Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   YOur computer is infected - roter Kreis mit weißem Kreuz (https://www.trojaner-board.de/62259-your-computer-is-infected-roter-kreis-weissem-kreuz.html)

morpheusXtr 17.10.2008 10:17
YOur computer is infected - roter Kreis mit weißem Kreuz
 
Hallo erstmal! Bin neu hier seit ca. 5 Minuten, denn: ich habe ein Problem!

Ich habe gesehen, dass dieses Thema hier zwar schon öfters behandelt wurde, aber ich wollte meine LOG Datei reinstellen.

Also gestern abend öffnet sich ein Pop-Up Fenster und der Rechner (WINXP SP2) fährt automatisch runter. Nach Neustart - unten rechts im Tray roter Kreis mit weißem Kreuz mit der Warnung "your computer is infected...)
Ich habe dort NICHT drauf geklickt.
Habe zuerst mit "Spybot - Search & Destroy" alles durchlaufen lassen und die gefundenen Sachen entfernen lassen.
Roter Kreis mit weißem Kreuz blieb!
Nun habe ich heute morgen mit "Malwarebytes' Anti-Malware" alles durchsucht und habe auch nochmal was gefunden und entfernen lassen. Die LOG-Datei (siehe unten).
Seitdem ist dieser rote Kreis mit weißem Kreuz weg und auch der Internet Explorer funktioniert wieder.
Aber: Ich hatte davor immer das rote Security-Schild von XP unten rechts im Tray (deswegen rot, weil ich automatische Updates und die Windows Firewall abgeschaltet habe). Und dieses Security-Schild fehlt nun.
Meine Frage: Könnt ihr anhand der LOG Datei von Malwarebytes' Anti-Malware sehen, ob nun alles wieder ok ist?
Bitte helft mir - woher weiß ich, dass alles wieder normal ist???
Danke euch!

Hier meine LOG-Datei:

Malwarebytes' Anti-Malware 1.29
Datenbank Version: 1276
Windows 5.1.2600 Service Pack 2

17.10.2008 10:48:17
mbam-log-2008-10-17 (10-48-17).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 132971
Laufzeit: 44 minute(s), 11 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{342CF724-4BDA-6CB7-80C8-03E4FB648091} (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\srvcmden (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\comcfg (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brastk (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brastk (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\uvs0hroilx (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\pmbnojc\srvcmden.dll (Trojan.FakeAlert.H) -> Delete on reboot.
C:\WINDOWS\system32\jwtmnqro.exe (Trojan.FakeAlert.H) -> Delete on reboot.
C:\WINDOWS\system32\brastk.exe (Trojan.FakeAlert.H) -> Delete on reboot.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\darsvixi\tkvczijs.exe (Trojan.FakeAlert.H) -> Delete on reboot.

nochdigger 17.10.2008 16:04
Hallo und :hallo:

Zitat:
Meine Frage: Könnt ihr anhand der LOG Datei von Malwarebytes' Anti-Malware sehen, ob nun alles wieder ok ist?
Kurz, NEIN

Erstelle bitte mal ein Hijackthis Log und lass anschließend Combofix dein System untersuchen
Zitat:
ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
Poste bitte beide Logs hierher, dann sehen wir weiter.

MFG

morpheusXtr 18.10.2008 08:49
Hallo,
danke für deine schnelle Antwort!
Habe nun alles so gemacht, wie du gesagt hast:
1. HijackThis:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:37:02, on 18.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\sm56hlpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Cyberlink\Shared Files\brs.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Eraser\eraser.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://alice.aol.de
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Programme\ReGetDx\iebar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Programme\Launch Manager\OSD.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SMSERIAL] C:\WINDOWS\sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [BullGuard] "C:\Programme\BullGuard Software\BullGuard\bullguard.exe" -boot
O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c "
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [LClock] C:\Programme\LClock\LClock.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [BDRegion] C:\Programme\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1163614636698
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 8663 bytes
2. CCleaner laufen lassen, wie in der Beschreibung

3. ComboFix:

Code:
ComboFix 08-10-17.01 - XXX 2008-10-18  9:36:04.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\XXX\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\inst.exe

.
(((((((((((((((((((((((  Dateien erstellt von 2008-09-18 bis 2008-10-18  ))))))))))))))))))))))))))))))
.

