Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Habe Win32:Agent-LTS und Trojan-gen {Other} (https://www.trojaner-board.de/44815-habe-win32-agent-lts-trojan-gen-other.html)

RolandMetz 19.10.2007 12:49
Habe Win32:Agent-LTS und Trojan-gen {Other}
 
Hallo,
ich habe seit gestern nachmittag ein problem mit meinem rachner/ laoptop. Mein avast! bringt dauernd die Meldung:
"Ein Virus wurde gefunden":
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ac8zt2\main_uninstaller.exe
Win32:Trojan-gen {Other}

Das zieht sich dann durch mehrere Dateien:
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ac8zt2\msmdev.dll
Win32:Agent-LTS [Trj]

C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ac8zt2\nsduo.dll
Win32:Trojan-gen {Other}

C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ac8zt2\rmv.exe
Win32:Trojan-gen {Other}

Klicke ich jeweils auf Löschen, dann scheint alles zu gehen. Bis dann einige Minuten später erneut die Meldung kommt.

Was ist das?
Und vor allem wie kriege ich das Weg?

Vielen Dank

undoreal 19.10.2007 12:53
Hallo Roland.

Folge bitte nachstehender Anleitung:


-Deaktiviere die Systemwiederherstellung auf allen Laufwerken.

-Deinstalliere Java über die Systemsteuerung.

-Lasse Silentrunners laufen und poste die logFiles..


-Folge dieser Anleitung.

-Run Combofix. Poste den erscheinenden Text.

-Durchsuche mit Lavasoft und Spybot-S&D sowie deinem AV-Prog (alle drei mit aktuellen Signaturen!) dein System jeweils 2x. Erst im normalen und dann im abgesicherten Modus (F8 beim Hochfahren).

-Räume mit cCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen).

-Poste ein frisches Hijackthis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).

-Danach machst du einen eScan nach Anleitung in meiner Signatur und postest das log.


RolandMetz 19.10.2007 13:18
Hi

Habe alles mit Java deinstalliert und das ist das Ergebnis von Silent Runners

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"" ["Nero AG"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ISBMgr.exe" = "C:\Programme\Sony\ISB Utility\ISBMgr.exe" ["Sony Corporation"]
"SonyPowerCfg" = "C:\Programme\Sony\VAIO Power Management\SPMgr.exe" ["Sony Corporation"]
"VirtualCloneDrive" = ""C:\Programme\Tools\VirtualCloneDrive\VCDDaemon.exe" /s" ["Elaborate Bytes AG"]
"Outpost Firewall" = "C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice" ["Agnitum Ltd."]
"NotebookHardwareControl" = ""C:\Programme\Tools\Notebook Hardware Control\nhc.exe" -quiet" [null data]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"Apoint" = "C:\Programme\Apoint\Apoint.exe" ["Alps Electric Co., Ltd."]
"Logitech Hardware Abstraction Layer" = "KHALMNPR.EXE" ["Logitech Inc."]
"Kernel and Hardware Abstraction Layer" = "KHALMNPR.EXE" ["Logitech Inc."]
"IgfxTray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"]
"HotKeysCmds" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"]
"Persistence" = "C:\WINDOWS\system32\igfxpers.exe" ["Intel Corporation"]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" ["ALWIL Software"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Multimedia\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{AE7CD045-E861-484f-8273-0445EE161910}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEToolbarHelper Class"
\InProcServer32\(Default) = "C:\Programme\Multimedia\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{ED58A35B-B554-42AF-A26C-6F3D424200D3}" = "Sony Power Management Extensiond"
-> {HKLM...CLSID} = "SPMPanel"
\InProcServer32\(Default) = "C:\Programme\Sony\VAIO Power Management\SPMPanel.dll" ["Sony Corporation"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\Tools\WinRAR\rarext.dll" [null data]
"{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}" = "Adobe.Acrobat.ContextMenu"
-> {HKLM...CLSID} = "Acrobat Elements Context Menu"
\InProcServer32\(Default) = "C:\Programme\Multimedia\Acrobat 7.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
"{13E7F612-F261-4391-BEA2-39DF4F3FA311}" = "Windows Desktop Search"
-> {HKLM...CLSID} = "Windows Desktop Search"
\InProcServer32\(Default) = "C:\Programme\Windows Desktop Search\msnlExt.dll" [MS]
"{B7056B8E-4F99-44f8-8CBD-282390FE5428}" = "VirtualCloneDrive"
-> {HKLM...CLSID} = "VirtualCloneDrive Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Tools\VirtualCloneDrive\ElbyVCDShell.dll" ["Elaborate Bytes AG"]
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte"
-> {HKLM...CLSID} = "Universelle Plug & Play-Geräte"
\InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS]
"{97090E2F-3062-4459-855B-014F0D3CDBB1}" = "Windows Search Deskbar"
-> {HKCU...CLSID} = "Windows-Such-Deskbar"
\InProcServer32\(Default) = "C:\Programme\Windows Desktop Search\deskbar.dll" [MS]
-> {HKLM...CLSID} = "Windows Search Deskbar"
\InProcServer32\(Default) = "C:\Programme\Windows Desktop Search\deskbar.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Multimedia\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
-> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
-> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\lib\NeroDigitalExt.dll" ["Nero AG"]
"{B9B9F083-2B04-452A-8691-83694AC1037B}" = "Logitech Setpoint Extension"
-> {HKLM...CLSID} = "LogiExt Class"
\InProcServer32\(Default) = "C:\Programme\Logitech\SetPoint\mcplext.dll" ["Logitech Inc."]
"{DC70C4A5-2044-4c59-B806-DEFB9AE0DF7C}" = "Logitech Setpoint Extension"
-> {HKLM...CLSID} = "KbLogiExt Class"
\InProcServer32\(Default) = "C:\Programme\Logitech\SetPoint\kbcplext.dll" ["Logitech Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook File Icon Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\Office12\OLKFSTUB.DLL" [MS]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\Office12\MLSHEXT.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\msohevi.dll" [MS]
"{993BE281-6695-4BA5-8A2A-7AACBFAAB69E}" = "Microsoft Office Metadata Handler"
-> {HKLM...CLSID} = "Microsoft Office Metadata Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]
"{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97}" = "Microsoft Office Thumbnail Handler"
-> {HKLM...CLSID} = "Microsoft Office Thumbnail Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]
"{506F4668-F13E-4AA1-BB04-B43203AB3CC0}" = "{506F4668-F13E-4AA1-BB04-B43203AB3CC0}"
-> {HKLM...CLSID} = "ImageExtractorShellExt Class"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\VISSHE.DLL" [MS]
"{D66DC78C-4F61-447F-942B-3FB6980118CF}" = "{D66DC78C-4F61-447F-942B-3FB6980118CF}"
-> {HKLM...CLSID} = "CInfoTipShellExt Class"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\VISSHE.DLL" [MS]
"{0561EC90-CE54-4f0c-9C55-E226110A740C}" = "Haali Column Provider"
-> {HKLM...CLSID} = "Haali Column Provider"
\InProcServer32\(Default) = "C:\Programme\Tools\MatroskaSplitter\mmfinfo.dll" [null data]
"{5574006C-28F5-4a65-A28C-74DE6BFBE0BB}" = "Haali Matroska Shell Property Page"
-> {HKLM...CLSID} = "Haali Matroska Shell Property Page"
\InProcServer32\(Default) = "C:\Programme\Tools\MatroskaSplitter\mmfinfo.dll" [null data]
"{327669A0-59A7-4be9-B99E-1C9F3A57611A}" = "Haali Matroska Thumbnail Exctractor"
-> {HKLM...CLSID} = "Haali Matroska Thumbnail Extractor"
\InProcServer32\(Default) = "C:\Programme\Tools\MatroskaSplitter\mmfinfo.dll" [null data]
"{30351348-7B7D-4FCC-81B4-1E394CA267EB}" = "TortoiseSVN"
-> {HKLM...CLSID} = "TortoiseSVN"
\InProcServer32\(Default) = "C:\Programme\Internet\TortoiseSVN\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
"{30351347-7B7D-4FCC-81B4-1E394CA267EB}" = "TortoiseSVN"
-> {HKLM...CLSID} = "TortoiseSVN"
\InProcServer32\(Default) = "C:\Programme\Internet\TortoiseSVN\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
"{3035134A-7B7D-4FCC-81B4-1E394CA267EB}" = "TortoiseSVN"
-> {HKLM...CLSID} = "TortoiseSVN"
\InProcServer32\(Default) = "C:\Programme\Internet\TortoiseSVN\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
"{3035134C-7B7D-4FCC-81B4-1E394CA267EB}" = "TortoiseSVN"
-> {HKLM...CLSID} = "TortoiseSVN"
\InProcServer32\(Default) = "C:\Programme\Internet\TortoiseSVN\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
"{30351346-7B7D-4FCC-81B4-1E394CA267EB}" = "TortoiseSVN"
-> {HKLM...CLSID} = "TortoiseSVN"
\InProcServer32\(Default) = "C:\Programme\Internet\TortoiseSVN\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
"{30351349-7B7D-4FCC-81B4-1E394CA267EB}" = "TortoiseSVN"
-> {HKLM...CLSID} = "TortoiseSVN"
\InProcServer32\(Default) = "C:\Programme\Internet\TortoiseSVN\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
"{3035134B-7B7D-4FCC-81B4-1E394CA267EB}" = "TortoiseSVN"
-> {HKLM...CLSID} = "TortoiseSVN"
\InProcServer32\(Default) = "C:\Programme\Internet\TortoiseSVN\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
"{3035134D-7B7D-4FCC-81B4-1E394CA267EB}" = "TortoiseSVN"
-> {HKLM...CLSID} = "TortoiseSVN"
\InProcServer32\(Default) = "C:\Programme\Internet\TortoiseSVN\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
"{3035134E-7B7D-4FCC-81B4-1E394CA267EB}" = "TortoiseSVN"
-> {HKLM...CLSID} = "TortoiseSVN"
\InProcServer32\(Default) = "C:\Programme\Internet\TortoiseSVN\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
"{709C6E11-538F-4759-86AC-6ACB302AA0DE}" = "Desktop Manager"
-> {HKLM...CLSID} = "Desktop Manager"
\InProcServer32\(Default) = "C:\WINDOWS\system32\msvdm.dll" [null data]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{56F9679E-7826-4C84-81F3-532071A8BCC5}" = (no title provided)
-> {HKLM...CLSID} = "Windows Desktop Search Namespace Manager"
\InProcServer32\(Default) = "C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"hstsys" = "{584C1CE2-244E-4BD9-9EA0-15C9A7D8CFB7}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\hstsys.dll" [file not found]
"msmhost" = "{20B4DB08-CB91-45C0-BFAF-66F0F0549AF8}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\msmhost.dll" [null data]
"msmdev" = "{77691B07-5C52-4098-A3CF-376012B30A87}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\msmdev.dll" [file not found]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\
<<!>> "AppInit_DLLs" = "C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll" ["Agnitum Ltd."]

