Home » Viren, Trojaner & Malware Forum » Trojaner Dldr.PurScan.B.1 wird erkannt & gelöscht kommt immer wieder » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1 2 3 4

Antworten

Trojaner Dldr.PurScan.B.1 wird erkannt & gelöscht kommt immer wieder

03.10.2004, 02:38

m3rL

...neu hier

Beiträge: 2

#31 Hallo Sabine vielleicht kannste bei mir auch mal schauen,
mache jede woche bei sygate nen port und troja scan
jetzt hat er mir angezeigt das ich "Trojan 5000 OPEN Bubbel, Back Door Setup, Sockets de Troie" habe
hier mal mein Hijackthis log:

Logfile of HijackThis v1.98.2
Scan saved at 02:29:17, on 03.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE
D:\steam\steam.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
D:\Programme\Maxthon\Maxthon.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
D:\Programme\Sygate\SPF\smc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
D:\Download\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rumble-zone.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AtiPTA] C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [Steam] "d:\steam\steam.exe" -silent
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/03c019f7fc4577724b15/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093375661406
O17 - HKLM\System\CCS\Services\Tcpip\..\{1AAE24C8-559E-4759-9CF9-54E1B435C857}: NameServer = 217.237.150.33 217.237.151.161

Wäre super wenn du mir helfen könntest
gescanned ist der PC mit Antivir ohne befund!

Dieser Beitrag wurde am 03.10.2004 um 02:39 Uhr von m3rL editiert.

03.10.2004, 10:44

Sabina

Ehrenmitglied

Beiträge: 29434

#32 Hallo @m3rL

Das Log ist sauber.
Die Info vom Portscann will sage, dass der Port offen ist, aber nicht, dass du einen Trojaner auf der platte hast.....

TCP hatcem:5000 0.0.0.0:0 ABHÖREN
TCP Port 5000
Common Use
Windows Universal plug and play service (UPNP).

Das Betriebssystem Windows hält sehr häufig genau diesen Port 5000 Standardässig offen.
Meldet die Software nichts, so ist davon auszugehen, dass ein Befall mit dem genannten Trojaner nicht gegeben ist.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 03.10.2004 um 10:50 Uhr von Sabina editiert.

03.10.2004, 22:34

m3rL

...neu hier

Beiträge: 2

#33 also habe ja die sygate firewall installiert. und dort sehe ich das svchost den port 5000 benutzt!
weiss net aber svchost ist halt irgendwie seltsam.

04.10.2004, 12:17

Sabina

Ehrenmitglied

Beiträge: 29434

#34 Hallo @m3rL

In XP, ports 5000 and 1900 are associated with UP&P. This is the subject of the recent news releases about MS security problems and even the FBI got involved. Since you will probably never need or use UP&P, even the FBI suggests you shut it down and close the ports. Here is an easy way to do it. Run>services.msc and check the list for SSDP discovery and UP&P. Right click on each and go to properties and then choose disable in the drop down menu. This will close both ports. You can always enable them later if you ever need them.
http://forums.speedguide.net/showthread.php?t=61421&page=2

Start<Ausfuehren<services.msc
Dienste:SSDP discovery und UP&P. (deaktivieren)
Wenn dann was nicht funktioniert, rueckgaengig machen)

#ANTS 2.1 (offene Ports ueberpruefen)
http://www.pcbusiness-online.de/common/dtt/file.php?areaid=12&orderby=Title&dsp_start=0&fileid=1547

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 04.10.2004 um 12:17 Uhr von Sabina editiert.

20.06.2008, 12:39

brainburned

...neu hier

Beiträge: 7

#35 Hallo! Bin auf euer Forum gestoßen und hab HiJackThis runtergeladen und nen scan gemacht.

Ich hab schon seit ein paar Tagen ein Prob. mit einem Trojaner. Der gelöscht wird aber immer wieder kommt.
Ich verwende ZoneAlarm und Avira AntiVir.
Außerdem wenn ich mit IE surfe stürzt der PC ab.

