Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Proxy.Agent.brp (https://www.trojaner-board.de/76473-tr-proxy-agent-brp.html)

Dexian 16.08.2009 19:35
TR/Proxy.Agent.brp
 
Hallo liebe Community,

seitdem ich einen USB Stick angeschlossen habe und mir gesagt wurde, dass die Autorun.ini verseucht sei, habe ich ein Problem mit einem Trojaner.

Mein Antivir sagt mir gleich zu Beginn, dass ich unter
"C:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Temp"

einen Trojaner hätte.

Das kuriose: Die Datei in Temp heißt mal z.B.:

-265.exe
-714.exe
-584.exe
-usw.

Klartext: Die Datei hat immer wieder einen anderen Namen.
Manchmal öffnet sich auch meine Windows Firewall und fragt, ob sie
das Programm 265.exe blocken soll.

Antivir sagt, der Trojaner heißt "Tr\Proxy.Agent.brp".

Im Internet finde ich leider nichts.

Könnt ihr mir weiterhelfen?


Liebe Grüße

kira 16.08.2009 21:24
Hallo und Herzlich Willkommen! :)

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

2.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

3.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

5.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
  • - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
    - starte gmer.exe
    - schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
    - bitte nichts am Pc machen während der Scan läuft!
    - klicke auf "Scan", um das Tool zu starten
    - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
    - mit "Ok" wird Gmer beendet.
    - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

6.
  • lade F-Secure Blacklight in einen neuen Ordner C:\programme\blacklight.
  • schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  • nichts am Pc machen während der Scan läuft!
  • starte in diesem Ordner fsbl.exe
  • klicke auf "I accept the agreement" → "next" → "Scan"
  • wenn der Scan beendet ist, wähle Close.
  • der Bericht ist fsbl-XXX.log und befindet sich im Blacklight Verzeichnis. (anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten). Den Inhalt dieser Datei bitte posten.
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein log schreibst du:[code]
hier kommt dein logfile rein
→ dahinter:[/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw
gruß
Coverflow

Dexian 16.08.2009 21:36
1.

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:36:10, on 16.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\StrokeIt\StrokeIt.exe
C:\DOKUME~1\Gerrit\LOKALE~1\Temp\265.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Miranda IM\miranda32.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\DOKUME~1\Gerrit\LOKALE~1\Temp\265.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [StrokeIt] C:\Programme\StrokeIt\StrokeIt.exe
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1248972601109
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 5429 bytes

Dexian 16.08.2009 21:42
3.1

Code:
----- Root -----------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: C078-A8A6

 Verzeichnis von C:\

16.08.2009  22:39                43 filelist.txt
16.08.2009  20:23    1.598.029.824 pagefile.sys
03.08.2009  19:46          251.712 ntldr
24.07.2009  23:25                0 CONFIG.SYS
24.07.2009  23:25                0 MSDOS.SYS
24.07.2009  23:25                0 IO.SYS
24.07.2009  23:25                0 AUTOEXEC.BAT
17.07.2009  22:06              211 boot.ini

              10 Datei(en)  1.598.334.306 Bytes
              0 Verzeichnis(se), 13.047.906.304 Bytes frei
 
----- Windows --------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: C078-A8A6

 Verzeichnis von C:\WINDOWS

16.08.2009  20:44              435 system.ini
16.08.2009  20:39        1.674.733 WindowsUpdate.log
16.08.2009  20:30            7.680 Thumbs.db
16.08.2009  20:23                0 0.log
16.08.2009  20:23            2.048 bootstat.dat
15.08.2009  13:56            10.278 SchedLgU.Txt
14.08.2009  14:00          470.178 setupapi.log
14.08.2009  01:55          598.961 iis6.log
14.08.2009  01:55          130.473 comsetup.log
14.08.2009  01:55            77.044 ntdtcsetup.log
14.08.2009  01:55          246.209 tsoc.log
14.08.2009  01:55            19.856 ocmsn.log
14.08.2009  01:55            27.574 tabletoc.log
14.08.2009  01:55            1.374 imsins.log
14.08.2009  01:55            67.517 KB968389.log
14.08.2009  01:55            93.436 netfxocm.log
14.08.2009  01:55            38.396 MedCtrOC.log
14.08.2009  01:55          261.265 ocgen.log
14.08.2009  01:55            26.671 msgsocm.log
14.08.2009  01:55          530.912 FaxSetup.log
14.08.2009  01:55          167.274 msmqinst.log
14.08.2009  01:55          143.056 updspapi.log
14.08.2009  01:45              630 win.ini
05.08.2009  15:21            11.629 KB951978.log
05.08.2009  15:21            10.612 KB954459.log
03.08.2009  22:12          316.640 WMSysPr9.prx
03.08.2009  22:12            1.174 OEWABLog.txt
03.08.2009  22:12              369 DtcInstall.log
03.08.2009  22:11              187 spupdsvc.log.1.log
03.08.2009  22:10          817.922 setuplog.txt
03.08.2009  20:11          561.673 svcpack.log
03.08.2009  20:11            43.760 KB972260.log
03.08.2009  20:11          207.911 KB971633.log
03.08.2009  20:10          204.507 KB970238.log
03.08.2009  20:10          202.999 KB968537.log
03.08.2009  20:10          209.512 KB967715.log
03.08.2009  20:09          209.903 KB961501.log
03.08.2009  20:09          200.939 KB961371.log
03.08.2009  20:09          202.569 KB960803.log
03.08.2009  20:09          213.179 KB960225.log
03.08.2009  20:09          216.756 KB959426.log
03.08.2009  20:08          198.541 KB958687.log
03.08.2009  20:08          192.672 KB958644.log
03.08.2009  20:08          198.695 KB957097.log
03.08.2009  20:08          206.500 KB956803.log
03.08.2009  20:08          200.243 KB956802.log
03.08.2009  20:08          215.957 KB956572.log
03.08.2009  20:07            51.450 KB955839.log
03.08.2009  20:07          191.629 KB955069.log
03.08.2009  20:07          190.913 KB954600.log
03.08.2009  20:07          215.930 KB952954.log
03.08.2009  20:07          197.924 KB952287.log
03.08.2009  20:07          211.397 KB952004.log
03.08.2009  20:06          210.563 KB951748.log
03.08.2009  20:06          206.632 KB951376-v2.log
03.08.2009  20:06          197.459 KB951066.log
03.08.2009  20:06          213.424 KB950974.log
03.08.2009  20:06          198.529 KB950762.log
03.08.2009  20:06          205.642 KB946648.log
03.08.2009  20:06          200.439 KB938464-v2.log
03.08.2009  20:06          192.278 KB923561.log
03.08.2009  20:00              373 cmsetacl.log
03.08.2009  20:00            1.334 sessmgr.setup.log
03.08.2009  17:24            60.683 ie8_main.log
03.08.2009  17:24            60.361 KB972260-IE8.log
03.08.2009  17:23            52.242 KB972636-IE8.log
03.08.2009  17:23            57.942 ie8.log
03.08.2009  17:15          181.790 setupact.log
31.07.2009  18:33            7.308 WgaNotify.log
31.07.2009  14:32            25.300 KB935448.log
31.07.2009  14:30            22.240 KB973346.log
31.07.2009  14:29            21.832 KB952069.log
31.07.2009  14:28            19.786 KB941569.log
31.07.2009  14:28            19.949 KB923689.log
31.07.2009  14:25            19.256 KB944338-v2.log
30.07.2009  02:38            2.829 War3Unin.pif
30.07.2009  02:38          139.264 War3Unin.exe
30.07.2009  01:22            1.348 regopt.log
30.07.2009  00:46            9.108 KB893803v2.log
30.07.2009  00:45            8.663 KB898461.log
30.07.2009  00:44            6.395 KB835221.log
30.07.2009  00:37            8.192 REGLOCS.OLD
30.07.2009  00:33            3.812 KB839210.log
30.07.2009  00:33            8.093 KB912812.log
30.07.2009  00:32            4.161 ODBCINST.INI
30.07.2009  00:31              749 WindowsShell.Manifest
30.07.2009  00:28                37 vbaddin.ini
30.07.2009  00:28                36 vb.ini
25.07.2009  11:47            82.154 spupdsvc.log
25.07.2009  09:33            1.374 imsins.BAK
25.07.2009  09:33            11.782 KB960859.log
25.07.2009  09:33            11.721 KB971657.log
25.07.2009  09:33            11.221 KB971557.log
25.07.2009  09:33            7.368 KB956744.log
25.07.2009  09:32            6.975 KB973869.log
25.07.2009  09:32            11.857 KB973507.log
25.07.2009  09:32            6.570 KB973354.log
25.07.2009  09:31            6.433 KB973540.log
25.07.2009  09:31            19.414 wmsetup.log
25.07.2009  09:30            10.924 KB973815.log
24.07.2009  23:25                0 Sti_Trace.log
24.07.2009  23:25                0 setuperr.log
24.07.2009  23:25                0 nsreg.dat
24.07.2009  23:25                0 control.ini
23.07.2009  18:07          106.736 War3Unin.dat
19.07.2009  03:30              624 wiadebug.log
19.07.2009  03:00          309.744 msxml4-KB954430-enu.LOG
18.07.2009  21:35                50 wiaservc.log
            150 Datei(en)    39.266.059 Bytes
              0 Verzeichnis(se), 13.047.889.920 Bytes frei
 
