Troj/Feutel-AS bzw. Backdoor.Win32.Hupigon.lq entfernen - Aber wie?

Thema ist geschlossen!
Thema ist geschlossen!
#0
08.03.2006, 18:17
Member

Beiträge: 13
#1 Hallo allerseits,

ich hatte heute eine Virenmeldung von NAV. Darin teilte mir Norton mit, dass er einen Trojaner gefunden hat, ihn aber nicht entfernen konnte. Ich habe Steganos Antispy, Ad-Aware, Spybot und Stinger durchlaufen lassen. Die haben alle nichts gefunden. Die Internet-Auswertung von Hijackthis hat auch nichts Nennenswertes gebracht. Ich poste hier mal das Hijackthis-Log. Vielleicht findet ja jemand von Euch etwas, was ihm suspekt vorkommt. Wie könnte ich weiter vorgehen?

Hier mein Log:

Logfile of HijackThis v1.99.1
Scan saved at 16:39:02, on 08.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\1PW\ONEPW.EXE
C:\Programme\Steganos AntiSpyware 2006\saspy2006.exe
C:\Programme\PTBSync\PTBSync.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\SatSrv.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Steganos AntiSpyware 2006\WRSSSDK.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\OPScan.exe
F:\Programme & technische Infos - F\AA_ heruntergel. Programme vor der Instalatiion\Systemdiagnose - Programme\Diagnose - Tool - Hijacker\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.shaumbras.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [CreativeMixer] C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [1PW] C:\PROGRA~1\1PW\ONEPW.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AntiSpyware 2006] "C:\Programme\Steganos AntiSpyware 2006\saspy2006.exe" /startintray
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start
O4 - Startup: ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {095E1970-2834-405E-8B82-5484DF7A0A26} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {095E1970-2834-405E-8B82-5484DF7A0A26} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O15 - Trusted Zone: http://*.windowsupdate.microsoft.com
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122229244558
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Atomuhr Synchronisation (PTBSync) - ElmüSoft - C:\Programme\PTBSync\PTBSync.exe
O23 - Service: Steganos AntiTheft (SatSrv) - Unknown owner - C:\WINDOWS\system32\SatSrv.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Steganos AntiSpyware 2006\WRSSSDK.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Danke für Eure Mühe und Grüße,

Eijeijei
Seitenanfang Seitenende
08.03.2006, 19:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Eijeijei

Zitat

ich hatte heute eine Virenmeldung von NAV. Darin teilte mir Norton mit, dass er einen Trojaner gefunden hat, ihn aber nicht entfernen konnte
- Knips..Glaskugel an -

welche Virenmeldung gibt der Norton aus? Bitte Pfad vom Virus posten

- Knips..Glaskugel aus ;)

------------------------------------------------------------------------

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.03.2006, 19:42
Member

Themenstarter

Beiträge: 13
#3 Hallo Sabina,

stimmt. Den Pfad hab ich völlig vergessen. Sorry. Also die Meldung ist, dass unter C:/Windows/system32/drivers/mchlnjDrv.sys ein Trojaner ist. Ich hatte dann unter mchlnjdrv gesurft und festgestellt auf der Seite

http://www.bleepingcomputer.com/startups/Cat-M.html

dass es sich um den o. g. Trojaner handeln müsste. Norton hat dazu nix Genaues gesagt. Der hat nur festgestellt, es ist ein Wurm, den er nicht entfernen kann.

Ist Cleanup sehr anders als CCleaner? Ich hab mit CCleaner und mit Steganos Security Suite schon alle Dateien gelöscht, die irgendwelche Spuren darstellen könnten. Letztes Mal wurde mir hier im Forum nämlich der CCleaner empfohlen...