2008-10-18 09:26 . 2008-10-18 09:26        <DIR>        d--------        C:\Programme\CCleaner
2008-10-17 09:59 . 2008-10-17 09:59        <DIR>        d--------        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Malwarebytes
2008-10-17 09:59 . 2008-10-17 09:59        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-16 22:28 . 2008-10-17 12:24        <DIR>        d--------        C:\Programme\Spybot - Search & Destroy
2008-10-16 22:28 . 2008-10-17 12:24        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-16 21:29 . 2008-10-17 10:51        <DIR>        d--------        C:\Programme\pmbnojc
2008-10-16 21:29 . 2008-10-17 10:51        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\darsvixi
2008-09-28 08:39 . 2008-09-28 08:39        <DIR>        d--------        C:\Programme\CrossLoop
2008-09-27 09:19 . 2008-09-27 10:53        54,156        --ah-----        C:\WINDOWS\QTFont.qfn
2008-09-27 09:19 . 2008-09-27 10:53        1,409        --a------        C:\WINDOWS\QTFont.for

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-18 06:26        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-10-17 17:46        ---------        d-----w        C:\Programme\Eraser
2008-10-17 09:05        ---------        d-----w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Azureus
2008-10-14 19:07        ---------        d-----w        C:\Programme\eMule
2008-10-13 07:15        ---------        d-----w        C:\Programme\ReGetDx
2008-10-11 09:45        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-10-11 09:41        ---------        d-----w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Vso
2008-09-03 19:32        14,852        ----a-w        C:\Programme\settings.dat
2008-09-03 19:32        ---------        d-----w        C:\Programme\PDFCreator
2008-09-03 19:16        ---------        d-----w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\WordToPDF
2008-01-25 06:10        47,360        ----a-w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\pcouffin.sys
2007-08-08 00:11        1,794,816        ----a-w        C:\WINDOWS\inf\IEM\1.exe
2006-12-15 14:44        81,920        ----a-w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\ezpinst.exe
2006-12-15 00:27        0        ----a-w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\wklnhst.dat
2006-11-15 19:12        8        --sh--r        C:\WINDOWS\system32\8679CB5C67.sys
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-24 15360]
"Eraser"="C:\Programme\Eraser\eraser.exe" [2006-08-07 634880]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 67584]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-09-06 7585792]
"LaunchAp"="C:\Programme\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
"HotkeyApp"="C:\Programme\Launch Manager\HotkeyApp.exe" [2006-09-04 65536]
"CtrlVol"="C:\Programme\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"LMgrOSD"="C:\Programme\Launch Manager\OSD.exe" [2005-03-16 204800]
"Wbutton"="C:\Programme\Launch Manager\Wbutton.exe" [2006-07-10 86016]
"SMSERIAL"="C:\WINDOWS\sm56hlpr.exe" [2006-04-05 565248]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-05-25 786521]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2006-08-02 802816]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2006-08-02 696320]
"InstantOn"="C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe" [2005-09-23 93640]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-01 282624]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-11 406016]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 1836328]
"BDRegion"="C:\Programme\Cyberlink\Shared Files\brs.exe" [2007-11-16 91432]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2007-10-28 72736]
"LanguageShortcut"="C:\Programme\CyberLink\PowerDVD\Language\Language.exe" [2007-10-11 62760]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-22 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 C:\WINDOWS\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-24 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.mkdmp3enc"= C:\PROGRA~1\HOMECI~1\MAGICD~1\Kernel\Burner\MKDMP3Enc.ACM
"VIDC.ACDV"= ACDV.dll
"VIDC.MJPG"= Pvmjpg30.dll
"VIDC.I420"= vdrcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programme\\NetMeeting\\Conf.exe"=
"C:\\Programme\\AntiVir PersonalEdition Classic\\avcenter.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\CrossLoop\\CrossLoopConnect.exe"=

R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 9867]
R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};C:\Programme\CyberLink\PowerDVD\000.fcl [2007-11-02 21:42 41456]
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 7040]
S1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys [ ]
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\NSNDIS5.SYS [ ]
S3 PEEK5;PEEK5 Protocol Driver;C:\DOKUME~1\MORPHE~1\EIGENE~1\W-LAN\WEP-AI~1\AIRCRA~1.1_W\PEEK5.SYS [ ]
S3 PhilCap;PhilCap service;C:\WINDOWS\system32\DRIVERS\PhilCap.sys [2006-10-12 1053824]