Hier mein LogFile, wär super wenn ihr da irgendetwas rausfinden könntet

Danke im Voraus

LOGFILE:

Logfile of HijackThis v1.99.1
Scan saved at 12:27:25, on 20.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lexmark 1200 Series\lxczbmgr.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Programme\Lexmark 1200 Series\lxczbmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
H:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {99BA268B-4021-4739-9945-3C774217FE75} - C:\Programme\NetProject\sbmdl.dll (file missing)
O3 - Toolbar: Internet Service - {51D81DD5-55B7-497F-95DB-D356429BB54E} - C:\Programme\NetProject\wamdl.dll (file missing)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Lexmark 1200 Series] "C:\Programme\Lexmark 1200 Series\lxczbmgr.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LaunchList] C:\Programme\Pinnacle\Studio 11\LaunchList2.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Limited\WinSpywareProtect\winspywareprotect.exe] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Limited\WinSpywareProtect\winspywareprotect.exe" /autorun
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1213441098
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

20.06.2008, 13:01

Sabina

Ehrenmitglied

Beiträge: 29434

#36 Hallo brainburned

1.
wende Cleaner an + lösche alle temporären Dateien
http://www.ccleaner.de/?protecus.de

2.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com

O2 - BHO: (no name) - {99BA268B-4021-4739-9945-3C774217FE75} - C:\Programme\NetProject\sbmdl.dll (file missing)

O3 - Toolbar: Internet Service - {51D81DD5-55B7-497F-95DB-D356429BB54E} - C:\Programme\NetProject\wamdl.dll (file missing)

O4 - HKCU\..\Run: [C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Limited\WinSpywareProtect\winspywareprotect.exe] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Limited\WinSpywareProtect\winspywareprotect.exe" /autorun

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

««
wende Combofix an , klicke die Warnmeldung weg + poste hier den kompletten Report
http://virus-protect.org/artikel/tools/combofix.html

«
__________
MfG Sabina

rund um die PC-Sicherheit

20.06.2008, 13:59

brainburned

...neu hier

Beiträge: 7

#37 Hallo!
Danke für deine schnelle antwort:
Hier die Logfile von ComboFix:
ComboFix 08-06-19.2 - Administrator 2008-06-20 13:52:16.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.641 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator\Favoriten\Online Security Test.url
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080615064710531.log
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url
C:\Programme\NetProject
C:\Programme\NetProject\myd.ico
C:\Programme\NetProject\mym.ico
C:\Programme\NetProject\myp.ico
C:\Programme\NetProject\myv.ico
C:\Programme\NetProject\ot.ico
C:\Programme\NetProject\sbsm.exe
C:\Programme\NetProject\ts.ico
C:\Programme\NetProject\waun.exe
C:\WINDOWS\system32\tdidrv32.sys

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_tdidrv32.sys
-------\Service_tdidrv32.sys

((((((((((((((((((((((( Dateien erstellt von 2008-05-20 bis 2008-06-20 ))))))))))))))))))))))))))))))
.

2008-06-20 13:55 . 2008-06-20 13:55 <DIR> d-------- C:\WINDOWS\system32\xircom
2008-06-20 13:55 . 2008-06-20 13:55 <DIR> d-------- C:\Programme\microsoft frontpage
2008-06-20 13:25 . 2008-06-20 13:25 <DIR> d-------- C:\Programme\CCleaner
2008-06-19 19:02 . 2008-06-19 19:02 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-06-17 20:48 . 2008-06-17 22:57 <DIR> d-------- C:\temp
2008-06-17 16:30 . 2008-06-17 16:30 0 --a------ C:\WINDOWS\nsreg.dat
2008-06-17 16:28 . 2008-06-17 16:28 <DIR> d-------- C:\Programme\Avira
2008-06-17 16:28 . 2008-06-17 16:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-06-15 06:47 . 2008-06-15 21:36 <DIR> d-------- C:\Programme\CenterLock
2008-06-15 04:42 . 2008-06-17 16:53 <DIR> d-------- C:\Programme\UAV
2008-06-15 04:37 . 2008-06-15 05:03 <DIR> d-------- C:\Programme\WAV
2008-06-15 04:14 . 2008-06-15 04:14 <DIR> d-------- C:\WINDOWS\system32\162123
2008-06-10 22:14 . 2008-06-10 22:16 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-06-09 02:58 . 2008-06-11 14:44 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-06-09 02:55 . 2008-06-09 02:55 <DIR> d-------- C:\Programme\NeroInstall.bak
2008-06-09 02:54 . 2008-06-09 02:54 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Nero
2008-06-09 02:51 . 2008-06-09 02:51 <DIR> d-------- C:\Programme\Nero
2008-06-09 02:51 . 2008-06-09 02:53 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2008-06-09 02:51 . 2008-06-09 02:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-06-09 01:03 . 2008-06-20 05:14 1,439 --a------ C:\rollback.ini
2008-06-09 00:11 . 2008-06-09 00:11 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\vlc
2008-06-08 21:55 . 2008-06-08 21:55 <DIR> d-------- C:\Programme\VideoLAN
2008-06-08 21:46 . 2008-06-08 21:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\MailFrontier
2008-06-08 21:45 . 2008-06-20 13:54 7,323,936 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-08 21:45 . 2008-06-20 13:54 111,428 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-06-08 21:42 . 2008-06-08 21:42 <DIR> d-------- C:\Programme\Zone Labs
2008-06-08 21:42 . 2008-06-08 22:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-06-08 21:41 . 2008-06-20 13:40 <DIR> d-------- C:\WINDOWS\Internet Logs