Datfind.bat-Log:

Hier meine Logs:

Verzeichnis von C:\WINDOWS

08.03.2006 13:26 159 wiadebug.log
08.03.2006 13:26 50 wiaservc.log
08.03.2006 13:24 2.048 bootstat.dat
08.03.2006 01:47 32.458 SchedLgU.Txt
27.02.2006 21:22 783 hpinfo.lnk
25.02.2006 09:33 192 winamp.ini
31.01.2006 00:05 700.998 SIGVERIF.TXT
12.01.2006 23:19 32 weitere.INI
12.01.2006 12:50 1.601 OutlookExpressDatensicherung1_Uninstall.ins
09.01.2006 12:00 115.712 oebackup1.exe
29.12.2005 23:13 69 NeroDigital.ini
27.12.2005 17:03 0 Sti_Trace.log
23.12.2005 20:33 0 nsreg.dat
23.12.2005 20:33 107.132 UninstallFirefox.exe
23.12.2005 20:33 2.763 mozver.dat
12.12.2005 23:52 18 sys386hi.dat
12.12.2005 23:51 10 hxprot3
12.12.2005 01:28 1.847 easybest.txt


Verzeichnis von C:\WINDOWS\system32

08.03.2006 13:25 29.204 nvapps.xml
08.03.2006 13:24 177.548 OODBS.lor
08.03.2006 08:54 13.646 wpa.dbl
24.02.2006 20:10 312.376 FNTCACHE.DAT
07.02.2006 21:28 4.513.120 MRT.exe
31.01.2006 14:35 91.904 S32EVNT1.DLL
04.01.2006 04:35 68.096 webclnt.dll
29.12.2005 03:54 280.064 gdi32.dll




Verzeichnis von C:\DOKUME~1\\LOKALE~1\Temp

08.03.2006 20:05 512 ~DF577B.tmp
08.03.2006 20:02 861 ~WRD0000.doc
08.03.2006 20:02 512 ~DF4351.tmp
08.03.2006 20:02 512 ~DF2ED2.tmp
08.03.2006 13:25 1.474.560 ~DFCF4C.tmp


Verzeichnis von C:\

08.03.2006 20:13 0 sys.txt
08.03.2006 20:13 5.059 system.txt
08.03.2006 20:12 489 systemtemp.txt
08.03.2006 20:12 100.311 system32.txt
08.03.2006 20:00 429 datFind.bat
08.03.2006 13:24 804.495.360 pagefile.sys



Liebe Grüße,

Eijeijei
Dieser Beitrag wurde am 08.03.2006 um 20:28 Uhr von Eijeijei editiert.
Seitenanfang Seitenende
08.03.2006, 21:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 1.
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren

2
Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Gray Pigeon Server

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

mchlnjDrv

n edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

http://www.sophos.com/virusinfo/analyses/trojfeutelas.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.03.2006, 22:48
Member

Themenstarter

Beiträge: 13
#5 Zu 1.)

The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Home Edition
Version: 5.1.2600 Service Pack 2
Mrz 8, 2006 22:22:06