----- System  ---
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: C078-A8A6

 Verzeichnis von C:\WINDOWS\system

              25 Datei(en)        929.787 Bytes
              0 Verzeichnis(se), 13.047.894.016 Bytes frei
 
----- System 32 (Achtung: Zeitfenster beachten!) ---
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: C078-A8A6

 Verzeichnis von C:\WINDOWS\system32

16.08.2009  20:23            2.278 wpa.dbl
14.08.2009  13:00          320.104 perfh007.dat
14.08.2009  13:00          314.508 perfh009.dat
14.08.2009  13:00            40.836 perfc009.dat
14.08.2009  13:00            49.166 perfc007.dat
14.08.2009  13:00          724.842 PerfStringBackup.INI
14.08.2009  11:08          264.616 FNTCACHE.DAT
05.08.2009  15:25            4.122 jupdate-1.6.0_15-b03.log
05.08.2009  10:59          206.336 mswebdvd.dll
03.08.2009  22:10              269 spupdwxp.log
03.08.2009  20:15            8.627 PAV_FOG.OPC
31.07.2009  22:31            34.064 lhacm.acm
31.07.2009  14:32          211.640 TZLog.log
30.07.2009  02:49        24.281.536 MRT.exe
30.07.2009  01:25                0 h323log.txt
30.07.2009  01:20            5.376 antiwpa.dll
30.07.2009  00:36              261 $winnt$.inf
30.07.2009  00:33            2.951 CONFIG.NT
30.07.2009  00:33            16.832 amcompat.tlb
30.07.2009  00:33            23.392 nscompat.tlb
30.07.2009  00:31              488 logonui.exe.manifest
30.07.2009  00:31              488 WindowsLogon.manifest
30.07.2009  00:31              749 cdplayer.exe.manifest
30.07.2009  00:31              749 sapi.cpl.manifest
30.07.2009  00:31              749 wuaucpl.cpl.manifest
30.07.2009  00:31              749 ncpa.cpl.manifest
30.07.2009  00:31              749 nwc.cpl.manifest
30.07.2009  00:29            21.740 emptyregdb.dat
25.07.2009  05:23          145.184 javaw.exe
25.07.2009  05:23          149.280 javaws.exe
25.07.2009  05:23          145.184 java.exe
25.07.2009  05:23          411.368 deploytk.dll
25.07.2009  03:00            73.728 javacpl.cpl
19.07.2009  18:41        11.067.392 ieframe.dll
19.07.2009  15:11        5.937.152 mshtml.dll
17.07.2009  21:01            58.880 atl.dll
12.07.2009  12:21          233.472 wmpdxm.dll
12.07.2009  12:21        4.874.240 wmp.dll
03.07.2009  18:55          206.848 occache.dll
03.07.2009  18:55          915.456 wininet.dll
03.07.2009  18:55        1.208.832 urlmon.dll
03.07.2009  18:55          594.432 msfeeds.dll
03.07.2009  18:55            55.296 msfeedsbs.dll
03.07.2009  18:55        1.469.440 inetcpl.cpl
03.07.2009  18:55            25.600 jsproxy.dll
03.07.2009  18:55        1.985.536 iertutil.dll
03.07.2009  18:55          184.320 iepeers.dll
03.07.2009  18:55          386.048 iedkcs32.dll
03.07.2009  13:01          173.056 ie4uinit.exe
25.06.2009  10:25          147.456 schannel.dll
25.06.2009  10:25          301.568 kerberos.dll
25.06.2009  10:25            56.832 secur32.dll
25.06.2009  10:25          737.792 lsasrv.dll
25.06.2009  10:25            54.272 wdigest.dll
25.06.2009  10:25          136.192 msv1_0.dll
16.06.2009  16:36            81.920 fontsub.dll
16.06.2009  16:36          119.808 t2embed.dll
15.06.2009  12:43            78.848 telnet.exe
15.06.2009  12:43            82.944 tlntsess.exe
10.06.2009  16:13            85.504 avifil32.dll
10.06.2009  09:19        2.066.432 mstscax.dll
10.06.2009  08:14          132.096 wkssvc.dll
03.06.2009  21:09        1.296.896 quartz.dll
07.05.2009  17:32          348.160 localspl.dll
28.04.2009  22:20            96.752 vxblock.dll
28.04.2009  22:20        1.858.032 pxsfs.dll
28.04.2009  22:20          436.720 pxwave.dll
28.04.2009  22:20          551.408 pxdrv.dll
28.04.2009  22:20            72.176 pxhpinst.exe
28.04.2009  22:20          219.632 pxmas.dll
28.04.2009  22:20          670.192 px.dll
28.04.2009  22:20          129.520 pxafs.dll
28.04.2009  22:20            66.032 pxinsa64.exe
28.04.2009  22:20            66.544 pxcpya64.exe
19.04.2009  21:46        1.847.296 win32k.sys
16.04.2009  13:24          258.352 unicows.dll
16.04.2009  13:24            44.544 msxml4a.dll
16.04.2009  13:24            82.432 msxml4r.dll
16.04.2009  13:24          131.072 muzmpgsp.ax
16.04.2009  13:24          110.592 tg_dump.dll
16.04.2009  13:24          569.344 muzdecode.ax
16.04.2009  13:24          507.904 MSLUP71.dll
16.04.2009  13:24          122.880 muzeffect.ax
16.04.2009  13:24          110.592 muzmp4sp.ax
16.04.2009  13:24          237.568 OggDS.dll
16.04.2009  13:24        1.046.528 MFC71LU.DLL
16.04.2009  13:24          344.064 msvcr70.dll
16.04.2009  13:24          483.328 muzapp.dll
16.04.2009  13:24          921.600 vorbisenc.dll
16.04.2009  13:24          188.416 vorbis.dll
16.04.2009  13:24          974.848 mfc70.dll
16.04.2009  13:24            45.056 Ogg.dll
16.04.2009  13:24          200.704 muzwmts.dll
16.04.2009  13:24          258.048 muzoggsp.ax
16.04.2009  13:24            89.088 atl71.dll
16.04.2009  13:24        1.060.864 MFC71.dll
16.04.2009  13:24        1.047.552 MFC71u.dll
16.04.2009  13:24          110.592 TG_DUMP0708.DLL
16.04.2009  13:24          352.256 MSLUR71.dll
16.04.2009  13:24            40.960 MAMACExtract.dll
16.04.2009  13:24          118.784 MaDRM.dll
16.04.2009  13:24          167.936 muzapp.exe
16.04.2009  13:24          135.168 muzaf1.dll
15.04.2009  16:51          585.216 rpcrt4.dll
21.03.2009  16:06        1.063.424 kernel32.dll
10.03.2009  22:18          970.632 WgaTray.exe
10.03.2009  22:18        1.482.112 LegitCheckControl.dll
10.03.2009  22:18          265.096 WgaLogon.dll
08.03.2009  14:29        1.302.528 ieframe.dll.mui
08.03.2009  14:29            57.344 msrating.dll.mui
08.03.2009  14:28            2.560 mshta.exe.mui
08.03.2009  14:27            4.096 ie4uinit.exe.mui
08.03.2009  14:27            12.288 advpack.dll.mui
08.03.2009  14:27            81.920 iedkcs32.dll.mui
08.03.2009  04:35          385.024 html.iec
08.03.2009  04:34          208.384 WinFXDocObj.exe
08.03.2009  04:34          236.544 webcheck.dll
08.03.2009  04:34            43.008 licmgr10.dll
08.03.2009  04:34          105.984 url.dll
08.03.2009  04:34          193.536 msrating.dll
08.03.2009  04:33            18.944 corpol.dll
08.03.2009  04:33          726.528 jscript.dll
08.03.2009  04:33          229.376 ieaksie.dll
08.03.2009  04:33          420.352 vbscript.dll
08.03.2009  04:33          125.952 ieakeng.dll
08.03.2009  04:32            72.704 admparse.dll
08.03.2009  04:32          163.840 ieakui.dll
08.03.2009  04:32            36.864 ieudinit.exe
08.03.2009  04:32            55.808 iernonce.dll
08.03.2009  04:32            71.680 iesetup.dll
08.03.2009  04:32          128.512 advpack.dll
08.03.2009  04:32            94.720 inseng.dll
08.03.2009  04:32          611.840 mstime.dll
08.03.2009  04:31            13.312 msfeedssync.exe
08.03.2009  04:31            59.904 icardie.dll
08.03.2009  04:31          348.160 dxtmsft.dll
08.03.2009  04:31            34.816 imgutil.dll
08.03.2009  04:31          216.064 dxtrans.dll
08.03.2009  04:31            46.592 pngfilt.dll
08.03.2009  04:31            66.560 mshtmled.dll
08.03.2009  04:31            48.128 mshtmler.dll
08.03.2009  04:31            45.568 mshta.exe
08.03.2009  04:31        1.638.912 mshtml.tlb
08.03.2009  04:30            66.560 tdc.ocx
08.03.2009  04:22          164.352 ieui.dll
08.03.2009  04:22          156.160 msls31.dll
08.03.2009  04:15            57.667 ieuinit.inf
08.03.2009  04:11          445.952 ieapfltr.dll
06.03.2009  16:19          286.720 pdh.dll

            2102 Datei(en)    417.450.957 Bytes
              0 Verzeichnis(se), 13.047.697.408 Bytes frei

Dexian 16.08.2009 21:43
3.2

Code:
----- Prefetch -------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: C078-A8A6