HKLM\System\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"oodbs" ["O&O Software GmbH"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> igfxcui\DLLName = "igfxdev.dll" ["Intel Corporation"]
<<!>> NavLogon\DLLName = "C:\WINDOWS\system32\NavLogon.dll" [file not found]
<<!>> VESWinlogon\DLLName = "VESWinlogon.dll" ["Sony Corporation"]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807563E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = "Microsoft Office InfoPath XML Mime Filter"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{0561EC90-CE54-4f0c-9C55-E226110A740C}\(Default) = "Haali Column Provider"
-> {HKLM...CLSID} = "Haali Column Provider"
\InProcServer32\(Default) = "C:\Programme\Tools\MatroskaSplitter\mmfinfo.dll" [null data]
{30351349-7B7D-4FCC-81B4-1E394CA267EB}\(Default) = (no title provided)
-> {HKLM...CLSID} = "TortoiseSVN"
\InProcServer32\(Default) = "C:\Programme\Internet\TortoiseSVN\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
-> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\lib\NeroDigitalExt.dll" ["Nero AG"]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Multimedia\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Adobe.Acrobat.ContextMenu\(Default) = "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}"
-> {HKLM...CLSID} = "Acrobat Elements Context Menu"
\InProcServer32\(Default) = "C:\Programme\Multimedia\Acrobat 7.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
ASW\(Default) = "{33C9E362-3EDA-4930-8AFE-5DA39A8BB77A}"
-> {HKLM...CLSID} = "Outpost.ASWShellExt Component"
\InProcServer32\(Default) = "C:\Programme\Agnitum\Outpost Firewall\op_shell.dll" ["Agnitum Ltd."]
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
TortoiseSVN\(Default) = "{30351349-7B7D-4FCC-81B4-1E394CA267EB}"
-> {HKLM...CLSID} = "TortoiseSVN"
\InProcServer32\(Default) = "C:\Programme\Internet\TortoiseSVN\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\Tools\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ASW\(Default) = "{33C9E362-3EDA-4930-8AFE-5DA39A8BB77A}"
-> {HKLM...CLSID} = "Outpost.ASWShellExt Component"
\InProcServer32\(Default) = "C:\Programme\Agnitum\Outpost Firewall\op_shell.dll" ["Agnitum Ltd."]
TortoiseSVN\(Default) = "{30351349-7B7D-4FCC-81B4-1E394CA267EB}"
-> {HKLM...CLSID} = "TortoiseSVN"
\InProcServer32\(Default) = "C:\Programme\Internet\TortoiseSVN\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\Tools\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
ASW\(Default) = "{33C9E362-3EDA-4930-8AFE-5DA39A8BB77A}"
-> {HKLM...CLSID} = "Outpost.ASWShellExt Component"
\InProcServer32\(Default) = "C:\Programme\Agnitum\Outpost Firewall\op_shell.dll" ["Agnitum Ltd."]
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
TortoiseSVN\(Default) = "{30351349-7B7D-4FCC-81B4-1E394CA267EB}"
-> {HKLM...CLSID} = "TortoiseSVN"
\InProcServer32\(Default) = "C:\Programme\Internet\TortoiseSVN\bin\tortoisesvn.dll" ["www.tortoisesvn.org"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\Tools\WinRAR\rarext.dll" [null data]

(hat leider nicht alles in einen post reingepasst)

RolandMetz 19.10.2007 13:30
(der zweite Teil von Silent Runners)


Default executables:
--------------------

HKCU\Software\Classes\piffile\


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoSMHelp" = (REG_DWORD) hex:0x00000001
{User Configuration|Administrative Templates|Start Menu and Taskbar|
Remove Help menu from Start Menu}

"NoLowDiskSpaceChecks" = (REG_DWORD) hex:0x00000001
{unrecognized setting}

"NoRecentDocsMenu" = (REG_DWORD) hex:0x00000001
{unrecognized setting}

"NoRecentDocsHistory" = (REG_DWORD) hex:0x00000001
{unrecognized setting}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoDesktopCleanupWizard" = (REG_DWORD) hex:0x00000001
{unrecognized setting}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "D:\Eigene Dateien\Eigene Bilder\0 Grafiken\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "D:\Eigene Dateien\Eigene Bilder\0 Grafiken\Wallpaper1.bmp"


Startup items in "Administrator" & "All Users" startup folders:
---------------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Windows-Desktopsuche" -> shortcut to: "C:\Programme\Windows Desktop Search\WindowsSearch.exe /startup" [MS]


Enabled Scheduled Tasks:
------------------------

"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -task" ["Apple Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "C:\Programme\Bonjour\mdnsNSP.dll" ["Apple Computer, Inc."]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 21
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}"
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "C:\Programme\Multimedia\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}"
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "C:\Programme\Multimedia\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}" = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "C:\Programme\Multimedia\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{182EC0BE-5110-49C8-A062-BEB1D02A220B}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "C:\Programme\Multimedia\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{36ECAF82-3300-8F84-092E-AFF36D6C7040}\
"ButtonText" = "Run WinHTTrack"
"MenuText" = "Launch WinHTTrack"
"CLSIDExtension" = "{86529161-034E-4F8A-88D2-3C625E612E04}"
-> {HKLM...CLSID} = "WinHTTrackLauncher Class"
\InProcServer32\(Default) = "C:\Programme\Tools\Seiten downloaden\WinHTTrackIEBar.dll" [null data]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Research"