===> Begin Service Listing <===

Unknown Service #1
Service Name: AcrSch2Svc
Display Name: Acronis Scheduler2 Service
Start Mode: Auto
Start Name: LocalSystem
Description: Erlaubt Acronis Produkten, geplante Tasks automatisch auf diesem Computer auszuführen. Wenn dieser ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\acronis\schedule2\schedul2.exe"
State: Running
Process ID: 224
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #2
Service Name: ccEvtMgr
Display Name: Symantec Event Manager
Start Mode: Auto
Start Name: LocalSystem
Description: Symantec Event ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\symantec shared\ccevtmgr.exe"
State: Running
Process ID: 1524
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #3
Service Name: ccProxy
Display Name: Symantec Network Proxy
Start Mode: Auto
Start Name: LocalSystem
Description: Symantec Network Proxy ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\symantec shared\ccproxy.exe"
State: Running
Process ID: 292
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #4
Service Name: ccPwdSvc
Display Name: Symantec Password Validation
Start Mode: Manual
Start Name: LocalSystem
Description: Symantec Password Validation ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\symantec shared\ccpwdsvc.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #5
Service Name: ccSetMgr
Display Name: Symantec Settings Manager
Start Mode: Auto
Start Name: LocalSystem
Description: Symantec Settings ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\symantec shared\ccsetmgr.exe"
State: Running
Process ID: 1404
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #6
Service Name: navapsvc
Display Name: Norton AntiVirus Auto-Protect-Dienst
Start Mode: Auto
Start Name: LocalSystem
Description: Verarbeitet Norton AntiVirus ...
Service Type: Own Process
Path: "c:\programme\norton internet security\norton antivirus\navapsvc.exe"
State: Running
Process ID: 380
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 7
Service Name: O&O Defrag
Display Name: O&O Defrag
Start Mode: Auto
Start Name: LocalSystem
Description: O&O Defragmentation ...
Service Type: Own Process
Path: c:\windows\system32\oodag.exe
State: Running
Process ID: 576
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service # 8
Service Name: PTBSync
Display Name: Atomuhr Synchronisation
Start Mode: Manual
Start Name: LocalSystem
Description: Stellt die PC Uhr nach einer Atomuhr auch wenn kein Benutzer angemeldet ist. (by ...
Service Type: Own Process
Path: c:\programme\ptbsync\ptbsync.exe /service
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 9
Service Name: SatSrv
Display Name: Steganos AntiTheft
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\windows\system32\satsrv.exe
State: Running
Process ID: 1212
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #10
Service Name: SAVScan
Display Name: SAVScan
Start Mode: Auto
Start Name: LocalSystem
Description: Handles Norton AntiVirus Auto-Protect Archive ...
Service Type: Own Process
Path: "c:\programme\norton internet security\norton antivirus\savscan.exe"
State: Running
Process ID: 336
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #11
Service Name: SBService
Display Name: ScriptBlocking Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\progra~1\gemein~1\symant~1\script~1\sbserv.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #12
Service Name: SNDSrvc
Display Name: Symantec Network Drivers Service
Start Mode: Auto
Start Name: LocalSystem
Description: Symantec Network Drivers ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\symantec shared\sndsrvc.exe"
State: Running
Process ID: 1420
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 13
Service Name: svcWRSSSDK
Display Name: Webroot Spy Sweeper Engine
Start Mode: Auto
Start Name: LocalSystem
Description: Provides core functionality to Webroot Spy Sweeper. This service must be enabled and started for ...
Service Type: Own Process
Path: c:\programme\steganos antispyware 2006\wrsssdk.exe
State: Running
Process ID: 1512
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #14
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{12681d9f-89bb-464d-8c00-d05bd45213e1}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #15
Service Name: SymWSC
Display Name: SymWMI Service
Start Mode: Auto
Start Name: LocalSystem
Description: Symantec WMI ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\symantec shared\security center\symwsc.exe"
State: Running
Process ID: 2092
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 16
Service Name: TUWinStylerThemeSvc
Display Name: TuneUp WinStyler Theme Service
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\tuneup utilities 2006\winstylerthemesvc.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

There are 94 Win32 services on this machine.
16 were unrecognized.

Script Execution Time: 3,023438 seconds.

Zu 2.1.

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 08.03.2006 22:29:45 for strings:
; 'gray pigeon server'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...


zu 2.3.

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 08.03.2006 22:34:16 for strings:
; 'gray pigeon server'
; Strings excluded from search:
; 'mchlnjdrv'
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...


Wie öffne ich denn die rbot-baf.ide Datei?

Danke schon mal und liebe Grüße,

Eijeijei
Seitenanfang Seitenende
08.03.2006, 23:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Eijeijei

C:/Windows/system32/drivers/mchlnjDrv.sys --> findest du die sys noch auf dem System ?

----------------------------------------------------------------------------

HijackThis (StartupListe)
erstelle ein Startuplist log, dazu bitte in die ms tools setion gehen, beide Dinge bei "generate statuplist log" anhaken und die liste erstellen lassen.

*HijackThis - Config
*List also minor sections (full) -- Häkchen setzen
*List empty sections (complete) -- Häkchen setzen
*HijackThis - Config - MiscTools -- Generate StartupListlog
*(es öffnet sich das Notepad [Texteditor], nun das KOMPLETTE Log abkopieren und posten)

poste den scanreport
RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html

---------------------------------------------------------------------------

start -->Ausfuehren --> regedit
bearbeiten--> suchen--> mchlnjDrv

findest du ???????