 Verzeichnis von C:\WINDOWS\Prefetch

16.08.2009  22:39            11.342 FIND.EXE-0EEAD1A7.pf
16.08.2009  22:39            11.260 CMD.EXE-034B0549.pf
16.08.2009  22:38            41.448 WINRAR.EXE-1A0EFB18.pf
16.08.2009  22:38            15.368 VERCLSID.EXE-28F52AD2.pf
16.08.2009  22:36            54.552 WMIPRVSE.EXE-0D449B4F.pf
16.08.2009  22:35            20.118 HIJACKTHIS.EXE-32795687.pf
16.08.2009  22:35            33.964 AVWSC.EXE-1742FD55.pf
16.08.2009  22:35            16.274 HJTINSTALL.EXE-22F0D5AC.pf
16.08.2009  22:35            17.436 NOTEPAD.EXE-2F2D61E1.pf
16.08.2009  21:31            30.870 WUAUCLT.EXE-1360D60A.pf
16.08.2009  21:04            49.382 MIRANDA32.EXE-0CF63754.pf
16.08.2009  21:03            7.848 JQSNOTIFY.EXE-12F9814B.pf
16.08.2009  20:39            13.982 MSOHTMED.EXE-2BED68F9.pf
16.08.2009  20:38          129.696 MSIEXEC.EXE-330626DC.pf
16.08.2009  20:31            34.736 GUARDGUI.EXE-1FA25B88.pf
16.08.2009  20:30            29.490 RUNDLL32.EXE-4130D489.pf
16.08.2009  20:25            89.852 FIREFOX.EXE-28BE8AE1.pf
16.08.2009  20:25            73.644 UPDATE.EXE-33FE454B.pf
16.08.2009  20:24        1.272.148 NTOSBOOT-B00DFAAD.pf
15.08.2009  13:37            31.042 RUNDLL32.EXE-3F1AE624.pf
15.08.2009  13:36            12.392 RUNDLL32.EXE-6E8D4657.pf
15.08.2009  13:23            4.222 SNDVOL32.EXE-0EC6FD20.pf
15.08.2009  13:22            46.564 AVNOTIFY.EXE-22D2A6A0.pf
15.08.2009  13:21            30.652 ACRORD32.EXE-2660B166.pf
15.08.2009  13:20            48.902 RUNDLL32.EXE-4564570A.pf
15.08.2009  13:20            18.572 WMIAPSRV.EXE-02740A4B.pf
14.08.2009  14:03            22.364 LOGONUI.EXE-312BE1BF.pf
14.08.2009  14:01            13.896 793.EXE-33F83802.pf
14.08.2009  14:01            16.500 RUNDLL32.EXE-3F5F512F.pf
14.08.2009  14:01            32.214 AUTORUN.EXE-3AA949B3.pf
14.08.2009  14:00            15.424 RUNDLL32.EXE-53975A94.pf
14.08.2009  13:48            39.324 IGFXSRVC.EXE-1D88F978.pf
14.08.2009  13:16            49.652 DFRGNTFS.EXE-38C3807C.pf
14.08.2009  13:16            16.486 DEFRAG.EXE-2858C7E2.pf
14.08.2009  13:16          467.830 Layout.ini
14.08.2009  13:01            14.924 CALC.EXE-02A5B4B1.pf
14.08.2009  12:44            74.834 JAVA.EXE-09AD08D6.pf
14.08.2009  12:34            75.434 WINAMP.EXE-065B55C4.pf
14.08.2009  11:56            13.524 OSE.EXE-0108795F.pf
14.08.2009  11:16            20.544 TASKMGR.EXE-06144C13.pf
14.08.2009  11:13            53.886 ADOBE_UPDATER.EXE-2CD881A4.pf
14.08.2009  01:27            92.412 IEXPLORE.EXE-360BBB5C.pf
13.08.2009  23:56            16.830 REGSVR32.EXE-396DEA2C.pf
13.08.2009  23:52            37.884 UPGRADER.EXE-1FA3FB05.pf
13.08.2009  23:51            27.936 PLATASKS.EXE-10A2A63D.pf
13.08.2009  23:50            10.666 GWFEED.EXE-19E19666.pf
13.08.2009  23:48            56.174 AVCIMAN.EXE-0A44BDD9.pf
13.08.2009  23:48            13.548 PAVBCKPT.EXE-1A855DA5.pf
13.08.2009  23:48            6.044 PSCLEAN.EXE-0150186A.pf
13.08.2009  23:47            26.916 SRVLOAD.EXE-059EF434.pf
13.08.2009  23:46            10.040 APVXDWIN.EXE-1522270A.pf
13.08.2009  23:46            15.634 ALG.EXE-275708CF.pf
13.08.2009  23:46            20.500 IMAPI.EXE-201490BB.pf
13.08.2009  20:57          111.434 JAVAW.EXE-2682DC34.pf
              54 Datei(en)      3.518.610 Bytes
              0 Verzeichnis(se), 13.047.775.232 Bytes frei
 
----- Tasks ----------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: C078-A8A6

 Verzeichnis von C:\WINDOWS\tasks

16.08.2009  20:23                6 SA.DAT
              2 Datei(en)            71 Bytes
              0 Verzeichnis(se), 13.047.775.232 Bytes frei
 
----- Windows/Temp -----------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: C078-A8A6

