS\system32\MAGIX
2007-07-09 17:22 <DIR> d-------- C:\Programme\Gemeinsame Dateien\MAGIX Shared
2007-07-09 17:18 <DIR> d-------- C:\Programme\isobuster
2007-07-09 17:15 <DIR> d-------- C:\Programme\Magix
2007-07-09 15:27 330,336 --a------ C:\WINDOWS\COUn.EXE
2007-07-09 15:25 <DIR> d-------- C:\Programme\DFš
2007-07-09 13:02 <DIR> d-------- C:\Programme\windows rechte
2007-07-08 15:56 <DIR> d-------- C:\DOKUME~1\Konto2\ANWEND~1\Media Player Classic
2007-07-08 15:56 <DIR> d-------- C:\DOKUME~1\Konto2\ANWEND~1\DivX
2007-07-08 14:46 <DIR> d-------- C:\Programme\Ashampoo
2007-07-08 14:35 <DIR> d-------- C:\Programme\ccleaner
2007-07-04 21:23 <DIR> d-------- C:\DOKUME~1\david\ANWEND~1\Media Player Classic
2007-07-04 20:08 <DIR> d-------- C:\bases_x
2007-07-04 19:46 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-07-04 19:46 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-07-04 19:46 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-07-04 19:46 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-07-04 19:46 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-07-04 19:46 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-07-04 19:22 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2007-07-04 19:18 <DIR> d-------- C:\WINDOWS\system32\appmgmt
2007-07-04 18:53 1,140 --a------ C:\WINDOWS\mozver.dat
2007-07-04 18:46 <DIR> d-------- C:\DOKUME~1\Konto2\Contacts
2007-07-04 18:43 <DIR> dr------- C:\DOKUME~1\Konto2\Eigene Dateien
2007-07-04 18:42 2,621,440 --ah----- C:\DOKUME~1\Konto2\NTUSER.DAT
2007-07-04 18:42 <DIR> dr-h----- C:\DOKUME~1\Konto2\Anwendungsdaten
2007-07-04 18:42 <DIR> dr------- C:\DOKUME~1\Konto2\Startmen
2007-07-04 18:42 <DIR> dr------- C:\DOKUME~1\Konto2\Favoriten
2007-07-04 18:42 <DIR> d--h----- C:\DOKUME~1\Konto2\Vorlagen
2007-07-04 18:42 <DIR> d--h----- C:\DOKUME~1\Konto2\Netzwerkumgebung
2007-07-04 18:42 <DIR> d--h----- C:\DOKUME~1\Konto2\Lokale Einstellungen
2007-07-04 18:42 <DIR> d--h----- C:\DOKUME~1\Konto2\Druckumgebung
2007-07-04 18:39 <DIR> d-------- C:\Programme\Microsoft CAPICOM 2.1.0.2
2007-07-04 18:37 <DIR> d-------- C:\WINDOWS\network diagnostic
2007-07-04 18:36 28,672 --------- C:\WINDOWS\system32\verclsid.exe
2007-07-04 18:36 <DIR> d-------- C:\WINDOWS\system32\DllCache
2007-07-04 18:34 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2007-07-03 21:19 <DIR> d-------- C:\Programme\xp-AntiSpy
2007-07-03 21:16 153,600 --a------ C:\WINDOWS\R.COM
2007-07-03 21:16 140,800 --a------ C:\WINDOWS\system32\T.COM


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-09 13:27:08 -------- d-----w C:\Programme\DFÜ
2007-07-03 16:18:34 63,778 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-07-03 16:18:34 391,330 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2007-04-19 13:26 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2007-04-19 13:26 C:\WINDOWS\system32\nvmctray.dll]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35]
"ZoneAlarm Client"="C:\Programme\Zonealarm\ZoneAlarm\zlclient.exe" [2007-03-09 00:02]
"CTSysVol"="C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe" [2005-02-15 16:10]
"CTHelper"="CTHELPER.EXE" [2005-06-18 08:01 C:\WINDOWS\CTHELPER.EXE]
"DiskeeperSystray"="C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe" [2005-12-15 02:27]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2001-03-28 12:00]
"SpybotSD TeaTimer"="C:\Programme\Spybot\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"nlsf"=cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll"
"tscuninstall"=%systemroot%\system32\tscupgrd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoInstrumentation"=1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoInternetIcon"=1 (0x1)
"NoInstrumentation"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Creative Detector]
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"C:\Programme\MSN Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg]
C:\WINDOWS\UpdReg.EXE

R0 speedfan;speedfan;C:\WINDOWS\system32\speedfan.sys
R0 srescan;srescan;C:\WINDOWS\system32\ZoneLabs\srescan.sys
R1 avgio;avgio;\??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys
R1 avipbb;avipbb;C:\WINDOWS\system32\DRIVERS\avipbb.sys
R1 ssmdrv;ssmdrv;C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
R3 avgntflt;avgntflt;\??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys
R3 hap17v2k;Creative P17V HAL Driver;C:\WINDOWS\system32\drivers\hap17v2k.sys
R3 MTsensor;ATK0110 ACPI UTILITY;C:\WINDOWS\system32\DRIVERS\ASACPI.sys
S3 Asushwio;Asushwio;\??\C:\WINDOWS\system32\drivers\Asushwio.sys


**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-23 21:50:52
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-23 21:51:06
C:\ComboFix-quarantined-files.txt ... 2007-07-23 21:51

--- E O F ---


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:33 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131