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-20 11:39 1,518,592 ----a-w C:\WINDOWS\Internet Logs\xDB1C.tmp
2008-06-20 11:37 1,520,640 ----a-w C:\WINDOWS\Internet Logs\xDB1B.tmp
2008-06-20 11:35 1,520,640 ----a-w C:\WINDOWS\Internet Logs\xDB1A.tmp
2008-06-20 11:29 18,944 ----a-w C:\WINDOWS\Internet Logs\xDB18.tmp
2008-06-20 11:29 1,520,640 ----a-w C:\WINDOWS\Internet Logs\xDB19.tmp
2008-06-20 11:28 589,824 ----a-w C:\WINDOWS\Internet Logs\xDB16.tmp
2008-06-20 11:28 1,520,640 ----a-w C:\WINDOWS\Internet Logs\xDB17.tmp
2008-06-20 11:26 1,523,712 ----a-w C:\WINDOWS\Internet Logs\xDB15.tmp
2008-06-17 16:52 458,240 ----a-w C:\WINDOWS\Internet Logs\xDB13.tmp
2008-06-17 16:52 1,500,672 ----a-w C:\WINDOWS\Internet Logs\xDB14.tmp
2008-06-17 16:09 1,499,136 ----a-w C:\WINDOWS\Internet Logs\xDB12.tmp
2008-06-17 15:42 1,512,960 ----a-w C:\WINDOWS\Internet Logs\xDB11.tmp
2008-06-17 14:17 2,814,464 ----a-w C:\WINDOWS\Internet Logs\xDBF.tmp
2008-06-17 14:17 1,488,896 ----a-w C:\WINDOWS\Internet Logs\xDB10.tmp
2008-06-17 14:11 1,488,896 ----a-w C:\WINDOWS\Internet Logs\xDBE.tmp
2008-06-17 11:51 1,488,896 ----a-w C:\WINDOWS\Internet Logs\xDBD.tmp
2008-06-17 11:43 1,488,896 ----a-w C:\WINDOWS\Internet Logs\xDBC.tmp
2008-06-17 11:28 1,488,896 ----a-w C:\WINDOWS\Internet Logs\xDBB.tmp
2008-06-17 02:01 1,506,304 ----a-w C:\WINDOWS\Internet Logs\xDBA.tmp
2008-06-17 01:58 1,488,896 ----a-w C:\WINDOWS\Internet Logs\xDB9.tmp
2008-06-17 01:53 1,488,896 ----a-w C:\WINDOWS\Internet Logs\xDB8.tmp
2008-06-17 01:43 1,488,896 ----a-w C:\WINDOWS\Internet Logs\xDB7.tmp
2008-06-16 22:25 1,490,944 ----a-w C:\WINDOWS\Internet Logs\xDB6.tmp
2008-06-16 22:17 1,490,432 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
2008-06-16 01:32 3,509,248 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2008-06-15 19:45 1,482,240 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2008-06-10 15:23 545,280 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2008-06-10 15:23 1,414,144 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2008-06-08 19:39 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-02 19:08 54,672 ----a-w C:\WINDOWS\system32\vsutil_loc0407.dll
2008-04-02 19:08 42,384 ----a-w C:\WINDOWS\zllsputility_loc0407.dll
2008-04-02 19:08 21,904 ----a-w C:\WINDOWS\system32\imsinstall_loc0407.dll
2008-04-02 19:08 17,808 ----a-w C:\WINDOWS\system32\imslsp_install_loc0407.dll
2008-04-02 19:07 75,248 ----a-w C:\WINDOWS\zllsputility.exe
2008-04-02 19:07 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll
2007-11-08 20:41 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
2007-11-08 20:41 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
2007-11-08 20:41 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
.