 Verzeichnis von C:\WINDOWS\Temp

16.08.2009  20:23            16.384 Perflib_Perfdata_474.dat
16.08.2009  20:23              483 WGAErrLog.txt
13.08.2009  23:45        10.387.456 abf58d82dd5c41b2492c2ab2e9ff78c6PSK_PLUGINS_0
04.08.2009  16:03            26.834 PSSysChk.log
04.08.2009  16:03          157.248 cteng_1_2_431249379926.dat
04.08.2009  16:03            1.201 cteng_index.dat
04.08.2009  16:03          289.300 cteng_1_2_401249333223.dat
04.08.2009  16:03          238.408 cteng_1_2_361249387648.dat
04.08.2009  16:03          321.324 cteng_1_2_221249326029.dat
04.08.2009  16:03          315.872 cteng_1_2_211249329631.dat
04.08.2009  16:03            37.040 cteng_1_1_91249356054.dat
04.08.2009  16:03          262.416 cteng_1_1_221249387517.dat
04.08.2009  16:03            25.220 cteng_1_1_211249388928.dat
03.08.2009  20:16            16.384 Perflib_Perfdata_fd4.dat
03.08.2009  20:15        10.387.456 abf58d82dd5c41b2492c2ab2e9ff78c6PSK_PLUGINS_1
03.08.2009  20:14          308.208 cteng_1_2_71249301346.dat
03.08.2009  20:14            12.628 cteng_1_2_431249315759.dat
03.08.2009  20:14          231.932 cteng_1_2_421249292464.dat
03.08.2009  20:14          292.588 cteng_1_2_41249272091.dat
03.08.2009  20:14          354.208 cteng_1_2_411249235498.dat
03.08.2009  20:14          306.112 cteng_1_2_401249302562.dat
03.08.2009  20:14          205.320 cteng_1_2_391249302119.dat
03.08.2009  20:14          245.640 cteng_1_2_381249153235.dat
03.08.2009  20:14          305.328 cteng_1_2_351249248515.dat
03.08.2009  20:14          242.076 cteng_1_2_341249275689.dat
03.08.2009  20:14          200.372 cteng_1_2_311249287409.dat
03.08.2009  20:14          263.924 cteng_1_2_281249250476.dat
03.08.2009  20:14          212.452 cteng_1_2_271249239651.dat
03.08.2009  20:14          326.260 cteng_1_2_231249283121.dat
03.08.2009  20:14          317.348 cteng_1_2_211249141460.dat
03.08.2009  20:14          263.764 cteng_1_2_201249235399.dat
03.08.2009  20:14          245.188 cteng_1_2_181249160437.dat
03.08.2009  20:14          202.608 cteng_1_2_161249296488.dat
03.08.2009  20:14          303.536 cteng_1_2_151249264884.dat
03.08.2009  20:14            20.500 cteng_1_1_231249308019.dat
03.08.2009  20:14          284.936 cteng_1_1_211249293259.dat
03.08.2009  20:14            25.084 cteng_1_1_201249261281.dat
03.08.2009  20:14            63.548 cteng_1_1_161249196621.dat
03.08.2009  20:14            29.840 cteng_1_1_141249201416.dat
03.08.2009  20:14            46.796 cteng_1_1_131249164037.dat
01.08.2009  14:06          334.188 cteng_1_2_221249120053.dat
01.08.2009  03:26          242.408 cteng_1_2_261249077642.dat
01.08.2009  03:26          209.440 cteng_1_2_171249084849.dat
01.08.2009  03:26          217.992 cteng_1_2_141249088442.dat
31.07.2009  23:03          243.684 cteng_1_2_361249074046.dat
31.07.2009  12:04          120.348 cteng_1_2_251248980464.dat
30.07.2009  18:41          254.236 cteng_1_2_301248926453.dat
30.07.2009  18:41          304.620 cteng_1_2_131248937989.dat
30.07.2009  18:41            58.468 cteng_1_1_101248933653.dat
30.07.2009  01:19            12.320 cteng_8_2_21231227908.dat
30.07.2009  01:19            16.804 cteng_8_2_11223394495.dat
30.07.2009  01:19          171.620 cteng_1_2_331248638408.dat
30.07.2009  01:19          324.696 cteng_1_2_291248688830.dat
30.07.2009  01:19          255.504 cteng_1_2_241248105479.dat
30.07.2009  01:19            26.048 cteng_1_1_91248904842.dat
30.07.2009  01:19            39.560 cteng_1_1_81248422443.dat
30.07.2009  01:19            79.260 cteng_1_1_71245874879.dat
30.07.2009  01:19            75.248 cteng_1_1_41248164248.dat
30.07.2009  01:19            23.444 cteng_1_1_221248789814.dat
30.07.2009  01:19            40.168 cteng_1_1_181247673299.dat
30.07.2009  01:19            52.396 cteng_1_1_121248159088.dat
30.07.2009  01:19            51.476 cteng_1_1_111248330340.dat
30.07.2009  00:43              312 IntelGFX.log
24.07.2009  23:30              206 TechsManager.log
24.07.2009  18:27            16.384 Perflib_Perfdata_410.dat
24.07.2009  10:53            16.384 Perflib_Perfdata_254.dat
23.07.2009  10:30            16.384 Perflib_Perfdata_470.dat
