Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   McAfee Rootkit Detective 1.1 findet verstekte Einträge (https://www.trojaner-board.de/48905-mcafee-rootkit-detective-1-1-findet-verstekte-eintraege.html)

katrin2811 30.01.2008 10:44
McAfee Rootkit Detective 1.1 findet verstekte Einträge
 
Hallo erst mal,
habe meinen Computer durch McAfee Rootkit Detective scannen lassen. Leider lieferte das Programm folgende Ergebnisse unter den "View hidden registry keys/values"

HKLM\SOFTWARE\Classes\.bpi
HKLM\SOFTWARE\Classes\.ids
HKLM\SOFTWARE\Classes\blue.Shortcut\shell\open\command
HKLM\SOFTWARE\Classes\blue.Shortcut
HKLM\SOFTWARE\Classes\blue.VCRInfo\shell\open\command
HKLM\SOFTWARE\Classes\blue.VCRInfo

Ist das ein Trojaner oder Virus? Vielleicht kann mir ja jemand helfen und weiß was das Programm da entdeckt hat?

Ich bedanke mich schon mal ganz doll im voraus für jede Hilfe die ich zu diesem Problem bekommen kann.
Lg Katrin

BataAlexander 30.01.2008 11:01
Hast Du eine Pinnacle Software auf dem Rechner?

Am besten postes Du ein Logfile

Deckards System Scanner (DSS)

Hier gibt es das Tool -> dss.exe
* Schließe alle Anwendungen
* Doppelklicke dss.exe um das Programm zu starten
* Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt der main.txt öffnen. Ein weiteres Logfile, die extra.txt liegt im Verzeichnis
c:\Deckard\SystemScanner\extra.txt
* Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte als [CODE]dazwischen müssen Deine Logs :)[/CODE].
* Drücke die "#" um diese Felder zu erzeugen.
Wichtig: Durchsuche die Log-Files nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
* Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.



Was Deckards System Scanner macht:
* Es Erstellt einen System Wiederherstellungspunkt
* es säubert die temporären Dateien, Downloaded Program Files, Internet Cache Dateien und es leert den Mülleimer auf allen Lauferken.
* es läd das Programm es führt das Programm HiJackThis aus (ggf. läd es dies aus dem Internet nach) und führt einen Systemscan aus
* es prüft verschiedene Systemeinstellungen

katrin2811 30.01.2008 21:18
Danke für deine Antwort. Vorweg, ja ich habe ein Pinnacle Programm auf meinem Rechner.

Ich hoffe ich hab dich richtig verstanden, mit dem rauskopieren und so. Ist ziehmlich viel. Deshalb erst mal die main.txt

Deckard's System Scanner v20071014.68
Run by K** K** on 2008-01-30 20:22:33
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
56: 2008-01-30 19:22:37 UTC - RP664 - Deckard's System Scanner Restore Point
55: 2008-01-30 18:13:30 UTC - RP663 - Systemprüfpunkt
54: 2008-01-29 18:06:01 UTC - RP662 - Systemprüfpunkt
53: 2008-01-27 17:44:03 UTC - RP661 - Systemprüfpunkt
52: 2008-01-26 11:40:00 UTC - RP660 - Systemprüfpunkt


-- First Restore Point --
1: 2007-11-02 17:07:09 UTC - RP609 - Systemprüfpunkt


Backed up registry hives.
Performed disk cleanup.



-- HijackThis Clone ------------------------------------------------------------


Emulating logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2008-01-30 20:24:21
Platform: Windows XP Service Pack 2 (5.01.2600)
MSIE: Internet Explorer (6.00.2900.2180)
Boot mode: Normal

Running processes:
Code:
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\explorer.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\SMax4.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\AcroTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Thomson\Lyra Jukebox\LyraHDTrayApp\LYRAHD2TrayApp.exe
C:\Programme\Qucktime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Maxtor\OneTouch Status\MaxMenuMgr.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.bin
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\Netropa\Inetkb\inetkb.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Maxtor\Sync\SyncServices.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\NetCologne\signup\wlanmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\K** K**\Desktop\dss.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://www.google.com/search?q=%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer bereitgestellt von NetCologne
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.netcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.google.com/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.netcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = h**p://www.google.com/ie
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.google.com/ie
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer bereitgestellt von NetCologne
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {82C783C4-1AC5-4C3A-A74F-D3B4996F6251} - C:\WINDOWS\system32\lfpng13t.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\GoogleToolbar4.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\epson\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\epson\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\GoogleToolbar4.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LyraHD2TrayApp] "C:\Programme\Thomson\Lyra Jukebox\LyraHDTrayApp\LYRAHD2TrayApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\Qucktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [mxomssmenu] "C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_0_8 -reboot 1
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQ\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} () - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
O17 - HKLM\SYSTEM\CCS\Services\Tcpip\..\{EDADF47F-E3EE-4C8F-B351-9C33E2EC1652}: NameServer = 213.168.112.60 194.8.194.60
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - C:\Programme\Maxtor\Sync\SyncServices.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
--
End of file - 10907 bytes