------- Sigcheck -------

2004-08-04 04:58 14336 65a819b121eb6fdab4400ea42bdffe64 C:\WINDOWS\system32\svchost.exe

2005-03-02 20:19 578560 4c90159a69a5fd3eb39c71411f28fcff C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll
2007-04-11 18:58 579584 78785eff8cb90cec1862a4ccfd9a3c3a C:\WINDOWS\system32\user32.dll

2004-08-04 04:57 82944 d569240a22421d5f670bb6fb6dd522b5 C:\WINDOWS\system32\ws2_32.dll

2007-03-18 00:08 822784 42ce29003e26458c7eff62e6ea9b878f C:\WINDOWS\system32\wininet.dll

2006-04-20 14:18 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys
2006-04-20 13:51 359808 1dbf125862891817f374f407626967f4 C:\WINDOWS\system32\dllcache\tcpip.sys
2007-03-18 00:06 360704 e6b15bcc470953e600ef7aded3cab142 C:\WINDOWS\system32\drivers\tcpip.sys

2007-03-18 00:06 508928 10d53e677a6962b964839073e492c84b C:\WINDOWS\system32\winlogon.exe

2007-03-18 00:04 182656 bc84c4f67d0e880b0c46dc0ce2b8cbaa C:\WINDOWS\system32\drivers\ndis.sys

2004-08-04 03:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\system32\drivers\ip6fw.sys

2005-03-02 11:11 2059264 ae8364004bbfd70461d2ef34888d3360 C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe
2005-03-02 20:06 2059136 bdff8ffa77ee7df9758ef8c1e0da8eff C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
2007-04-11 03:09 2061696 9b9ca27ad315c02b71510238574894b2 C:\WINDOWS\system32\ntkrnlpa.exe

2005-03-02 20:11 2181888 eb5538a452e0e99169e2b6cdb62ff9d2 C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe
2005-03-02 20:06 2181632 7189a2391adc1f65c9ae87b0abe0f945 C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
2007-04-11 03:02 2184448 e1de7a10d46959560c3b617227d95c19 C:\WINDOWS\system32\ntoskrnl.exe

2007-03-18 00:03 1036288 b29f09778d580466c3b8116b858404bc C:\WINDOWS\explorer.exe

2004-08-04 04:58 108544 edb6b81761bd60f32f740bbc40afb676 C:\WINDOWS\system32\services.exe

2004-08-04 04:58 13312 183805eb05bca5a1e4aaaed4d2be3690 C:\WINDOWS\system32\lsass.exe

2004-08-04 04:57 15360 7ce20569925df6789c31799f0c538f29 C:\WINDOWS\system32\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{51D81DD5-55B7-497F-95DB-D356429BB54E}"= C:\Programme\NetProject\wamdl.dll [ ]

[HKEY_CLASSES_ROOT\clsid\{51d81dd5-55b7-497f-95db-d356429bb54e}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 04:57 15360]
"LaunchList"="C:\Programme\Pinnacle\Studio 11\LaunchList2.exe" [2007-03-21 16:41 145496]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 17:07 1828136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 04:06 40048]
"Lexmark 1200 Series"="C:\Programme\Lexmark 1200 Series\lxczbmgr.exe" [2006-07-13 14:26 57344]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2007-05-15 00:22 35328]
"SoundMan"="SOUNDMAN.EXE" [2006-03-02 08:22 577536 C:\WINDOWS\SOUNDMAN.EXE]
"VTTimer"="VTTimer.exe" [2005-03-08 04:33 53248 C:\WINDOWS\system32\VTTimer.exe]
"VTTrayp"="VTtrayp.exe" [2005-11-01 05:15 163840 C:\WINDOWS\system32\VTTrayp.exe]
"AME_CSA"="amecsa.cpl,RUN_DLL" []
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-04-02 21:07 919016]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-02-28 09:59 570664]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-02-18 16:29 2221352]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 04:57 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"IE7"="advpack.dll" [2007-03-18 00:07 124928 C:\WINDOWS\system32\advpack.dll]
"ShowDeskFix"="regsvr32" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.MJPG"= Pvmjpg30.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tdidrv32.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-09-18 16:16 171464 C:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Pinnacle\\Studio 11\\programs\\RM.exe"=
"C:\\Programme\\Pinnacle\\Studio 11\\programs\\Studio.exe"=
"C:\\Programme\\Pinnacle\\Studio 11\\programs\\PMSRegisterFile.exe"=
"C:\\Programme\\Pinnacle\\Studio 11\\programs\\umi.exe"=