HKLM\System\ControlSet002\Services\mchlnjDrv
HKLM\System\ControlSet001\Services\mchlnjDrv
HKLM\System\CurrentControlSet\Services\mchlnjDrv
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.03.2006, 16:06
Member

Themenstarter

Beiträge: 13
#7 Hallo,

da bin ich wieder.

C:/Windows/system32/drivers/mchlnjDrv.sys ist nicht auf meinem System.

HKLM\System\ControlSet002\Services\mchlnjDrv
HKLM\System\ControlSet001\Services\mchlnjDrv
HKLM\System\CurrentControlSet\Services\mchlnjDrv

sind auch nicht drauf.

Hijackthis Startup-Log:

StartupList report, 09.03.2006, 11:01:24
StartupList version: 1.52.2
Started from : F:\Programme & technische Infos - F\Systemdiagnose - Programme\Hijacker - Diagnose - Tool\HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
* Including empty and uninteresting sections
* Showing rarely important sections
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\SatSrv.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Steganos AntiSpyware 2006\WRSSSDK.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\1PW\ONEPW.EXE
C:\Programme\Steganos AntiSpyware 2006\saspy2006.exe
C:\Programme\PTBSync\PTBSync.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
F:\Programme & technische Infos - F\Systemdiagnose - Programme\Hijacker - Diagnose - Tool\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\Dokumente und Einstellungen\\Startmenü\Programme\Autostart]
ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE

Shell folders AltStartup:
*Folder not found*

User shell folders Startup:
*Folder not found*

User shell folders AltStartup:
*Folder not found*

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
*No files*

Shell folders Common AltStartup:
*Folder not found*

User shell folders Common Startup:
*Folder not found*

User shell folders Alternate Common Startup:
*Folder not found*

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

[HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon]
*Registry key not found*

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
*Registry value not found*

[HKCU\Software\Microsoft\Windows\CurrentVersion\Winlogon]
*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

CreativeMixer = C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
ccApp = "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
URLLSTCK.exe = C:\Programme\Norton Internet Security\UrlLstCk.exe
Symantec NetDriver Monitor = C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
1PW = C:\PROGRA~1\1PW\ONEPW.EXE
NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
AntiSpyware 2006 = "C:\Programme\Steganos AntiSpyware 2006\saspy2006.exe" /startintray
PTBSync = C:\Programme\PTBSync\PTBSync.exe /Start

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No values found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*No values found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

*No values found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No values found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

[OptionalComponents]
*No values found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*

--------------------------------------------------

File association entry for .EXE:
HKEY_CLASSES_ROOT\exefile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .COM:
HKEY_CLASSES_ROOT\comfile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .BAT:
HKEY_CLASSES_ROOT\batfile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .PIF:
HKEY_CLASSES_ROOT\piffile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .SCR:
HKEY_CLASSES_ROOT\scrfile\shell\open\command

(Default) = "%1" /S

--------------------------------------------------

File association entry for .HTA:
HKEY_CLASSES_ROOT\htafile\shell\open\command

(Default) = C:\WINDOWS\System32\mshta.exe "%1" %*

--------------------------------------------------

File association entry for .TXT:
HKEY_CLASSES_ROOT\txtfile\shell\open\command

(Default) = %SystemRoot%\system32\NOTEPAD.EXE %1

--------------------------------------------------

Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)

[>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
StubPath = C:\WINDOWS\inf\unregmp2.exe /ShowWMP

[>{26923b43-4d38-484f-9b9e-de460746276c}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE

[>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS] *
StubPath = RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP

[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

[{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *
StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll

[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install

[{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT

[{5945c046-1e7d-11d1-bc44-00c04fd912be}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser

[{6BF52A52-394A-11d3-B153-00C04F79FAA6}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp10.inf,PerUserStub

[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll

[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = %SystemRoot%\system32\ie4uinit.exe

--------------------------------------------------

Enumerating ICQ Agent Autostart apps:
HKCU\Software\Mirabilis\ICQ\Agent\Apps

*Registry key not found*

--------------------------------------------------

Load/Run keys from C:\WINDOWS\WIN.INI:

load=*INI section not found*
run=*INI section not found*

Load/Run keys from Registry:

HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\Windows: load=
HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry value not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Checking for EXPLORER.EXE instances:

C:\WINDOWS\Explorer.exe: PRESENT!