-- File Associations -----------------------------------------------------------
Code:
.js - JSFile - DefaultIcon - C:\Programme\Macromedia\Dreamweaver MX 2004\Dreamweaver.exe,2
.js - JSFile - shell\open\command - "C:\Programme\Macromedia\Dreamweaver MX 2004\Dreamweaver.exe" "%1"
-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

Code:
R0 PDDSLHND - c:\windows\system32\drivers\pddslhnd.sys <Not Verified; ProDyne; ProDyne DSL Handler>
R2 Sentinel - c:\windows\system32\drivers\sentinel.sys
R3 ASAPIW2k - c:\windows\system32\drivers\asapiw2k.sys <Not Verified; Pinnacle Systems GmbH; asapi>
R3 PDDSLADP (ProDyne DSL Adapter) - c:\windows\system32\drivers\pddsladp.sys <Not Verified; ProDyne; ProDyne DSL Adapter>
R3 pfc (Padus ASPI Shell) - c:\windows\system32\drivers\pfc.sys <Not Verified; Padus, Inc.; Padus(R) ASPI Shell>

S2 Asapi - c:\windows\system32\drivers\asapi.sys <Not Verified; VOB Computersysteme GmbH; asapi>
S3 CLPCIID - c:\programme\cyberlink\powerdvd\clpciid.sys <Not Verified; CyberLink Corp.; clpciid>
S3 PDNETCTL (ProDyne MicroPPPoE) - c:\windows\system32\drivers\pdnetctl.sys <Not Verified; ProDyne; ProDyne DSL Driver>
-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------
Code:
R2 AntiVirScheduler (AntiVir Scheduler) - c:\programme\antivir personaledition classic\sched.exe <Not Verified; Avira GmbH; Scheduler>
R2 nhksrv (Netropa NHK Server) - c:\programme\netropa\multimedia keyboard\nhksrv.exe
-- Device Manager: Disabled ----------------------------------------------------
Code:
Class GUID:
Description: RAID-Controller
Device ID: PCI\VEN_1106&DEV_3164&SUBSYS_80F41043&REV_06\4&2E98101C&0&20F0
Manufacturer:
Name: RAID-Controller
PNP Device ID: PCI\VEN_1106&DEV_3164&SUBSYS_80F41043&REV_06\4&2E98101C&0&20F0
Service:
-- Files created between 2007-12-30 and 2008-01-30 -----------------------------
Code:
2008-01-29 17:25:49        0 d-------- C:\RkUnhooker
2008-01-22 10:19:34        0 d-------- C:\Programme\Maxtor
2008-01-22 10:18:45        0 d-------- C:\WINDOWS\Downloaded Installations
2008-01-22 10:18:39        0 d-------- C:\Programme\MSXML 6.0
2008-01-22 10:18:21        0 d--hs---- C:\WINDOWS\ftpcache
-- Find3M Report ---------------------------------------------------------------
Code:
2008-01-30 16:46:26        0 d-------- C:\Dokumente und Einstellungen\K** K**\Anwendungsdaten\OpenOffice.org2
2008-01-28 21:58:27        0 d-------- C:\Dokumente und Einstellungen\K** K**\Anwendungsdaten\Adobe
2008-01-22 21:08:04        0 d-------- C:\Programme\No23 Recorder
2008-01-12 20:15:20        0 d-------- C:\Programme\DOSBox-0.72
-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown

Code:
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{82C783C4-1AC5-4C3A-A74F-D3B4996F6251}]
05.08.2006 16:29        31635        --a------        C:\WINDOWS\System32\lfpng13t.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [29.05.2003 15:28]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [30.05.2003 08:42]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [12.12.2003 10:31]
"MULTIMEDIA KEYBOARD"="C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe" [07.11.2001 14:43]
"WinampAgent"="C:\Programme\Winamp\Winampa.exe" [02.10.2001 01:42]
"PinnacleDriverCheck"="C:\WINDOWS\System32\PSDrvCheck.exe" [10.03.2004 16:26]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [12.01.2006 19:52]
"@"="" []
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [14.10.2007 10:49]
"LyraHD2TrayApp"="C:\Programme\Thomson\Lyra Jukebox\LyraHDTrayApp\LYRAHD2TrayApp.exe" [31.03.2005 19:10]
"QuickTime Task"="C:\Programme\Qucktime\qttask.exe" [14.05.2006 18:45]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [02.01.2007 18:24]
"mxomssmenu"="C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe" [06.09.2007 14:53]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [13.10.2004 17:24]
"Start WingMan Profiler"="" []
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" [30.03.2006 15:45]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [15.07.2007 10:16]