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-20 13:56:28
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Lexmark 1200 Series\lxczbmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-20 13:58:07 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-20 11:58:01

9 Verzeichnis(se), 19,437,342,720 Bytes frei
11 Verzeichnis(se), 19,488,477,184 Bytes frei

204

20.06.2008, 14:20

Sabina

Ehrenmitglied

Beiträge: 29434

#38 da ist noch ein rootkit drauf

http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

tdidrv32

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

{51D81DD5-55B7-497F-95DB-D356429BB54E}

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit

20.06.2008, 14:21

brainburned

...neu hier

Beiträge: 7

#39 Hallo Sabina!
Nachdem ich das alles gemacht hab was du gesagt hast ist folgende Warnung schon wieder aufgetreten

Anhang Bild!

PS: Super Forum mit super Moderator, nur weiter so!

Anhang: troj.JPG

20.06.2008, 14:23

Sabina

Ehrenmitglied

Beiträge: 29434

#40 diese nachricht ist nicht weiter wichtig kann man mit dem deaktivieren der systemwiederherstellung beheben......arbeite ab, was ich geschrieben hab
__________
MfG Sabina

rund um die PC-Sicherheit

20.06.2008, 14:25

brainburned

...neu hier

Beiträge: 7

#41 REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "tdidrv32" 20.06.2008 14:23:54

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\tdidrv32.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\tdidrv32.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tdidrv32.sys]

20.06.2008, 14:27

Sabina

Ehrenmitglied

Beiträge: 29434

#42 in: "Enter search strings" (reinschreiben oder reinkopieren)

{51D81DD5-55B7-497F-95DB-D356429BB54E}

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit

20.06.2008, 14:28

brainburned

...neu hier

Beiträge: 7

#43 Und für {51D81DD5-55B7-497F-95DB-D356429BB54E}

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "{51D81DD5-55B7-497F-95DB-D356429BB54E}" 20.06.2008 14:26:30

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{51D81DD5-55B7-497F-95DB-D356429BB54E}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{51D81DD5-55B7-497F-95DB-D356429BB54E}\Implemented Categories]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{51D81DD5-55B7-497F-95DB-D356429BB54E}\Implemented Categories\{00021493-0000-0000-C000-000000000046}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{51D81DD5-55B7-497F-95DB-D356429BB54E}\InprocServer32]

[HKEY_USERS\S-1-5-21-1409082233-412668190-839522115-500\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{51D81DD5-55B7-497F-95DB-D356429BB54E}"=hex:d5,1d,d8,51,b7,55,7f,49,95,db,d3,\

[HKEY_USERS\S-1-5-21-1409082233-412668190-839522115-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{51D81DD5-55B7-497F-95DB-D356429BB54E}]

[HKEY_USERS\S-1-5-21-1409082233-412668190-839522115-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{51D81DD5-55B7-497F-95DB-D356429BB54E}\iexplore]

20.06.2008, 14:35

Sabina

Ehrenmitglied

Beiträge: 29434

#44 Hallo,

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Driver::
tdidrv32

Registry::
[HKEY_USERS\S-1-5-21-1409082233-412668190-839522115-500\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{51D81DD5-55B7-497F-95DB-D356429BB54E}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{51D81DD5-55B7-497F-95DB-D356429BB54E}]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\tdidrv32.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\tdidrv32.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tdidrv32.sys]

DirLook::
C:\WINDOWS\system32\162123

File::
C:\WINDOWS\system32\drivers\tdidrv32.sys

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen

danach: Combofix noch einmal anwenden
poste hier den report, der erscheint

-------------

««
deaktiviere die Systemwiederherstellung ...dann wieder aktivieren

Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann das Häkchen wieder rausnehmen.(also wieder aktivieren)

_______________________________________________________________

««
scanne mit Bitdefender + poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

20.06.2008, 15:30

brainburned

...neu hier

Beiträge: 7

#45 Hallo!
Ich hab alles gemacht bis auf Bitdefender der scannt nocht.

Brutal wie viele Viren der PC eingefangen hat.

Hast du eine Empfelung für ein Security Prog?

Aber ich muss dir noch mal vielen Dank sagen, super Support!!!!!

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

»
»
» TR/Dldr.agent.bca.13 uvm kommt immer wieder
» TR/Dldr.agent.9876 kommt immer wieder !!!
»

Seite(n): 1 2 3 4