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##, Bonjour Service, "C:\Programme\Bonjour\mDNSResponder.exe" ["Apple Computer, Inc."]
.NET Runtime Optimization Service v2.0.50727_X86, clr_optimization_v2.0.50727_32, "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe" [MS]
Adobe LM Service, Adobe LM Service, ""C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe"" ["Adobe Systems"]
avast! Antivirus, avast! Antivirus, ""C:\Programme\Alwil Software\Avast4\ashServ.exe"" ["ALWIL Software"]
avast! iAVS4 Control Service, aswUpdSv, ""C:\Programme\Alwil Software\Avast4\aswUpdSv.exe"" ["ALWIL Software"]
avast! Mail Scanner, avast! Mail Scanner, ""C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
Cisco Systems, Inc. VPN Service, CVPND, ""C:\Programme\Cisco Systems\VPN Client\cvpnd.exe"" ["Cisco Systems, Inc."]
Intel(R) PROSet/Wireless Event Log, EvtEng, "C:\Programme\Intel\Wireless\Bin\EvtEng.exe" ["Intel Corporation"]
Intel(R) PROSet/Wireless Registry Service, RegSrvc, "C:\Programme\Intel\Wireless\Bin\RegSrvc.exe" ["Intel Corporation"]
Intel(R) PROSet/Wireless Service, S24EventMonitor, "C:\Programme\Intel\Wireless\Bin\S24EvMon.exe" ["Intel Corporation "]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe"" [MS]
MySQL, MySQL, ""C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt" --defaults-file="C:\Programme\MySQL\MySQL Server 5.0\my.ini" MySQL" [null data]
O&O Defrag, O&O Defrag, "C:\WINDOWS\system32\oodag.exe" ["O&O Software GmbH"]
Outpost Firewall Service, OutpostFirewall, "C:\Programme\Agnitum\Outpost Firewall\outpost.exe /service" ["Agnitum Ltd."]
VAIO Event Service, VAIO Event Service, "C:\Programme\Sony\VAIO Event Service\VESMgr.exe" ["Sony Corporation"]
Windows Search Service, WSearch, "C:\WINDOWS\system32\SearchIndexer.exe /Embedding" [MS]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Adobe PDF Port\Driver = "C:\WINDOWS\system32\AdobePDF.dll" ["Adobe Systems Incorporated."]
BJ Language Monitor\Driver = "cnbjmon.dll" [file not found]
HP CLJ2600n LM\Driver = "ZLHP2600.DLL" ["Zenographics, Inc."]
HP Standard TCP/IP Port\Driver = "hptcpmon.dll" ["Hewlett Packard"]
hpzsnt07\Driver = "hpzsnt07.dll" ["HP"]
PJL Language Monitor\Driver = "pjlmon.dll" [file not found]


---------- (launch time: 2007-10-19 14:10:49)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 43 seconds, including 15 seconds for message boxes)


mache nun das mit SmitfraudFix (dauert ein paar Minuten...)

RolandMetz 19.10.2007 13:32
Habe das mit SmitfraudFix auch gerade gemacht!

Es kam eine Fehlermeldung, dass der Cleanmgr nicht gefunden werden konnte. Liegt wohl daran, dass das hier eine nLite Version von Windows ist. Und der daher nicht dabei ist.
Auf welche Weise kann ich die Temp Files noch löschen?

Soll ich die Datei rapport.txt auch posten?

undoreal 19.10.2007 13:35
Wofür nutzt du "TortoiseSVN" ?

RolandMetz 19.10.2007 13:39
Zitat:
Zitat von undoreal (Beitrag 300400)
Wofür nutzt du "TortoiseSVN" ?
Uni. Um Dateien auf unser SVN hochzuladen bzw. upzudaten

RolandMetz 19.10.2007 13:59
Hier ist das Ergebnis von SmitfraudFix

SmitFraudFix v2.240

Scan done at 14:26:35,07, 19.10.2007
Run from C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\msmhost.dll Deleted
Deleting [HKEY_CLASSES_ROOT\CLSID\{20B4DB08-CB91-45C0-BFAF-66F0F0549AF8}]
Deleting [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{20B4DB08-CB91-45C0-BFAF-66F0F0549AF8}]
C:\WINDOWS\privacy_danger\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{3732B68D-10F4-4AF8-B866-3D9109F6A075}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{3732B68D-10F4-4AF8-B866-3D9109F6A075}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{3732B68D-10F4-4AF8-B866-3D9109F6A075}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

RolandMetz 19.10.2007 14:00
Und das von ComboFix:

ComboFix 07-10-17.8@ - Administrator 2007-10-19 14:35:36.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.489 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\dat.txt
C:\WINDOWS\rs.txt

.
((((((((((((((((((((((( Dateien erstellt von 2007-09-19 bis 2007-10-19 ))))))))))))))))))))))))))))))
.

2007-10-19 14:35 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-19 11:15 <DIR> d-------- C:\Programme\Alwil Software
2007-10-19 11:15 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2007-10-19 11:15 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-10-19 11:15 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-10-19 11:15 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-10-18 23:11 0 --a------ C:\WINDOWS\system32\SBRC.dat
2007-10-18 23:11 0 --a------ C:\WINDOWS\system32\SBFC.dat
2007-10-18 22:54 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sunbelt Software
2007-10-18 22:45 2,086 --a------ C:\WINDOWS\system32\tmp.reg
2007-10-18 21:44 801,144 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-10-18 21:44 94,416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-10-18 21:44 92,848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-10-18 14:54 255,488 --a------ C:\WINDOWS\hostctrl.dll
2007-10-18 14:54 33,280 --a------ C:\WINDOWS\nmcuninstall.exe
2007-10-18 14:43 <DIR> d-------- C:\Programme\Scientific WorkPlace
2007-10-15 15:32 73,216 --a------ C:\WINDOWS\system32\KeyLbE32.dll
2007-10-15 15:32 57,344 --a------ C:\WINDOWS\system32\KEYLIB32.dll
2007-10-15 15:32 15,840 --a------ C:\WINDOWS\system32\Machnm1.exe
2007-10-15 15:31 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\WINDOWS
2007-10-15 15:31 299,008 --a------ C:\WINDOWS\uninst.exe
2007-10-14 18:29 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InstallShield Installation Information
2007-10-14 18:17 <DIR> d-------- C:\WINDOWS\system32\AGEIA
2007-10-14 18:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-10-14 18:17 <DIR> d-------- C:\Programme\AGEIA Technologies
2007-10-08 08:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CMUV
2007-10-08 08:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2007-10-08 08:19 24,064 --------- C:\WINDOWS\system32\msxml3a.dll
2007-10-08 08:18 <DIR> d-------- C:\Programme\CyberLink
2007-10-02 10:41 <DIR> d-------- C:\Programme\Microsoft Visual Studio 8
2007-10-02 10:41 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Merge Modules
2007-10-02 10:11 <DIR> d-------- C:\Temp