*Newly Created Service* - PROCEXP90

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D8E046D5-C796-6B6E-9A3B-CB09AA51CE29}]
C:\WINDOWS\inf\IEM\Stream.exe
.
.
------- Zusätzlicher Suchlauf -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.web.de/
R0 -: HKLM-Main,Start Page = hxxp://www.google.com
R1 -: HKCU-Internet Connection Wizard,ShellNext = iexplore
O8 -: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 -: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 -: Nach Microsoft E&xel exportieren - C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-10-18 09:37:56
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
"ImagePath"="\??\C:\Programme\CyberLink\PowerDVD\000.fcl"
.
Zeit der Fertigstellung: 2008-10-18  9:39:01
ComboFix-quarantined-files.txt  2008-10-18 07:38:57

Vor Suchlauf: 9.225.670.656 Bytes frei
Nach Suchlauf: 9,789,558,784 Bytes frei

143
So: Nun die große Frage: ist mein System frei von "MÜLL und Trojanern"???:crazy:

Bitte um Auswertung der beiden LOGs.
P.S.: super schnelle Antwort hier im Forum! Genial!

Danke schon mal!

morpheusXtr 18.10.2008 17:37
Hallo???

Kann jemand in diesem Board die beiden LOGs auswerten und mir sagen, ob mein System sweit "clear" ist?

Ihr würdet mir echt helfen!
Grüße euer morpheuxtr

nochdigger 19.10.2008 06:30
Hallo

Zitat:
So: Nun die große Frage: ist mein System frei von "MÜLL und Trojanern"?
Nö, guckst du:rolleyes:
Zitat:
C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Azureus
C:\Programme\eMule

Lass bitte diese Dateien

C:\WINDOWS\inf\IEM\1.exe
C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\ezpinst.exe
C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\wklnhst.dat
C:\WINDOWS\system32\8679CB5C67.sys

hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die gesamten Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben oder verlinke auf die Auswertung,
bitte auch wenn nichts gefunden wurde.


Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
Folder::
C:\Programme\pmbnojc
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\darsvixi
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!
http://users.pandora.be/bluepatchy/m...s/CFScript.gif
  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

MFG

morpheusXtr 19.10.2008 07:23
Hi nochdigger,
danke für deine Hilfe - ich bin so nichtsahnend was Viren angeht.
Habe jetzt mal versucht diese Dateien mit VirusTotal hochzuladen und zu überprüfen:

Die ersten 3 Dateien: Kein Problem (wobei bei der 3. Datei kein richtiges Ergebnis kam - aber schau dir den Link an) --> hier die Links:

http://www.virustotal.com/de/analisis/63c9809f63ee9a600e30b22f47e94eb0

http://www.virustotal.com/de/analisis/06b1939858658c7d290d156e7d39ef9f

http://www.virustotal.com/vt/de/recepcion?84a64bc8218036cbc05044ffe8d6419b

Die 4. Datei C:\WINDOWS\system32\8679CB5C67.sys --> habe ich nicht gefunden bei mir aufm Rechner!

Soll ich jetzt das mit dem Combofix, was du mir grad noch gepostet hast nun trotzdem machen oder nicht???
Wie soll ich weiter machen?!

Danke dir!

nochdigger 19.10.2008 08:47
Hallo

Zitat:
Soll ich jetzt das mit dem Combofix, was du mir grad noch gepostet hast nun trotzdem machen oder nicht???
Wie soll ich weiter machen?!
Wie beschrieben mit dem Combofix Scripten (Guard von Antivir deaktivieren;)).

Nach einem Neustart lade dir bitte das AVP-Tool von Kaspersky runter und lass es dein System untersuchen.
Kaspersky - AVP Tool
berichte anschließend bitte ob und was gefunden wurde.

MFG

morpheusXtr 19.10.2008 15:34
So habe nun mit dem Combofix Scripten folgende Log erhalten:

Code:
ComboFix 08-10-17.01 - XXX 2008-10-19 10:20:23.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.559 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\XXX\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\XXX\Desktop\cfscript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\darsvixi
C:\Programme\pmbnojc

.
(((((((((((((((((((((((  Dateien erstellt von 2008-09-19 bis 2008-10-19  ))))))))))))))))))))))))))))))
.