18.07.2009  15:58            16.384 Perflib_Perfdata_348.dat
              68 Datei(en)    31.013.204 Bytes
              0 Verzeichnis(se), 13.047.771.136 Bytes frei
 
----- Temp -----------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: C078-A8A6

 Verzeichnis von C:\DOKUME~1\Gerrit\LOKALE~1\Temp

16.08.2009  22:35          114.688 ~DF7BE4.tmp
16.08.2009  22:15                0 etilqs_2rxg8H2dvjq1Nsb72ALW
16.08.2009  20:28            18.886 jusched.log
15.08.2009  13:19            74.752 265.exe
14.08.2009  12:44            13.893 java_install_reg.log
14.08.2009  12:34          367.112 WT99.tmp
14.08.2009  12:34          367.112 WT98.tmp
14.08.2009  12:34          367.112 WT97.tmp
14.08.2009  12:34          367.112 WT96.tmp
14.08.2009  12:34          367.112 WT95.tmp
14.08.2009  12:34          367.112 WT94.tmp
14.08.2009  12:34          367.112 WT93.tmp
14.08.2009  01:54            50.748 dd_ATL90SP1_KB973924UI548B.txt
14.08.2009  01:54          236.576 dd_ATL90SP1_KB973924MSI548B.txt
13.08.2009  23:55            44.802 dd_vcredistUI78DA.txt
13.08.2009  23:55          518.950 dd_vcredistMSI78DA.txt
13.08.2009  23:54            16.871 PavLogInst
13.08.2009  23:52            38.212 PNMSetup.log
09.08.2009  07:25              244 1F1205F7.TMP
05.08.2009  15:23            2.473 java_install_sp.log
05.08.2009  15:23        1.852.928 6741a.mst
05.08.2009  15:22              934 jinstall.cfg
04.08.2009  16:31            26.916 java_install.log
04.08.2009  16:30        1.089.024 441b1f.mst
01.08.2009  19:29          714.528 jre-6u15-windows-i586-iftw.exe
30.07.2009  02:39            4.592 SIntfIcn.ani
30.07.2009  02:39            24.516 SIntfNT.dll
30.07.2009  02:39            19.924 SIntf32.dll
30.07.2009  02:39            12.067 SIntf16.dll
30.07.2009  02:39            36.864 CmdLineExt02.dll
30.07.2009  01:47                0 quVjKVqJ.lnk
30.07.2009  01:40                0 Winamp.tmp
30.07.2009  01:22          124.380 SetupExe(20090730010913B8C).log
25.07.2009  00:44            6.023 jar_cache2806026923132174217.tmp
25.07.2009  00:44            6.023 jar_cache1846644882846557411.tmp
25.07.2009  00:36            6.023 jar_cache4187397533238766541.tmp
25.07.2009  00:34            6.023 jar_cache2760454302676035924.tmp
24.07.2009  20:56                0 fcu5A.tmp
24.07.2009  20:29                0 7vp59.tmp
24.07.2009  20:28                0 z1e58.tmp
24.07.2009  20:28                0 1ru57.tmp
24.07.2009  16:40          367.112 WT54.tmp
24.07.2009  16:40          367.112 WT53.tmp
24.07.2009  16:40          367.112 WT52.tmp
24.07.2009  16:40          367.112 WT51.tmp
24.07.2009  16:40          367.112 WT50.tmp
24.07.2009  16:40          367.112 WT4F.tmp
24.07.2009  16:39          367.112 WT4E.tmp
24.07.2009  16:14                0 5c228.tmp
24.07.2009  16:08                0 iv827.tmp
24.07.2009  16:08                0 zfx26.tmp
24.07.2009  16:08                0 y5h25.tmp
24.07.2009  16:07                0 nkj24.tmp
23.07.2009  17:44          367.112 WT3F.tmp
23.07.2009  17:44          367.112 WT3E.tmp
23.07.2009  17:44          367.112 WT3D.tmp
23.07.2009  17:44          367.112 WT3C.tmp
23.07.2009  17:44          367.112 WT3B.tmp
23.07.2009  17:44          367.112 WT3A.tmp
23.07.2009  17:44          367.112 WT39.tmp
23.07.2009  13:49                0 etilqs_rzS2SHb8ew3qWBozCOAT
18.07.2009  21:35                62 OneNote_MigrationLog.txt
18.07.2009  21:35            5.088 {B2396CF2-2CD8-43AA-9CC7-00CCFD136ECB}
18.07.2009  13:53          367.112 WTE.tmp
18.07.2009  13:53          367.112 WTD.tmp
18.07.2009  13:53          367.112 WTC.tmp
18.07.2009  13:53          367.112 WTB.tmp
18.07.2009  13:53          367.112 WTA.tmp
18.07.2009  13:53          367.112 WT9.tmp
18.07.2009  13:53          367.112 WT8.tmp
17.07.2009  23:49                0 N68Bz8II.lnk
17.07.2009  19:56          367.112 WT7.tmp
17.07.2009  19:55          367.112 WT6.tmp
17.07.2009  19:55          367.112 WT5.tmp
17.07.2009  19:55          367.112 WT4.tmp
17.07.2009  19:55          367.112 WT3.tmp
17.07.2009  19:55          367.112 WT2.tmp
17.07.2009  19:55          367.112 WT1.tmp