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-19 12:30 12,288 ----a-w C:\WINDOWS\system32\drivers\nhcDriver.sys
2007-10-19 12:08 --------- d-----w C:\Programme\Java
2007-10-19 09:11 --------- d-----w C:\Programme\Symantec AntiVirus
2007-10-19 09:11 --------- d-----w C:\Programme\Symantec
2007-10-19 09:11 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-10-19 09:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2007-10-19 08:08 --------- d-----w C:\Programme\Tools
2007-10-18 15:35 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\X-Chat 2
2007-10-18 13:19 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\uTorrent
2007-10-18 13:19 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Free Download Manager
2007-10-18 12:44 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-10-17 13:24 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\MuPAD Pro
2007-10-14 16:25 --------- d-----w C:\Programme\Spiele
2007-10-08 06:52 --------- d-----w C:\Programme\Multimedia
2007-10-02 08:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2007-09-13 07:45 70,944 ----a-w C:\WINDOWS\system32\PhysXLoader.dll
2007-08-30 05:02 --------- d-----w C:\Programme\Windows Media Connect 2
2007-07-23 07:03 53,248 ----a-w C:\WINDOWS\system32\AgCPanelTraditionalChinese.dll
2007-07-23 07:03 53,248 ----a-w C:\WINDOWS\system32\AgCPanelSwedish.dll
2007-07-23 07:03 53,248 ----a-w C:\WINDOWS\system32\AgCPanelSpanish.dll
2007-07-23 07:03 53,248 ----a-w C:\WINDOWS\system32\AgCPanelSimplifiedChinese.dll
2007-07-23 07:03 53,248 ----a-w C:\WINDOWS\system32\AgCPanelPortugese.dll
2007-07-23 07:03 53,248 ----a-w C:\WINDOWS\system32\AgCPanelKorean.dll
2007-07-23 07:03 53,248 ----a-w C:\WINDOWS\system32\AgCPanelJapanese.dll
2007-07-23 07:03 53,248 ----a-w C:\WINDOWS\system32\AgCPanelGerman.dll
2007-07-23 07:03 53,248 ----a-w C:\WINDOWS\system32\AgCPanelFrench.dll
2007-07-19 16:14 444,776 ----a-w C:\WINDOWS\system32\d3dx10_35.dll
2007-07-19 16:14 3,727,720 ----a-w C:\WINDOWS\system32\d3dx9_35.dll
2007-07-19 16:14 1,358,192 ----a-w C:\WINDOWS\system32\D3DCompiler_35.dll
2007-06-20 09:36 32,768 ----a-w C:\Dokumente und Einstellungen\Administrator\WebVpnRegKey6-vpn-uni-heidelberg-de.dll
2007-03-17 21:56 0 ----a-w C:\Dokumente und Einstellungen\Administrator\aircrack.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISBMgr.exe"="C:\Programme\Sony\ISB Utility\ISBMgr.exe" [2004-02-20 14:12]
"SonyPowerCfg"="C:\Programme\Sony\VAIO Power Management\SPMgr.exe" [2006-01-26 02:28]
"VirtualCloneDrive"="C:\Programme\Tools\VirtualCloneDrive\VCDDaemon.exe" [2006-04-29 15:21]
"Outpost Firewall"="C:\Programme\Agnitum\Outpost Firewall\outpost.exe" [2006-03-30 10:51]
"NotebookHardwareControl"="C:\Programme\Tools\Notebook Hardware Control\nhc.exe" [2006-09-01 19:40]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-06-20 17:45]
"Apoint"="C:\Programme\Apoint\Apoint.exe" [2004-11-17 22:47]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 16:44 C:\WINDOWS\KHALMNPR.Exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 16:44 C:\WINDOWS\KHALMNPR.Exe]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-04-16 12:51]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-04-16 12:51]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-04-16 12:51]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-08-18 15:56]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2002-12-31 14:00]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-09-08 11:06]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"nlsf"=cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll"
"tscuninstall"=%systemroot%\system32\tscupgrd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoDesktopCleanupWizard"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"=1 (0x1)
"NoRecentDocsMenu"=1 (0x1)
"NoRecentDocsHistory"=1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"=1 (0x1)
"NoRecentDocsMenu"=1 (0x1)
"NoRecentDocsHistory"=1 (0x1)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll [2006-08-18 21:38 276992]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"hstsys"= {584C1CE2-244E-4BD9-9EA0-15C9A7D8CFB7} - C:\WINDOWS\hstsys.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
VESWinlogon.dll 2006-06-30 13:12 73728 C:\WINDOWS\system32\VESWinlogon.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
backup=C:\WINDOWS\pss\VPN Client.lnkCommon Startup


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 7.0]
"C:\Programme\Multimedia\Acrobat 7.0\Distillr\Acrotray.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
"C:\Programme\Tools\AnyDVD\AnyDVD.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
"C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelWireless]
"C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelZeroConfig]
"C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NWEReboot]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OutpostFeedBack]
C:\Programme\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\Multimedia\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Switcher.exe]
C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UIUCU]
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\UIUCU.EXE -CLEAN_UP -S

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UltraMon]
"C:\Programme\Tools\UltraMonitor\UltraMon.exe" /auto

R1 VFILT;Outpost Firewall Kernel Driver;\??\C:\Programme\Agnitum\Outpost Firewall\kernel\FILTNT.SYS
R3 ADBLOCK.DLL;Outpost Firewall PlugIn (ADBLOCK.DLL);\??\C:\Programme\Agnitum\Outpost Firewall\kernel\ADBLOCK.DLL
R3 ARP.DLL;Outpost Firewall PlugIn (ARP.DLL);\??\C:\Programme\Agnitum\Outpost Firewall\kernel\ARP.DLL
R3 CONTENT.DLL;Outpost Firewall PlugIn (CONTENT.DLL);\??\C:\Programme\Agnitum\Outpost Firewall\kernel\CONTENT.DLL
R3 DNSCACHE.DLL;Outpost Firewall PlugIn (DNSCACHE.DLL);\??\C:\Programme\Agnitum\Outpost Firewall\kernel\DNSCACHE.DLL
R3 FTPFILT.DLL;Outpost Firewall PlugIn (FTPFILT.DLL);\??\C:\Programme\Agnitum\Outpost Firewall\kernel\FTPFILT.DLL
R3 HTMLFILT.DLL;Outpost Firewall PlugIn (HTMLFILT.DLL);\??\C:\Programme\Agnitum\Outpost Firewall\kernel\HTMLFILT.DLL
R3 HTTPFILT.DLL;Outpost Firewall PlugIn (HTTPFILT.DLL);\??\C:\Programme\Agnitum\Outpost Firewall\kernel\HTTPFILT.DLL
R3 IMAPFILT.DLL;Outpost Firewall PlugIn (IMAPFILT.DLL);\??\C:\Programme\Agnitum\Outpost Firewall\kernel\IMAPFILT.DLL
R3 MAILFILT.DLL;Outpost Firewall PlugIn (MAILFILT.DLL);\??\C:\Programme\Agnitum\Outpost Firewall\kernel\MAILFILT.DLL
R3 NNTPFILT.DLL;Outpost Firewall PlugIn (NNTPFILT.DLL);\??\C:\Programme\Agnitum\Outpost Firewall\kernel\NNTPFILT.DLL
R3 POP3FILT.DLL;Outpost Firewall PlugIn (POP3FILT.DLL);\??\C:\Programme\Agnitum\Outpost Firewall\kernel\POP3FILT.DLL
R3 PROTECT.DLL;Outpost Firewall PlugIn (PROTECT.DLL);\??\C:\Programme\Agnitum\Outpost Firewall\kernel\PROTECT.DLL
R3 SECRET.DLL;Outpost Firewall PlugIn (SECRET.DLL);\??\C:\Programme\Agnitum\Outpost Firewall\kernel\SECRET.DLL
R3 SPI;Programmierbares E/A-Steuergerät von Sony;C:\WINDOWS\system32\DRIVERS\SonyPI.sys
R3 TTUSB2BDA;TTUSB2BDA USB 2.0 Driver;C:\WINDOWS\system32\DRIVERS\ttusb2bda.sys
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\Tools\Common\Database\bin\fbserver.exe
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;\??\C:\WINDOWS\system32\NSNDIS5.SYS
S3 ti21sony;ti21sony;C:\WINDOWS\system32\drivers\ti21sony.sys
S3 TS154_CB;T-Sinus 154card Driver;C:\WINDOWS\system32\DRIVERS\TS154ICB.sys
S3 UltraMonMirror;UltraMonMirror;C:\WINDOWS\system32\DRIVERS\UltraMonMirror.sys

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalService Alerter LmHosts upnphost SSDPSRV

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2007-10-17 06:08:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-19 14:38:14
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-19 14:38:41
.
--- E O F ---

RolandMetz 19.10.2007 14:01
Soll ich nun mit Spybot, avast und Ad-Aware scannen lassen?

undoreal 19.10.2007 14:03
Zitat:
Zitat:
Zitat von undoreal Beitrag anzeigen
Wofür nutzt du "TortoiseSVN" ?
Uni. Um Dateien auf unser SVN hochzuladen bzw. upzudaten
o.k.