2008-10-18 09:43 . 2008-10-18 09:43        <DIR>        d--------        C:\WINDOWS\system32\LogFiles
2008-10-17 09:59 . 2008-10-17 09:59        <DIR>        d--------        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Malwarebytes
2008-10-17 09:59 . 2008-10-17 09:59        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-16 22:28 . 2008-10-17 12:24        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-28 08:39 . 2008-09-28 08:39        <DIR>        d--------        C:\Programme\CrossLoop
2008-09-27 09:19 . 2008-09-27 10:53        54,156        --ah-----        C:\WINDOWS\QTFont.qfn
2008-09-27 09:19 . 2008-09-27 10:53        1,409        --a------        C:\WINDOWS\QTFont.for

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-19 08:07        ---------        d-----w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Azureus
2008-10-19 06:26        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-10-18 21:47        ---------        d-----w        C:\Programme\Eraser
2008-10-14 19:07        ---------        d-----w        C:\Programme\eMule
2008-10-13 07:15        ---------        d-----w        C:\Programme\ReGetDx
2008-10-11 09:45        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-10-11 09:41        ---------        d-----w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Vso
2008-09-03 19:32        ---------        d-----w        C:\Programme\PDFCreator
2008-09-03 19:16        ---------        d-----w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\WordToPDF
2008-01-25 06:10        47,360        ----a-w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\pcouffin.sys
2007-08-08 00:11        1,794,816        ----a-w        C:\WINDOWS\inf\IEM\1.exe
2006-12-15 14:44        81,920        ----a-w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\ezpinst.exe
2006-12-15 00:27        0        ----a-w        C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\wklnhst.dat
2006-11-15 19:12        8        --sh--r        C:\WINDOWS\system32\8679CB5C67.sys
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-24 15360]
"Eraser"="C:\Programme\Eraser\eraser.exe" [2006-08-07 634880]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 67584]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-09-06 7585792]
"LaunchAp"="C:\Programme\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
"HotkeyApp"="C:\Programme\Launch Manager\HotkeyApp.exe" [2006-09-04 65536]
"CtrlVol"="C:\Programme\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"LMgrOSD"="C:\Programme\Launch Manager\OSD.exe" [2005-03-16 204800]
"Wbutton"="C:\Programme\Launch Manager\Wbutton.exe" [2006-07-10 86016]
"SMSERIAL"="C:\WINDOWS\sm56hlpr.exe" [2006-04-05 565248]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-05-25 786521]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2006-08-02 802816]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2006-08-02 696320]
"InstantOn"="C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe" [2005-09-23 93640]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-01 282624]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-11 406016]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 1836328]
"BDRegion"="C:\Programme\Cyberlink\Shared Files\brs.exe" [2007-11-16 91432]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2007-10-28 72736]
"LanguageShortcut"="C:\Programme\CyberLink\PowerDVD\Language\Language.exe" [2007-10-11 62760]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-22 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 C:\WINDOWS\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-24 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.mkdmp3enc"= C:\PROGRA~1\HOMECI~1\MAGICD~1\Kernel\Burner\MKDMP3Enc.ACM
"VIDC.ACDV"= ACDV.dll
"VIDC.MJPG"= Pvmjpg30.dll
"VIDC.I420"= vdrcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\AntiVir PersonalEdition Classic\\avcenter.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\CrossLoop\\CrossLoopConnect.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\NetMeeting\\Conf.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=

R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 9867]
R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};C:\Programme\CyberLink\PowerDVD\000.fcl [2007-11-02 21:42 41456]
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 7040]
S1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys [ ]
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\NSNDIS5.SYS [ ]
S3 PEEK5;PEEK5 Protocol Driver;C:\DOKUME~1\MORPHE~1\EIGENE~1\W-LAN\WEP-AI~1\AIRCRA~1.1_W\PEEK5.SYS [ ]
S3 PhilCap;PhilCap service;C:\WINDOWS\system32\DRIVERS\PhilCap.sys [2006-10-12 1053824]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D8E046D5-C796-6B6E-9A3B-CB09AA51CE29}]
C:\WINDOWS\inf\IEM\Stream.exe
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-10-19 10:22:53
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
"ImagePath"="\??\C:\Programme\CyberLink\PowerDVD\000.fcl"
.
Zeit der Fertigstellung: 2008-10-19 10:23:52
ComboFix-quarantined-files.txt  2008-10-19 08:23:45