              83 Datei(en)    21.009.946 Bytes
              0 Verzeichnis(se), 13.047.767.040 Bytes frei

Dexian 16.08.2009 21:45
4.


Code:
Adobe Flash Player 10 Plugin
Adobe Reader 9.1.3 - Deutsch
Avira AntiVir Personal - Free Antivirus
BearShare
CCleaner (remove only)
ClassicPro© v1.12
ContentSAFER for Wizmax
DAEMON Tools Toolbar
EmoDio
Free YouTube to Mp3 Converter version 3.1
High Definition Audio Driver Package - KB835221
HijackThis 2.0.2
Intel(R) Graphics Media Accelerator Driver
Java(TM) 6 Update 15
Microsoft Office Enterprise 2007
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Miranda IM 0.8.4
MozBackup 1.4.9
Mozilla Firefox (3.5.2)
MSXML 4.0 SP2 (KB954430)
Realtek High Definition Audio Driver
StrokeIt
TeamSpeak 2 RC2
Uninstall 1.0.0.1
VLC media player 1.0.1
Warcraft III: All Products
Winamp
Winamp Lyrics (Explorer Version) v1.22
Windows Internet Explorer 8
Windows XP Service Pack 3
WinRAR

kira 16.08.2009 21:51
zusätzlich folgende Schritte noch:
1.
→ besuche die Seite von virustotal und die Dateien aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:
Code:
C:\DOKUME~1\Gerrit\LOKALE~1\Temp\265.exe
→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1):

2.
Code:
BearShare
Zitat:
Internet-Tauschbörsen gehören leider zu den unseriösesten Anbietern, und dort werden sehr viele Schädlinge verbreitet, hierbei sollte deshalb, wenn überhaupt, nur ganz besonders vorsichtig umgegangen werden ! Laut Studien sind bei den Tauschbörsen bei 45% der zum Download angebotenen Dateien, Viren oder Würmer und sonstige Schädlinge enthalten!
Hinzu kommt noch, dass die meisten Downloads von diesen Tauschbörsen eh illegal sind, und damit die Nutzer verleitet werden, „Straftaten“ zu begehen!
Selbst wenn du ein „sicheres“ P2P Programm verwendest, ist es nur das Programm, das sicher ist.Du wirst Daten von "uncertified Quellen" teilen, und diese werden häufig angesteckt...;)
am besten sofort deinstallieren: unter "Start→ Systemsteureung→ Software→ Ändern/Entfernen..."

Dexian 16.08.2009 22:30
Erstmal bekommst du noch Punkt 5 und 6. ;)

5.

Code:
GMER 1.0.15.15020 [bmuj75xl.exe] - http://www.gmer.net
Rootkit scan 2009-08-16 23:28:07
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT      F7CF5196                                                                                                          ZwCreateKey
SSDT      F7CF518C                                                                                                          ZwCreateThread
SSDT      F7CF519B                                                                                                          ZwDeleteKey
SSDT      F7CF51A5                                                                                                          ZwDeleteValueKey
SSDT      spip.sys                                                                                                          ZwEnumerateKey [0xF73D9CA4]
SSDT      spip.sys                                                                                                          ZwEnumerateValueKey [0xF73DA032]
SSDT      F7CF51AA                                                                                                          ZwLoadKey
SSDT      spip.sys                                                                                                          ZwOpenKey [0xF73BB0C0]
SSDT      F7CF5178                                                                                                          ZwOpenProcess
SSDT      F7CF517D                                                                                                          ZwOpenThread
SSDT      spip.sys                                                                                                          ZwQueryKey [0xF73DA10A]
SSDT      spip.sys                                                                                                          ZwQueryValueKey [0xF73D9F8A]
SSDT      F7CF51B4                                                                                                          ZwReplaceKey
SSDT      F7CF51AF                                                                                                          ZwRestoreKey
SSDT      F7CF51A0                                                                                                          ZwSetValueKey
SSDT      F7CF5187                                                                                                          ZwTerminateProcess

INT 0x62  ?                                                                                                                8656BBF8
INT 0x74  ?                                                                                                                8656ABF8
INT 0x82  ?                                                                                                                8656BBF8
INT 0x84  ?                                                                                                                8656ABF8
INT 0x94  ?                                                                                                                8656EBF8
INT 0xB4  ?                                                                                                                8656BBF8

---- Kernel code sections - GMER 1.0.15 ----

?        spip.sys                                                                                                          Das System kann die angegebene Datei nicht finden. !
.text    USBPORT.SYS!DllUnload                                                                                            F6FF18AC 5 Bytes  JMP 8656A1D8

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT      atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                [F73BC042] spip.sys
IAT      atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                        [F73BC13E] spip.sys
IAT      atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                              [F73BC0C0] spip.sys
IAT      atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                      [F73BC800] spip.sys
IAT      atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                              [F73BC6D6] spip.sys

---- User IAT/EAT - GMER 1.0.15 ----

IAT      C:\WINDOWS\SYSTEM32\winlogon.exe[552] @ C:\WINDOWS\SYSTEM32\winlogon.exe [ntdll.dll!NtLockProductActivationKeys]  [0500073E] C:\WINDOWS\SYSTEM32\antiwpa.dll
IAT      C:\WINDOWS\SYSTEM32\winlogon.exe[552] @ C:\WINDOWS\SYSTEM32\winlogon.exe [USER32.dll!GetSystemMetrics]            [05000756] C:\WINDOWS\SYSTEM32\antiwpa.dll