Zitat:
Soll ich nun mit Spybot, avast und Ad-Aware scannen lassen?
jo, immer weiter.. ^^




Das kommt noch dazu:

Zitat:
Um zu erfahren, was sich auf deinem System alles für Programme verbergen gehe bitte wie folgt vor.

Erstelle eine Uninstall list mit HijackThis
  • Öffne "HijackThis"
  • Klick "open the Misc Tools section"
  • Klick "Open Uninstall Manager"
  • Klick "Save List" (jetzt wird eine uninstall_list.txt im Ordner Hijackthis angelegt.)
  • Diese Datei öffnest du, und kopiertst ihren Inhalt hier in deinem Thread.
Hinweis!

Um dieses Ausführen zu können, muß HijackThis in einen eigenem Verzeichnis gestartet werden.
Am besten: c:\Programme\HijackThis
http://forum.hijackthis.de/showthread.php?t=20089



Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)
Zitat:


C:\WINDOWS\nmcuninstall.exe

C:\WINDOWS\hostctrl.dll
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

RolandMetz 19.10.2007 14:06
Hi

Habe das mit der Unistall List gerade gemacht:

Ad-Aware 2007
Adobe Acrobat 7.0 Professional - English, Français, Deutsch
Adobe Anchor Service CS3
Adobe Asset Services CS3
Adobe Bridge CS3
Adobe Bridge Start Meeting
Adobe Camera Raw 4.0
Adobe CMaps
Adobe Default Language CS3
Adobe Device Central CS3
Adobe Dreamweaver CS3
Adobe Dreamweaver CS3
Adobe ExtendScript Toolkit 2
Adobe Extension Manager CS3
Adobe Flash Player Plugin
Adobe Help Viewer CS3
Adobe PDF Library Files
Adobe Photoshop CS
Adobe Setup
Adobe Shockwave Player
Adobe Type Support
Adobe Update Manager CS3
Adobe Version Cue CS3 Client
AGEIA PhysX v7.09.13
Agnitum Outpost Firewall Pro
AnyDVD
Apple Software Update
avast! Antivirus
Canvas X
CCleaner (remove only)
CDDRV_Installer
Cisco Systems VPN Client 4.8.02.0010
CloneDVD2
Color LaserJet 2600n
Counter-Strike 1.6
Creative DVD Audio Plugin for Audigy Series
Data Desk 6.1.1 Demo
DivX
DVBViewer Pro Version 3.9.0.0
Firebird SQL Server - MAGIX Edition 2.0.0.1 (D)
FireTune
Free Download Manager 2.1
Google Earth
Haali Media Splitter
High Definition Audio Driver Package - KB835221
HijackThis 1.99.1
Hotfix for Windows XP (KB915865)
Hotfix for Windows XP (KB926239)
Hotfix für Microsoft .NET Framework 2.0 (KB922981)
Hotfix für Windows XP (KB893357)
Hotfix für Windows XP (KB897338)
Hotfix für Windows XP (KB898900)
Hotfix für Windows XP (KB903234)
Hotfix für Windows XP (KB904412)
Hotfix für Windows XP (KB906569)
Hotfix für Windows XP (KB907865)
Hotfix für Windows XP (KB909095)
Hotfix für Windows XP (KB913296)
Hotfix für Windows XP (KB913538)
Hotfix für Windows XP (KB914841)
Hotfix für Windows XP (KB917730)
Hotfix für Windows XP (KB918005)
Hotfix für Windows XP (KB918093)
Intel(R) Graphics Media Accelerator Driver
Intel(R) PROSet/Wireless Software
InterVideo WinDVD 7
IsoBuster 1.9
KhalSetup
L&H TTS3000 Deutsch
LAN Setting Utility
Lemmings for Windows 95
LiveUpdate 2.6 (Symantec Corporation)
Logitech SetPoint
Luxor
Macromedia Extension Manager
Maple 9.5
mCore
mDriver
mDrWiFi
mHelp
Microsoft – Speichern als PDF oder XPS – Add-In für 2007 Microsoft Office-Programme
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
Microsoft MSDN 2005 Express Edition - DEU
Microsoft Office Excel MUI (German) 2007
Microsoft Office Outlook MUI (German) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Shared MUI (German) 2007
Microsoft Office Standard 2007
Microsoft Office Standard 2007
Microsoft Office Visio MUI (German) 2007
Microsoft Office Visio Professional 2007
Microsoft Office Visio Professional 2007
Microsoft Office Word MUI (German) 2007
Microsoft Silverlight
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Express Edition - DEU
Microsoft Visual C++ 2005 Redistributable
Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket
mIWA
mLogView
mMHouse
Mozilla Firefox (2.0.0.6)
Mp3tag v2.36a
mPfMgr
mPfWiz
mProSafe
MSXML 6.0 Parser (KB925673)
MuPAD Pro 4.0.2
mWlsSafe
mXML
MySQL Server 5.0
mZConfig
Nero 7 Ultra Edition
Network Stumbler 0.4.0 (remove only)
Notebook Hardware Control 2.0 Pre-Release-04
NVIDIA Drivers
O&O Defrag Professional Edition
Opera 9.21
PDF Preview Handler
PowerDVD
PowerQuest PartitionMagic 8.0
QuickTime
RealPlayer
Safari
Scientific WorkPlace 5.5
Security Update for Microsoft .NET Framework 2.0 (KB917283)
Security Update for Microsoft .NET Framework 2.0 (KB922770)
Setting Utility Series
Sicherheitsupdate für Step by Step Interactive Training (KB898458)
Sicherheitsupdate für Windows Media Player (KB911564)
Sicherheitsupdate für Windows Media Player 9 (KB917734)
Sicherheitsupdate für Windows XP (KB890046)
Sicherheitsupdate für Windows XP (KB893756)
Sicherheitsupdate für Windows XP (KB896358)
Sicherheitsupdate für Windows XP (KB896423)
Sicherheitsupdate für Windows XP (KB896424)
Sicherheitsupdate für Windows XP (KB896428)
Sicherheitsupdate für Windows XP (KB899587)
Sicherheitsupdate für Windows XP (KB899589)
Sicherheitsupdate für Windows XP (KB899591)
Sicherheitsupdate für Windows XP (KB900725)
Sicherheitsupdate für Windows XP (KB901017)
Sicherheitsupdate für Windows XP (KB901190)
Sicherheitsupdate für Windows XP (KB901214)
Sicherheitsupdate für Windows XP (KB902400)
Sicherheitsupdate für Windows XP (KB904706)
Sicherheitsupdate für Windows XP (KB905414)
Sicherheitsupdate für Windows XP (KB905749)
Sicherheitsupdate für Windows XP (KB908519)
Sicherheitsupdate für Windows XP (KB911562)
Sicherheitsupdate für Windows XP (KB911567)
Sicherheitsupdate für Windows XP (KB911927)
Sicherheitsupdate für Windows XP (KB912919)
Sicherheitsupdate für Windows XP (KB913580)
Sicherheitsupdate für Windows XP (KB914388)
Sicherheitsupdate für Windows XP (KB914389)
Sicherheitsupdate für Windows XP (KB917422)
Sicherheitsupdate für Windows XP (KB917537)
Sicherheitsupdate für Windows XP (KB917953)
Sicherheitsupdate für Windows XP (KB918439)
Sicherheitsupdate für Windows XP (KB918899)
Sicherheitsupdate für Windows XP (KB919007)
Sicherheitsupdate für Windows XP (KB920214)
Sicherheitsupdate für Windows XP (KB920670)
Sicherheitsupdate für Windows XP (KB920683)
Sicherheitsupdate für Windows XP (KB920685)
Sicherheitsupdate für Windows XP (KB921398)
Sicherheitsupdate für Windows XP (KB921883)
Sicherheitsupdate für Windows XP (KB922616)
Sicherheitsupdate für Windows XP (KB922819)
Sicherheitsupdate für Windows XP (KB923191)
Sicherheitsupdate für Windows XP (KB923414)
Sicherheitsupdate für Windows XP (KB924191)
Sicherheitsupdate für Windows XP (KB924496)
Sicherheitsupdate für Windows XP (KB925486)
SigmaTel Audio
Sony MP4 Shared Library
Sony Utilities DLL
Sony Video Shared Library
Spybot - Search & Destroy
TeXLive
TeXnicCenter Version 1 Beta 7.01 (Greengrass)
Together® 2006 Release 2
TortoiseSVN 1.4.4.9706 (32 bit)
Trillian
TV Logos for DVBViewer Pro 1.0
Tweak UI
Unreal Tournament 3 Demo
Update for Outlook 2007 (KB933493)
Update für Windows XP (KB897663)
Update für Windows XP (KB898461)
Update für Windows XP (KB900485)
Update für Windows XP (KB904942)
Update für Windows XP (KB907265)
Update für Windows XP (KB908521)
Update für Windows XP (KB908531)
Update für Windows XP (KB910437)
Update für Windows XP (KB911280)
Update für Windows XP (KB916595)
Update für Windows XP (KB916846)
Update für Windows XP (KB920872)
Update für Windows XP (KB922582)
VAIO Control Center
VAIO Event Service
VAIO HDD Protection
VAIO Power Management
VCam 3.1.1
VideoLAN VLC media player 0.8.6b
Virtual Desktop Manager Powertoy for Windows XP
VirtualCloneDrive
Visual Parse++ 5.0
Winamp (remove only)
Windows Desktop Search
Windows Installer 3.1 (KB893803)
Windows XP-Hotfix - KB319740
Windows XP-Hotfix - KB873339
Windows XP-Hotfix - KB884883
Windows XP-Hotfix - KB885222
Windows XP-Hotfix - KB885626
Windows XP-Hotfix - KB885835
Windows XP-Hotfix - KB885836
Windows XP-Hotfix - KB885894
Windows XP-Hotfix - KB886677
Windows XP-Hotfix - KB886716
Windows XP-Hotfix - KB887472
Windows XP-Hotfix - KB888302
Windows XP-Hotfix - KB889016
Windows XP-Hotfix - KB889673
Windows XP-Hotfix - KB890831
Windows XP-Hotfix - KB890859
Windows XP-Hotfix - KB891781
Windows XP-Hotfix - KB896626
WinHTTrack Website Copier 3.33
WinRAR Archivierer
Wireless LAN Starter
Wireless Switch Setting Utility
X-Chat - X-Tray Plugin
X-Chat 2 (remove only)