C:\Explorer.exe: not present
C:\WINDOWS\Explorer\Explorer.exe: not present
C:\WINDOWS\System\Explorer.exe: not present
C:\WINDOWS\System32\Explorer.exe: not present
C:\WINDOWS\Command\Explorer.exe: not present
C:\WINDOWS\Fonts\Explorer.exe: not present

--------------------------------------------------

Checking for superhidden extensions:

..lnk: HIDDEN! (arrow overlay: yes)
..pif: HIDDEN! (arrow overlay: yes)
..exe: not hidden
..com: not hidden
..bat: not hidden
..hta: not hidden
..scr: not hidden
..shs: HIDDEN!
..shb: HIDDEN!
..vbs: not hidden
..vbe: not hidden
..wsh: not hidden
..scf: HIDDEN! (arrow overlay: NO!)
..url: HIDDEN! (arrow overlay: yes)
..js: not hidden
..jse: not hidden

--------------------------------------------------

Verifying REGEDIT.EXE integrity:

- Regedit.exe found in C:\WINDOWS
- .reg open command is normal (regedit.exe %1)
- Company name OK: 'Microsoft Corporation'
- Original filename OK: 'REGEDIT.EXE'
- File description: 'Registrierungs-Editor'

Registry check passed

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\Programme\GetRight\xx2gr.dll - {31FF080D-12A3-439A-A2EF-4BA95A3148E8}
(no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}
Web assistant - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll - {9ECB9560-04F9-4bbc-943D-298DDF1699E1}
NAV Helper - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}

--------------------------------------------------

Enumerating Task Scheduler jobs:

1-Klick-Wartung.job
Norton AntiVirus - Meinen Computer prüfen.job
Symantec NetDetect.job

--------------------------------------------------

Enumerating Download Program Files:

[Windows Genuine Advantage Validation Tool]
InProcServer32 = C:\WINDOWS\system32\LegitCheckControl.DLL
CODEBASE = http://go.microsoft.com/fwlink/?linkid=39204

[Office Update Installation Engine]
InProcServer32 = C:\WINDOWS\opuc.dll
CODEBASE = http://office.microsoft.com/officeupdate/content/opuc2.cab

[WUWebControl Class]
InProcServer32 = C:\WINDOWS\system32\wuweb.dll
CODEBASE = http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122229244558

[Java Plug-in 1.5.0_05]
InProcServer32 = C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
CODEBASE = http://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab

[Java Plug-in 1.5.0_05]
InProcServer32 = C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
CODEBASE = http://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\system32\Macromed\Flash\Flash8.ocx
CODEBASE = http://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab

--------------------------------------------------

Enumerating Winsock LSP files:

NameSpace #1: C:\WINDOWS\System32\mswsock.dll
NameSpace #2: C:\WINDOWS\System32\winrnr.dll
NameSpace #3: C:\WINDOWS\System32\mswsock.dll
Protocol #1: C:\WINDOWS\system32\mswsock.dll
Protocol #2: C:\WINDOWS\system32\mswsock.dll
Protocol #3: C:\WINDOWS\system32\mswsock.dll
Protocol #4: C:\WINDOWS\system32\rsvpsp.dll
Protocol #5: C:\WINDOWS\system32\rsvpsp.dll
Protocol #6: C:\WINDOWS\system32\mswsock.dll
Protocol #7: C:\WINDOWS\system32\mswsock.dll
Protocol #8: C:\WINDOWS\system32\mswsock.dll
Protocol #9: C:\WINDOWS\system32\mswsock.dll
Protocol #10: C:\WINDOWS\system32\mswsock.dll
Protocol #11: C:\WINDOWS\system32\mswsock.dll
Protocol #12: C:\WINDOWS\system32\mswsock.dll
Protocol #13: C:\WINDOWS\system32\mswsock.dll
Protocol #14: C:\WINDOWS\system32\mswsock.dll
Protocol #15: C:\WINDOWS\system32\mswsock.dll
Protocol #16: C:\WINDOWS\system32\mswsock.dll
Protocol #17: C:\WINDOWS\system32\mswsock.dll
Protocol #18: C:\WINDOWS\system32\mswsock.dll
Protocol #19: C:\WINDOWS\system32\mswsock.dll