---- Devices - GMER 1.0.15 ----

Device    \FileSystem\Ntfs \Ntfs                                                                                            865691F8
Device    \Driver\usbuhci \Device\USBPDO-0                                                                                  863E31F8
Device    \Driver\dmio \Device\DmControl\DmIoDaemon                                                                        865DC1F8
Device    \Driver\dmio \Device\DmControl\DmConfig                                                                          865DC1F8
Device    \Driver\dmio \Device\DmControl\DmPnP                                                                              865DC1F8
Device    \Driver\dmio \Device\DmControl\DmInfo                                                                            865DC1F8
Device    \Driver\usbuhci \Device\USBPDO-1                                                                                  863E31F8
Device    \Driver\usbuhci \Device\USBPDO-2                                                                                  863E31F8
Device    \Driver\usbuhci \Device\USBPDO-3                                                                                  863E31F8
Device    \Driver\usbehci \Device\USBPDO-4                                                                                  863B61F8
Device    \Driver\Ftdisk \Device\HarddiskVolume1                                                                            8656C1F8
Device    \Driver\Ftdisk \Device\HarddiskVolume2                                                                            8656C1F8
Device    \Driver\Cdrom \Device\CdRom0                                                                                      863841F8
Device    \Driver\NetBT \Device\NetBt_Wins_Export                                                                          85F2F1F8
Device    \Driver\NetBT \Device\NetbiosSmb                                                                                  85F2F1F8
Device    \Driver\usbuhci \Device\USBFDO-0                                                                                  863E31F8
Device    \Driver\usbuhci \Device\USBFDO-1                                                                                  863E31F8
Device    \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                85F0F1F8
Device    \Driver\usbuhci \Device\USBFDO-2                                                                                  863E31F8
Device    \FileSystem\MRxSmb \Device\LanmanRedirector                                                                      85F0F1F8
Device    \Driver\usbuhci \Device\USBFDO-3                                                                                  863E31F8
Device    \Driver\usbehci \Device\USBFDO-4                                                                                  863B61F8
Device    \Driver\Ftdisk \Device\FtControl                                                                                  8656C1F8
Device    \Driver\ultra \Device\Scsi\ultra1Port4Path0Target0Lun0                                                            865DB1F8
Device    \Driver\ultra \Device\Scsi\ultra1                                                                                865DB1F8
Device    \FileSystem\Cdfs \Cdfs                                                                                            8626E500

---- Registry - GMER 1.0.15 ----

Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                771343423
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                285507792
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                1
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                 
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                              0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                            0xCC 0x60 0x30 0x2D ...
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)             
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                  0
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                0xCC 0x60 0x30 0x2D ...
Reg      HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)             
Reg      HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                  0
Reg      HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                0xCC 0x60 0x30 0x2D ...

---- EOF - GMER 1.0.15 ----

Dexian 16.08.2009 22:36
6.


Code:
08/16/09 23:31:52 [Info]: BlackLight Engine 2.2.1092 initialized
08/16/09 23:31:52 [Info]: OS: 5.1 build 2600 (Service Pack 3)
08/16/09 23:31:52 [Note]: 7019 4
08/16/09 23:31:52 [Note]: 7005 0
08/16/09 23:32:45 [Note]: 7006 0
08/16/09 23:32:45 [Note]: 7011 1352
08/16/09 23:32:45 [Note]: 7035 0
08/16/09 23:32:45 [Note]: 7026 0
08/16/09 23:32:46 [Note]: 7026 0
08/16/09 23:32:48 [Note]: FSRAW library version 1.7.1024
08/16/09 23:35:52 [Note]: 2000 1012
08/16/09 23:36:03 [Note]: 7007 0

Dexian 16.08.2009 22:39
Virustotal:

Code:
MD5:          342da2e9651cda132b572e87ff470678
First received:        2009.08.14 06:46:59 UTC
Datum        2009.08.15 08:12:21 UTC [+1D]
Ergebnisse        13/41
Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
a-squared        4.5.0.24        2009.08.16        Trojan-Proxy.Win32.Agent!IK
AhnLab-V3        5.0.0.2        2009.08.15        -
AntiVir        7.9.1.1        2009.08.14        TR/Proxy.Agent.brp
Antiy-AVL        2.0.3.7        2009.08.14        Trojan/Win32.Antavmu.gen
Authentium        5.1.2.4        2009.08.16        -
Avast        4.8.1335.0        2009.08.15        -
AVG        8.5.0.406        2009.08.16        -
BitDefender        7.2        2009.08.16        -
CAT-QuickHeal        10.00        2009.08.16        -
ClamAV        0.94.1        2009.08.16        -
Comodo        1993        2009.08.16        TrojWare.Win32.TrojanProxy.Agent.brp
DrWeb        5.0.0.12182        2009.08.16        Trojan.Qhost.69
eSafe        7.0.17.0        2009.08.16        -
eTrust-Vet        31.6.6678        2009.08.14        -
F-Prot        4.4.4.56        2009.08.16        -
F-Secure        8.0.14470.0        2009.08.16        Trojan-Proxy.Win32.Agent.brp
Fortinet        3.120.0.0        2009.08.16        PossibleThreat
GData        19        2009.08.16        -
Ikarus        T3.1.1.64.0        2009.08.16        Trojan-Proxy.Win32.Agent
Jiangmin        11.0.800        2009.08.16        Backdoor/Poison.bxn
K7AntiVirus        7.10.819        2009.08.14        -
Kaspersky        7.0.0.125        2009.08.16        Trojan-Proxy.Win32.Agent.brp
McAfee        5711        2009.08.16        -
McAfee+Artemis        5711        2009.08.16        Artemis!342DA2E9651C
McAfee-GW-Edition        6.8.5        2009.08.16        Trojan.Proxy.Agent.brp
Microsoft        1.4903        2009.08.16        -
NOD32        4340        2009.08.16        -
Norman        6.01.09        2009.08.14        -
nProtect        2009.1.8.0        2009.08.16        -
Panda        10.0.0.14        2009.08.16        Trj/CI.A
PCTools        4.4.2.0        2009.08.16        -
Prevx        3.0        2009.08.16        Medium Risk Malware
Rising        21.42.62.00        2009.08.16        -
Sophos        4.44.0        2009.08.16        -
Sunbelt        3.2.1858.2        2009.08.16        Trojan.Win32.Generic!BT
Symantec        1.4.4.12        2009.08.16        Backdoor.Trojan
TheHacker        6.3.4.3.383        2009.08.13        -
TrendMicro        8.950.0.1094        2009.08.14        -
VBA32        3.12.10.9        2009.08.16        Trojan.Win32.Antavmu.dgq
ViRobot        2009.8.14.1885        2009.08.14        -
VirusBuster        4.6.5.0        2009.08.16        -
weitere Informationen
File size: 74752 bytes
MD5...: 342da2e9651cda132b572e87ff470678
SHA1..: 15244297f207e8ed4b255f50974148ed31e9dd1c
SHA256: 718d399f49ae4d80e362ce68ff22afd092a493bfa8a68ffd2c2509c9e5b82484
ssdeep: 1536:WBMWZsyQbYdgv0+5gMwdM9BqjlrsXJD+Sg7qHf0G:WGWrQbY/+5QdLBrs9+
S4G
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Dynamic Link Library (generic) (65.4%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x5304
timedatestamp.....: 0x4a7df051 (Sat Aug 08 21:38:25 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x44ff 0x4600 5.38 f641ae3f5386fd3e3cf442afb7c2ab61
.rdata 0x6000 0x890 0xa00 4.64 9e345b1611e7be576815c21808561b8d
.data 0x7000 0x3fe0 0x800 5.75 7470aa4fca93bbcf78388899b023dd3f
.rsrc 0xb000 0xc6e8 0xc800 7.72 694d6dc71faf94b29f57ab91737f4392