RolandMetz 19.10.2007 14:09
Das mit den ganzen Scans dauert nun mehr oder weniger lange.

Wie sieht es den aus? Irgendwas ungewöhnliches in meinen Reports drin?

(das mit den beiden Dateien C:\WINDOWS\nmcuninstall.exe und C:\WINDOWS\hostctrl.dll läuft gerade)

undoreal 19.10.2007 14:11
Zitat:
Wie sieht es den aus? Irgendwas ungewöhnliches in meinen Reports drin?
jap, sonst würde ich nicht so nachhaken.. lasse die Dateien bitte online auswerten. Dsie .exe ist mit ziemlicher Sicherheit deine Ursprungsdatei.

RolandMetz 19.10.2007 14:19
Liste der Anhänge anzeigen (Anzahl: 1)
Hmm cool was man da so alles rauslesen kann

Ach ja. Sypbot ist in der Zwischenzeit fertig:

Da ich das Ergebnis nicht reinkopieren konnte hier ein Bild.

Habe auf markierte Proble beheben geklickt.

RolandMetz 19.10.2007 14:21
Hier sind die Ergebnisse bezüglich der beiden Dateien zuerst:


C:\WINDOWS\nmcuninstall.exe

Datei nmcuninstall.exe empfangen 2007.10.19 15:10:51 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 4/32 (12.5%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 4.
Geschätzte Startzeit is zwischen 52 und 75 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.19.0 2007.10.18 -
AntiVir 7.6.0.27 2007.10.19 -
Authentium 4.93.8 2007.10.19 -
Avast 4.7.1051.0 2007.10.18 -
AVG 7.5.0.488 2007.10.19 -
BitDefender 7.2 2007.10.19 -
CAT-QuickHeal 9.00 2007.10.18 -
ClamAV 0.91.2 2007.10.17 -
DrWeb 4.44.0.09170 2007.10.19 -
eSafe 7.0.15.0 2007.10.15 suspicious Trojan/Worm
eTrust-Vet 31.2.5223 2007.10.19 -
Ewido 4.0 2007.10.19 -
FileAdvisor 1 2007.10.19 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.19 -
F-Secure 6.70.13030.0 2007.10.19 Trojan-Downloader.Win32.Zlob.dmx
Ikarus T3.1.1.12 2007.10.19 -
Kaspersky 7.0.0.125 2007.10.19 Trojan-Downloader.Win32.Zlob.dmx
McAfee 5144 2007.10.18 -
Microsoft 1.2908 2007.10.19 -
NOD32v2 2603 2007.10.19 -
Norman 5.80.02 2007.10.19 -
Panda 9.0.0.4 2007.10.18 Suspicious file
Prevx1 V2 2007.10.19 -
Rising 19.45.42.00 2007.10.19 -
Sophos 4.22.0 2007.10.19 -
Sunbelt 2.2.907.0 2007.10.18 -
Symantec 10 2007.10.19 -
TheHacker 6.2.9.099 2007.10.19 -
VBA32 3.12.2.4 2007.10.19 -
VirusBuster 4.3.26:9 2007.10.18 -
Webwasher-Gateway 6.6.1 2007.10.19 -
weitere Informationen
File size: 33280 bytes
MD5: c9be9807d29fa7ac8dee943a3b583bb0
SHA1: b8c85c276dec7add37c5195a7b90e8e8607a3d8d
packers: UPX_LZMA




----und die Datei -----------
C:\WINDOWS\hostctrl.dll


Datei hostctrl.dll empfangen 2007.10.19 15:11:29 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 6/32 (18.75%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 8.
Geschätzte Startzeit is zwischen 70 und 100 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.19.0 2007.10.18 Win-Trojan/Agent.254976.D
AntiVir 7.6.0.27 2007.10.19 TR/Dldr.Agent.fud
Authentium 4.93.8 2007.10.19 -
Avast 4.7.1051.0 2007.10.18 -
AVG 7.5.0.488 2007.10.19 -
BitDefender 7.2 2007.10.19 -
CAT-QuickHeal 9.00 2007.10.18 -
ClamAV 0.91.2 2007.10.17 -
DrWeb 4.44.0.09170 2007.10.19 -
eSafe 7.0.15.0 2007.10.15 -
eTrust-Vet 31.2.5223 2007.10.19 -
Ewido 4.0 2007.10.19 -
FileAdvisor 1 2007.10.19 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.19 -
F-Secure 6.70.13030.0 2007.10.19 -
Ikarus T3.1.1.12 2007.10.19 not-a-virus:AdWare.Win32.Agent.bn
Kaspersky 7.0.0.125 2007.10.19 -
McAfee 5144 2007.10.18 -
Microsoft 1.2908 2007.10.19 TrojanDownloader:Win32/Zlob.gen!L
NOD32v2 2603 2007.10.19 -
Norman 5.80.02 2007.10.19 Agent.CUUF
Panda 9.0.0.4 2007.10.18 -
Prevx1 V2 2007.10.19 -
Rising 19.45.42.00 2007.10.19 -
Sophos 4.22.0 2007.10.19 -
Sunbelt 2.2.907.0 2007.10.18 -
Symantec 10 2007.10.19 -
TheHacker 6.2.9.099 2007.10.19 -
VBA32 3.12.2.4 2007.10.19 -
VirusBuster 4.3.26:9 2007.10.18 -
Webwasher-Gateway 6.6.1 2007.10.19 Trojan.Dldr.Agent.fud
weitere Informationen
File size: 255488 bytes
MD5: 027f5cb0af73630612390cb6c7a66acb
SHA1: c9e77df2e34fe3d23a6f29c5751bf4c7b31341e9

RolandMetz 19.10.2007 14:40
Bei Ad-Aware war nichts kritisches dabei...