--------------------------------------------------

Enumerating Windows NT/2000/XP services

Microsoft ACPI-Treiber: System32\DRIVERS\ACPI.sys (system)
Acronis Scheduler2 Service: "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe" (autostart)
Microsoft Kernel-Echounterdrückung: system32\drivers\aec.sys (manual start)
Umgebung für die AFD-Netzwerkunterstützung: \SystemRoot\System32\drivers\afd.sys (system)
Warndienst: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
Gatewaydienst auf Anwendungsebene: %SystemRoot%\System32\alg.exe (manual start)
AMD K7-Prozessortreiber: System32\DRIVERS\amdk7.sys (system)
Anwendungsverwaltung: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)
1394-ARP-Clientprotokoll: System32\DRIVERS\arp1394.sys (manual start)
Asynchroner RAS -Medientreiber: System32\DRIVERS\asyncmac.sys (manual start)
Standard-IDE/ESDI-Festplattencontroller: System32\DRIVERS\atapi.sys (system)
Protokoll für ATM ARP-Client: System32\DRIVERS\atmarpc.sys (manual start)
Windows Audio: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Audiostubtreiber: System32\DRIVERS\audstub.sys (manual start)
Intelligenter Hintergrundübertragungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Computerbrowser: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
OpenCom 40dsl: System32\Drivers\CAPI20.SYS (autostart)
Symantec Event Manager: "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" (autostart)
Symantec Network Proxy: "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe" (autostart)
Symantec Password Validation: "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe" (manual start)
Symantec Settings Manager: "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe" (autostart)
CD-ROM-Laufwerktreiber: System32\DRIVERS\cdrom.sys (system)
Indexdienst: C:\WINDOWS\System32\cisvc.exe (disabled)
Ablagemappe: %SystemRoot%\system32\clipsrv.exe (disabled)
COM+-Systemanwendung: C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} (manual start)
Kryptografiedienste: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
DCOM-Server-Prozessstart: %SystemRoot%\system32\svchost -k DcomLaunch (autostart)
DeTeWe CapiPort: \SystemRoot\System32\drivers\detewecp.sys (autostart)
DHCP-Client: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Laufwerktreiber: System32\DRIVERS\disk.sys (system)
Verwaltungsdienst für die Verwaltung logischer Datenträger: %SystemRoot%\System32\dmadmin.exe /com (manual start)
dmboot: System32\drivers\dmboot.sys (disabled)
dmio: System32\drivers\dmio.sys (disabled)
dmload: System32\drivers\dmload.sys (disabled)
Verwaltung logischer Datenträger: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Microsoft Kernel-DLS-Synthesizer: system32\drivers\DMusic.sys (manual start)
DNS-Client: %SystemRoot%\System32\svchost.exe -k NetworkService (manual start)
Microsoft Kernel-DRM-Audioentschlüsselung: system32\drivers\drmkaud.sys (manual start)
DeTeWe OpenCom 40 dsl: System32\DRIVERS\dtwmnic5.sys (manual start)
ElbyCDFL: System32\Drivers\ElbyCDFL.sys (manual start)
ElbyCDIO Driver: System32\Drivers\ElbyCDIO.sys (autostart)
Fehlerberichterstattungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
Creative AudioPCI (ES1371,ES1373) (WDM): system32\drivers\es1371mp.sys (manual start)
Ereignisprotokoll: %SystemRoot%\system32\services.exe (autostart)
COM+-Ereignissystem: C:\WINDOWS\System32\svchost.exe -k netsvcs (manual start)
Kompatibilität für schnelle Benutzerumschaltung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Diskettencontrollertreiber: System32\DRIVERS\fdc.sys (manual start)