Vor Suchlauf: 7.946.309.632 Bytes frei
Nach Suchlauf: 8,248,455,168 Bytes frei

129
Danach habe ich mit dem AVP-Tool von Kaspersky mein System untersuchen lassen und folgenden Report erhalten:

Code:
Scan
----
Scanned:        653630
Detected:        5
Untreated:        0
Start time:        19.10.2008 12:13:30
Duration:        03:30:46
Finish time:        19.10.2008 15:44:16


Detected
--------
Status        Object
------        ------
deleted: riskware not-a-virus:RemoteAdmin.Win32.WinVNC-based.h        File: C:\Dokumente und Einstellungen\XXX\Eigene Dateien\Downloads\CrossLoop231Setup.exe//file057
deleted: riskware not-a-virus:RemoteAdmin.Win32.WinVNC-based.b        File: C:\Dokumente und Einstellungen\XXX\Eigene Dateien\Downloads\CrossLoop231Setup.exe//file058
deleted: riskware not-a-virus:RemoteAdmin.Win32.WinVNC-based.b        File: C:\Programme\CrossLoop\VNCHooks.dll
deleted: riskware not-a-virus:RemoteAdmin.Win32.WinVNC-based.h        File: C:\Programme\CrossLoop\winvnc.exe
deleted: riskware not-a-virus:RiskTool.Win32.CloseApp.e        File: C:\WINDOWS\system32\closeapp.exe


Events
------
Time        Name        Status        Reason
----        ----        ------        ------


Statistics
----------
Object        Scanned        Detected        Untreated        Deleted        Moved to Quarantine        Archives        Packed files        Password protected        Corrupted
------        -------        --------        ---------        -------        -------------------        --------        ------------        ------------------        ---------


Settings
--------
Parameter        Value
---------        -----
Security Level        Recommended
Action        Prompt for action when the scan is complete
Run mode        Manually
File types        Scan all files
Scan only new and changed files        No
Scan archives        All
Scan embedded OLE objects        All
Skip if object is larger than        No
Skip if scan takes longer than        No
Parse email formats        No
Scan password-protected archives        No
Enable iChecker technology        No
Enable iSwift technology        No
Show detected threats on "Detected" tab        Yes
Rootkits search        Yes
Deep rootkits search        No
Use heuristic analyzer        Yes


Quarantine
----------
Status        Object        Size        Added
------        ------        ----        -----


Backup
------
Status        Object        Size
------        ------        ----
So, nun bin ich mal auf die Auswertung gespannt - ist mein System nun endlich soweit "clean" oder fehlt noch was???
Danke für bisherige Hilfe - habt du dir das selber bei gebracht oder bist du Profi???

Mfg Morpheusxtr

nochdigger 19.10.2008 16:50
Hallo

Zitat:
deleted: riskware not-a-virus:RiskTool.Win32.CloseApp.e File: C:\WINDOWS\system32\closeapp.exe
wenn CrossLoop beabsichtigt installiert worden ist, denke ich man kann dich entlassen.
Behalte Malwarebytes und überprüfe dein System in den nächsten Tagen mal zwischendurch (vorher updaten), wenn nix mehr gefunden wird sollte es das gewesen sein.

Zitat:
Danke für bisherige Hilfe - habt du dir das selber bei gebracht oder bist du Profi?
Nein kein Profi höchstens fortgeschrittener DAU;), ich habe mir vor Jahren wie viele andere auch den Sasser eingefangen und seit dem mit dem Thema beschäftigt.


MFG

morpheusXtr 20.10.2008 07:52
Hi nochdigger!

Also Crossloop hatte ich nicht installiert (vielleicht mein kleiner Bruder) - egal!
Ist ja, wenn er es braucht schnell wieder installiert.
Dir noch mal ein herzlichen Dank - habe bisher keine Warnung von AntiVir bekommen und lasse nun wöchentlich einmal Malware laufen.

Warst mir ne riesen Hilfe - ich dachte schon, ich müsste alles Platt machen.
Gruß morpheusxtr:singsing:


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:19 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27