Was mache ich aber mit den beiden Dateien im Windows verzeichnis?

undoreal 19.10.2007 23:41
Jup, das hab' ich mir gedacht..

Trojan-Downloader.Win32.Zlob.dmx



Zitat:
Was mache ich aber mit den beiden Dateien im Windows verzeichnis?
wechsel bitte in den abgesicherten Modus und lösche die Dateien. Danach räumst du mit cCleaner auf.

Starte den Rechner neu und überprüfe ob die Dateien gelöscht wurden.

Dann folgst du bitte meiner ursprünglichen Anleitung und führst eScan und iClean aus.

RolandMetz 21.10.2007 15:37
Hi

Hab die beiden Dateien gelöscht (abgesicherter Modus) und sind auch nach dem Neustart nicht mehr dran. mache nun die beiden Scans...

RolandMetz 21.10.2007 15:42
Hier ist der iClean Report:

iclean log 21.10.2007 16:43:45

Windows XP SP2, Using advanced Kernel functions

Processes
---------
1440 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
1580 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
1604 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
1648 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
1660 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
1824 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1932 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
264 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
320 - C:\Programme\Intel\Wireless\Bin\EvtEng.exe - Intel(R) PROSet/Wireless Event Log
416 - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe - Wireless Management Service
576 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
724 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
972 - C:\Programme\Tools\Ad-Aware 2007\aawservice.exe - Ad-Aware 2007 Service (Signed)
1020 - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe - avast! Antivirus updating service (Signed)
1080 - C:\Programme\Alwil Software\Avast4\ashServ.exe - avast! antivirus service (Signed)
1520 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
516 - C:\WINDOWS\Explorer.EXE - Windows Explorer
612 - C:\Programme\Internet\TortoiseSVN\bin\TSVNCache.exe - TortoiseSVN status cache
740 - C:\Programme\Sony\ISB Utility\ISBMgr.exe - C:\Programme\Sony\ISB Utility\ISBMgr.exe
732 - C:\Programme\Sony\VAIO Power Management\SPMgr.exe - SPM Module
820 - C:\Programme\Tools\VirtualCloneDrive\VCDDaemon.exe - Virtual CloneDrive Daemon
832 - C:\Programme\Tools\Notebook Hardware Control\nhc.exe - Notebook Hardware Control
856 - C:\Programme\Apoint\Apoint.exe - Alps Pointing-device Driver
940 - C:\WINDOWS\system32\igfxsrvc.exe - igfxsrvc Module
964 - C:\WINDOWS\system32\hkcmd.exe - hkcmd Module
1004 - C:\WINDOWS\system32\igfxpers.exe - persistence Module
1284 - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe - RealNetworks Scheduler (Signed)
1312 - C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe - avast! service GUI component (Signed)
1344 - C:\WINDOWS\system32\ctfmon.exe - CTF Loader
764 - C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe - Nero Home
1396 - WindowsSearch.e - WindowsSearch.e
1724 - C:\Programme\Apoint\Apntex.exe - Alps Pointing-device Driver for Windows NT/2000/XP
1872 - mDNSResponder.e - mDNSResponder.e
1988 - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe - Cisco Systems VPN Client (Signed)
2124 - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe - Machine Debug Manager
2324 - C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe - C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
2364 - C:\WINDOWS\system32\oodag.exe - O&O Defrag Agent
2424 - C:\Programme\Agnitum\Outpost Firewall\outpost.exe - Outpost Firewall main module
2452 - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe - Intel(R) PROSet/Wireless Registry Service
2564 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
2616 - C:\WINDOWS\system32\wdfmgr.exe - Windows User Mode Driver Manager
2652 - C:\Programme\Sony\VAIO Event Service\VESMgr.exe - VAIO Event Service (Service Module)
2756 - searchindexer.e - searchindexer.e
2964 - C:\WINDOWS\system32\igfxext.exe - igfxext Module
2988 - C:\WINDOWS\system32\igfxsrvc.exe - igfxsrvc Module
3368 - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe - avast! e-Mail Scanner Service (Signed)
3400 - C:\Programme\Alwil Software\Avast4\ashWebSv.exe - avast! Web Scanner (Signed)
3616 - searchprotocolh - searchprotocolh
3920 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
1228 - C:\Programme\Intel\Wireless\Bin\iFrmewrk.exe - Intel Framework MFC Application
1128 - C:\Programme\Mozilla Firefox\firefox.exe - Firefox (Signed)
2096 - C:\WINDOWS\system32\wbem\wmiprvse.exe - WMI
588 - C:\Programme\Multimedia\DVBViewer\dvbviewer.exe - DVB Viewer Pro
1624 - C:\WINDOWS\system32\igfxext.exe - igfxext Module
2004 - searchfilterhos - searchfilterhos
3264 - C:\Dokumente und Einstellungen\Administrator\Desktop\Iclean\iclean.exe - Interactive Cleaner

Services
--------
c:\programme\tools\ad-aware 2007\aawservice.exe=aawservice
C:\WINDOWS\system32\alg.exe=ALG
c:\programme\alwil software\avast4\aswupdsv.exe=aswUpdSv
C:\WINDOWS\system32\svchost.exe=AudioSrv
c:\programme\alwil software\avast4\ashserv.exe=avast! Antivirus
c:\programme\alwil software\avast4\ashmaisv.exe=avast! Mail Scanner
c:\programme\alwil software\avast4\ashwebsv.exe=avast! Web Scanner
C:\WINDOWS\system32\svchost.exe=BITS
c:\programme\bonjour\mdnsresponder.exe=Bonjour Service
C:\WINDOWS\system32\svchost.exe=Browser
C:\WINDOWS\system32\svchost.exe=CryptSvc
c:\programme\cisco systems\vpn client\cvpnd.exe=CVPND
C:\WINDOWS\system32\svchost.exe=DcomLaunch
C:\WINDOWS\system32\svchost.exe=Dhcp
C:\WINDOWS\system32\svchost.exe=Dnscache
C:\WINDOWS\system32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
c:\programme\intel\wireless\bin\evteng.exe=EvtEng
C:\WINDOWS\system32\svchost.exe=HidServ
C:\WINDOWS\system32\svchost.exe=lanmanserver
C:\WINDOWS\system32\svchost.exe=lanmanworkstation
C:\WINDOWS\system32\svchost.exe=LmHosts
c:\programme\gemeinsame dateien\microsoft shared\vs7debug\mdm.exe=MDM
c:\programme\mysql\mysql server 5.0\bin\mysqld-nt --defaults-file=c:\programme\mysql\mysql server 5.0\my.ini mysql=MySQL
C:\WINDOWS\system32\svchost.exe=Netman
C:\WINDOWS\system32\svchost.exe=Nla
c:\windows\system32\oodag.exe=O&O Defrag
c:\programme\agnitum\outpost firewall\outpost.exe=OutpostFirewall
C:\WINDOWS\system32\services.exe=PlugPlay
C:\WINDOWS\system32\lsass.exe=PolicyAgent
C:\WINDOWS\system32\lsass.exe=ProtectedStorage
C:\WINDOWS\system32\svchost.exe=RasMan
c:\programme\intel\wireless\bin\regsrvc.exe=RegSrvc
C:\WINDOWS\system32\svchost.exe=RpcSs
c:\programme\intel\wireless\bin\s24evmon.exe=S24EventMonitor
C:\WINDOWS\system32\lsass.exe=SamSs
C:\WINDOWS\system32\svchost.exe=Schedule
C:\WINDOWS\system32\svchost.exe=seclogon
C:\WINDOWS\system32\svchost.exe=SENS
C:\WINDOWS\system32\svchost.exe=SharedAccess
C:\WINDOWS\system32\svchost.exe=ShellHWDetection
C:\WINDOWS\system32\spoolsv.exe=Spooler
C:\WINDOWS\system32\svchost.exe=SSDPSRV
C:\WINDOWS\system32\svchost.exe=stisvc
C:\WINDOWS\system32\svchost.exe=TapiSrv
C:\WINDOWS\system32\svchost.exe=TermService
C:\WINDOWS\system32\svchost.exe=Themes
C:\WINDOWS\system32\svchost.exe=TrkWks
c:\windows\system32\wdfmgr.exe=UMWdf
c:\programme\sony\vaio event service\vesmgr.exe=VAIO Event Service
C:\WINDOWS\system32\svchost.exe=W32Time
C:\WINDOWS\system32\svchost.exe=winmgmt
c:\windows\system32\searchindexer.exe=WSearch
C:\WINDOWS\system32\svchost.exe=wuauserv
C:\WINDOWS\system32\svchost.exe=WZCSVC