C:\Dokumente und Einstellungen\K** K**\Startmen\Programme\Autostart\
OpenOffice.org 2.0.lnk - C:\Programme\OpenOffice.org 2.0\program\quickstart.exe [25.01.2006 18:42:22]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat Speed Launcher.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-0000-7760-000000000002}\SC_Acrobat.exe [07.01.2004 18:37:35]
InterVideo WinCinema Manager.lnk - C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe [21.04.2004 10:44:25]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [21.01.2000 09:15:54]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"


-- End of Deckard's System Scanner: finished at 2008-01-30 20:25:21 ------------


Ist das das was du meintest? die extra.txt ist noch länger und besteht zum größen Teil aus diesen codes hier mit den verschiedenen Versionen:

Code:
AV: AntiVir PersonalEdition Classic Virenschutz v0.0.0.0 (AntiVir PersonalProducts GmbH)
Soll ich die Datei dann auch komplett posten?

BataAlexander 31.01.2008 10:03
Kannst Du als Anhang posten

die Datei

C:\WINDOWS\System32\lfpng13t.dll

bitte bei VirusTotal - Free Online Virus and Malware Scan prüfen lassen und das Ergebnis hier posten (incl. MD5 / SHA1).

katrin2811 06.02.2008 16:17
Es hat ja eine Weile gedauert aber ich habs dann auch endlich geschafft die Datei überprüfen zu lassen. Hier erstmal das Ergebnis von VirusTotal:

Code:

Datei lfpng13t.dll empfangen 2008.02.06 15:47:30 (CET)

Ergebnis: 25/32 (78.13%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.6.10 2008.02.05 Win-Trojan/KorGameHack.9728
AntiVir 7.6.0.62 2008.02.06 ADSPY/Stud.A.1
Authentium 4.93.8 2008.02.05 -
Avast 4.7.1098.0 2008.02.05 Win32:Trojano-3384
AVG 7.5.0.516 2008.02.06 Adware Generic.LRH
BitDefender 7.2 2008.02.06 Trojan.Downloader.6588.E
CAT-QuickHeal 9.00 2008.02.04 AdWare.Stud.a (Not a Virus)
ClamAV 0.92 2008.02.06 Adware.BHO-13
DrWeb 4.44.0.09170 2008.02.06 Trojan.DownLoader.6588
eSafe 7.0.15.0 2008.01.28 -
eTrust-Vet 31.3.5512 2008.02.05 -
Ewido 4.0 2008.02.06 Downloader.Small.cgu
FileAdvisor 1 2008.02.06 -
Fortinet 3.14.0.0 2008.02.06 W32/Small.CGU!tr
F-Prot 4.4.2.54 2008.02.05 W32/Adware.PL
F-Secure 6.70.13260.0 2008.02.06 -
Ikarus T3.1.1.20 2008.02.06 not-a-virus:AdWare.Win32.Stud.d
Kaspersky 7.0.0.125 2008.02.06 not-a-virus:AdWare.Win32.Stud.a
McAfee 5223 2008.02.05 potentially unwanted program Adware-KeenValue
Microsoft 1.3204 2008.02.05 Trojan:Win32/Webprefix
NOD32v2 2853 2008.02.06 Win32/Adware.BHO.AA
Norman 5.80.02 2008.02.06 W32/Stud.B
Panda 9.0.0.4 2008.02.05 Adware/KeenValue
Prevx1 V2 2008.02.06 -
Rising 20.29.22.00 2008.01.30 Trojan.PSW.KorGame.i
Sophos 4.26.0 2008.02.06 MapKon
Sunbelt 2.2.907.0 2008.02.05 -
Symantec 10 2008.02.06 Adware.Webprefix
TheHacker 6.2.9.210 2008.02.06 Adware/Stud.a
VBA32 3.12.6.0 2008.02.06 AdWare.Win32.Stud.a
VirusBuster 4.3.26:9 2008.02.05 Adware.Stud.Gen
Webwasher-Gateway 6.6.2 2008.02.06 Ad-Spyware.Stud.A.1
weitere Informationen
File size: 31635 bytes
MD5: 839dcc8e580912d75652da7e43813bda
SHA1: baff997fcd292778fc4e9b9456a280bf9755c707
PEiD: -
packers: UPX
packers: UPX
packers: UPX
packers: UPX

Als Anhang ist extra.txt allerdings zu groß. Deshalb teile ich die Datei dann mal auf.

Lg Katrin

BataAlexander 06.02.2008 17:50
Poste das extra Log bei nopaste.com (beta) und füge den Link Deiner Antwort bei.

Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
- Mache einen Doppelklick auf combofix.exe
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:45 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131