( 5 imports )
> KERNEL32.dll: GetTimeFormatA, CreateThread, GetModuleHandleA, GetStartupInfoA, Sleep
> USER32.dll: SetWindowPos, MessageBoxA, GetAsyncKeyState, GetForegroundWindow, DialogBoxParamA, SetWindowTextA
> ole32.dll: CoInitialize
> MSVCP60.dll: __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@PBDABV_$allocator@D@1@@Z, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@ABV_$allocator@D@1@@Z, _find@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBEIABV12@I@Z, _npos@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@2IB, _length@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBEIXZ, _substr@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBE_AV12@II@Z, _c_str@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBEPBDXZ, _replace@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@IIABV12@@Z, _size@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBEIXZ, __1_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, __4_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV01@PBD@Z
> MSVCRT.dll: __p__fmode, __set_app_type, _controlfp, _adjust_fdiv, __p__commode, strlen, _except_handler3, atoi, memcpy, __2@YAPAXI@Z, sprintf, malloc, memset, getenv, memmove, strcmp, __CxxFrameHandler, _exit, _XcptFilter, exit, _acmdln, __getmainargs, _initterm, __setusermatherr, _stricmp

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (Antiy-AVL): Armadillo 1.71
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=104B642100AE393924DE01591840320081154BDB' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=104B642100AE393924DE01591840320081154BDB</a>

Bearshare ist deinstalliert!

kira 16.08.2009 23:23
hi

1.
Lade das SDFix von AndyManchesta eine der folgenden Links herunter:
bleepingcomputer.com
andymanchesta.com
2. auf deinem Desktop speichern
3. per Doppelklick SDFix.exe starten
4. wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken
5. starte den Rechner im abgesicherten Modus - die Taste [F8] drücken, bevor das Windows-Logo angezeigt wird
6. öffne den neu entstandenen SDFix Ordner
7. mit einem Doppelklick auf die RunThis.bat kannst Du das Skript starten
8. gib ein Y ein, um den Reinigungsprozess zu beginnen
9. nun wirst Du aufgefordert, eine beliebige Taste zu drücken, damit dein Rechner neu aufstarten kann
10. nachdem Neustart, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
11. nachdem der Lauf beendet ist - Finished - drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden

- Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern. Kopiere den Inhalt dieses Report.txt und poste ihn!

2.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
  • Installieren und per Doppelklick starten.
  • Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
  • "Komplett Scan durchführen" wählen (überall Haken setzen)
  • wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
  • alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
  • Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"
eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware

3.
poste erneut:
Trend Micro HijackThis-Logfile

Dexian 16.08.2009 23:46
1.


Code:
SDFix: Version 1.240
Run by Administrator on 17.08.2009 at 00:35

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :
 


                                Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-17 00:42:30
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"h0"=dword:00000000
"hdf12"=hex:cc,60,30,2d,81,18,46,e8,80,92,aa,19,86,59,ee,0b,0b,0a,5c,45,27,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"h0"=dword:00000000
"hdf12"=hex:cc,60,30,2d,81,18,46,e8,80,92,aa,19,86,59,ee,0b,0b,0a,5c,45,27,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"h0"=dword:00000000
"hdf12"=hex:cc,60,30,2d,81,18,46,e8,80,92,aa,19,86,59,ee,0b,0b,0a,5c,45,27,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"="C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\WINDOWS\\system32\\muzapp.exe"="C:\\WINDOWS\\system32\\muzapp.exe:*:Enabled:MUZ AOD APP player"
"C:\\Programme\\BearShare\\BearShare.exe"="C:\\Programme\\BearShare\\BearShare.exe:*:Enabled:BearShare"
"C:\\Programme\\Miranda IM\\miranda32.exe"="C:\\Programme\\Miranda IM\\miranda32.exe:*:Enabled:Miranda IM"
"C:\\Dokumente und Einstellungen\\Gerrit\\Lokale Einstellungen\\Temp\\793.exe"="C:\\Dokumente und Einstellungen\\Gerrit\\Lokale Einstellungen\\Temp\\793.exe:*:Disabled:793"
"C:\\Dokumente und Einstellungen\\Gerrit\\Lokale Einstellungen\\Temp\\265.exe"="C:\\Dokumente und Einstellungen\\Gerrit\\Lokale Einstellungen\\Temp\\265.exe:*:Disabled:265"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :



Files with Hidden Attributes :


Finished!


PS: Avira Antivir wollte die SDFix.exe löschen, da sie angeblich infiziert sei. ;)

Dexian 17.08.2009 00:02
MalwareBites läuft gerade und Antivir nennt mir nun eine andere Datei, die
diesen "Proxy.Agent.brp" enthalten soll:


Code:
In der Datei 'C:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KVATE1U0\so3b[1].exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Proxy.Agent.brp' [trojan] gefunden.

kira 19.08.2009 08:13
hi

1.
den Internet-Cache komplett per Hand löschen:
Explorer - Rechtsklick auf C:\Windows\Temporary Internet Files\Content.IE5 - Suchen - Starten
Lösche nun alle Dateien, außer der Datei "Index.dat "

2.
Führe dann bitte einen Sicherheits-Check aus: heise Security - c't-Browsercheck --> Sicherheitseinstellungen des Internet Explorer 7 anpassen

**dann Punkt 2. und 3. bitte weiter-> http://www.trojaner-board.de/76473-t...tml#post456976


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:07 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131