Registry
--------
000=HKCU\Run: BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}="c:\programme\gemeinsame dateien\ahead\lib\nmbgmonitor.exe"
000=HKCU\Run: ctfmon.exe=c:\windows\system32\ctfmon.exe
000=HKLM\Run: Apoint=c:\programme\apoint\apoint.exe
000=HKLM\Run: avast!=c:\progra~1\alwils~1\avast4\ashdisp.exe
000=HKLM\Run: HotKeysCmds=c:\windows\system32\hkcmd.exe
000=HKLM\Run: IgfxTray=c:\windows\system32\igfxtray.exe
000=HKLM\Run: ISBMgr.exe=c:\programme\sony\isb utility\isbmgr.exe
000=HKLM\Run: Kernel and Hardware Abstraction Layer=c:\windows\khalmnpr.exe
000=HKLM\Run: Logitech Hardware Abstraction Layer=c:\windows\khalmnpr.exe
000=HKLM\Run: NotebookHardwareControl="c:\programme\tools\notebook hardware control\nhc.exe" -quiet
000=HKLM\Run: NvCplDaemon=c:\windows\system32\nvcpl.dll
000=HKLM\Run: Outpost Firewall=c:\programme\agnitum\outpost firewall\outpost.exe
000=HKLM\Run: Persistence=c:\windows\system32\igfxpers.exe
000=HKLM\Run: SonyPowerCfg=c:\programme\sony\vaio power management\spmgr.exe
000=HKLM\Run: TkBellExe="c:\programme\gemeinsame dateien\real\update_ob\realsched.exe" -osboot
000=HKLM\Run: VirtualCloneDrive="c:\programme\tools\virtualclonedrive\vcddaemon.exe" /s
020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll
020=SSODL: hstsys=c:\windows\hstsys.dll
020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=c:\windows\system32\stobject.dll
020=SSODL: UPnPMonitor=c:\windows\system32\upnpui.dll
020=SSODL: WebCheck=C:\WINDOWS\system32\webcheck.dll
030=BHO: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=c:\programme\multimedia\acrobat 7.0\activex\acroiehelper.dll (AcroIEHlprObj Class)
030=BHO: {53707962-6F74-2D53-2644-206D7942484F}=c:\progra~1\tools\spybot~1\sdhelper.dll (Spybot-S&D IE Protection)
030=BHO: {AE7CD045-E861-484f-8273-0445EE161910}=c:\programme\multimedia\acrobat 7.0\acrobat\acroiefavclient.dll (AcroIEToolbarHelper Class)
031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll
031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll
031=Toolbar: {47833539-D0C5-4125-9FA8-0819E2EAAC93}=c:\programme\multimedia\acrobat 7.0\acrobat\acroiefavclient.dll
031=Toolbar: {47833539-D0C5-4125-9FA8-0819E2EAAC93}=c:\programme\multimedia\acrobat 7.0\acrobat\acroiefavclient.dll

Startup Folders
---------------
Common: desktop.ini
Common: windows-desktopsuche.lnk -> C:\PROGRA~1\WINDOW~4\WINDOW~1.EXE
Personal: desktop.ini

HOSTS
-----
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

RolandMetz 21.10.2007 18:15
Und das hier ist der Report von eScan

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.9
Sprache: German
Virus-Datenbank Datum: 10/19/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\Administrator\aircrack.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix.zip/SmitfraudFix/Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix.zip/SmitfraudFix/Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\smitfraudfix\process.exe
Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\smitfraudfix\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\smitfraudfix\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\smitfraudfix\swsc.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = C:\WINDOWS\system32\NavLogon.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\NavLogon). Deleting Registry Key NavLogon...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 182578
Gefundene Viren: 12
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 23
Dauer des Scans bisher: 01:49:13
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 19:06:06,93
Batchende: 19:06:24,00

RolandMetz 21.10.2007 18:17
Wie sieht es nun aus mit meinem Virus?
Ich les da nicht sonderlich viel raus...

RolandMetz 21.10.2007 18:21
Und das hier ist dann noch mein HijackThis.log

Logfile of HijackThis v1.99.1
Scan saved at 19:20:19, on 21.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Tools\Ad-Aware 2007\aawservice.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Agnitum\Outpost Firewall\outpost.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sony\VAIO Event Service\VESMgr.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet\TortoiseSVN\bin\TSVNCache.exe
C:\Programme\Sony\ISB Utility\ISBMgr.exe
C:\Programme\Sony\VAIO Power Management\SPMgr.exe
C:\Programme\Tools\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Tools\Notebook Hardware Control\nhc.exe
C:\Programme\Apoint\Apoint.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Programme\Intel\Wireless\Bin\iFrmewrk.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE
C:\Programme\Multimedia\DVBViewer\dvbviewer.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\SearchFilterHost.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Multimedia\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Tools\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Multimedia\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Multimedia\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\Sony\VAIO Power Management\SPMgr.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Tools\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Programme\Tools\Notebook Hardware Control\nhc.exe" -quiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Tools\Free Download Manager\dlall.htm
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Multimedia\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Multimedia\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Multimedia\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Multimedia\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Tools\Free Download Manager\dlselected.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Multimedia\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Multimedia\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Mit FDM herunterladen - file://C:\Programme\Tools\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Multimedia\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Multimedia\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\Tools\Seiten downloaden\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\Tools\Seiten downloaden\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Tools\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Tools\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: VESWinlogon - C:\WINDOWS\SYSTEM32\VESWinlogon.dll
O21 - SSODL: hstsys - {584C1CE2-244E-4BD9-9EA0-15C9A7D8CFB7} - C:\WINDOWS\hstsys.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Tools\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\Tools\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Programme\Sony\VAIO Event Service\VESMgr.exe

undoreal 22.10.2007 08:04
Vertraust du dieser Datei?
" C:\Dokumente und Einstellungen\Administrator\aircrack.exe " :zzwhip:

Wenn nicht dann lösche sie ebenfalls aus dem abgesicherten Modus heraus.

Hast du noch Probleme?


PS: Suche mal bitte wie in meiner Signatur beschrieben nach folgender Datei: " C:\WINDOWS\hstsys.dll " Sie dürfte eigentlich nicht zu finden sein.

Fixe also folgenden HJT Eintrag: * O21 - SSODL: hstsys - {584C1CE2-244E-4BD9-9EA0-15C9A7D8CFB7} - C:\WINDOWS\hstsys.dll (file missing) *

RolandMetz 22.10.2007 09:05
Hi

Habe die Datei im abgesicherten Modus gelöscht.

Die Datei hstsys.dll habe ich auch nicht gefunden, dann mit HijackThis gefixt. Nach einem Neustart steht da auch nichts mehr komisches drin.

Ansonsten hab ich auch keine Probleme mehr. Scheint wieder gut zu laufen.

Sonst noch einen Test, den ich machen kann?

undoreal 23.10.2007 15:25
Zitat:
Sonst noch einen Test, den ich machen kann?
jede Menge ;)

aber ich glaube, das sollte es gewesen sein.

RolandMetz 23.10.2007 15:29
OK

Dann vielen Dank für deine Hilfe


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:59 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131