Diskettenlaufwerktreiber: System32\DRIVERS\flpydisk.sys (manual start)
FltMgr: system32\drivers\fltmgr.sys (system)
Treiber für Volume-Manager: System32\DRIVERS\ftdisk.sys (system)
Gameport-Enumerator: System32\DRIVERS\gameenum.sys (manual start)
Standardpaketklassifizierung: System32\DRIVERS\msgpc.sys (manual start)
Hilfe und Support: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Eingabegerätezugang: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
HTTP: System32\Drivers\HTTP.sys (manual start)
HTTP-SSL: %SystemRoot%\System32\svchost.exe -k HTTPFilter (manual start)
i8042-Tastatur- und PS/2-Mausanschluss-Treiber: System32\DRIVERS\i8042prt.sys (system)
IMAPI-CD-Brenn-COM-Dienste: C:\WINDOWS\System32\imapi.exe (manual start)
IPv6-Windows-Firewalltreiber: system32\drivers\ip6fw.sys (manual start)
Filtertreiber für IP-Verkehr: System32\DRIVERS\ipfltdrv.sys (manual start)
IP/IP-Tunneltreiber: System32\DRIVERS\ipinip.sys (manual start)
Übersetzer für IP-Netzwerkadressen: System32\DRIVERS\ipnat.sys (manual start)
IPSEC-Treiber: System32\DRIVERS\ipsec.sys (system)
IR-Enumeratordienst: System32\DRIVERS\irenum.sys (manual start)
PnP-ISA/EISA-Bus-Treiber: System32\DRIVERS\isapnp.sys (system)
Tastaturklassentreiber: System32\DRIVERS\kbdclass.sys (system)
Microsoft Kernel-Waveaudiomixer: system32\drivers\kmixer.sys (manual start)
Server: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Arbeitsstationsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
TCP/IP-NetBIOS-Hilfsprogramm: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
Nachrichtendienst: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
NetMeeting-Remotedesktop-Freigabe: C:\WINDOWS\System32\mnmsrvc.exe (manual start)
Mausklassentreiber: System32\DRIVERS\mouclass.sys (system)
Redirector für WebDav-Client: System32\DRIVERS\mrxdav.sys (manual start)
MRXSMB: System32\DRIVERS\mrxsmb.sys (system)
Distributed Transaction Coordinator: C:\WINDOWS\System32\msdtc.exe (disabled)
Windows Installer: C:\WINDOWS\system32\msiexec.exe /V (manual start)
Microsoft Streaming Service Proxy: system32\drivers\MSKSSRV.sys (manual start)
Microsoft Proxy für Streaming Clock: system32\drivers\MSPCLOCK.sys (manual start)
Microsoft Proxy für Streaming Quality Manager: system32\drivers\MSPQM.sys (manual start)
Microsoft-Systemverwaltungs-BIOS-Treiber: System32\DRIVERS\mssmbios.sys (manual start)
Microsoft MPU-401 MIDI UART-Treiber: system32\drivers\msmpu401.sys (manual start)
Norton AntiVirus Auto-Protect-Dienst: "C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe" (autostart)
NAVENG: \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20060307.009\NAVENG.Sys (manual start)
NAVEX15: \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20060307.009\NavEx15.Sys (manual start)
RAS-NDIS-TAPI-Treiber: System32\DRIVERS\ndistapi.sys (manual start)
NDIS-Benutzermodus-E/A-Protokoll: System32\DRIVERS\ndisuio.sys (manual start)
RAS-NDIS-WAN-Treiber: System32\DRIVERS\ndiswan.sys (manual start)
NetBIOS-Schnittstelle: System32\DRIVERS\netbios.sys (system)
NetBios über TCP/IP: System32\DRIVERS\netbt.sys (system)
Netzwerk-DDE-Dienst: %SystemRoot%\system32\netdde.exe (manual start)
Netzwerk-DDE-Serverdienst: %SystemRoot%\system32\netdde.exe (manual start)
Anmeldedienst: %SystemRoot%\System32\lsass.exe (manual start)
Netzwerkverbindungen: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
1394-Netzwerktreiber: System32\DRIVERS\nic1394.sys (manual start)
NLA (Network Location Awareness): %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
NT-LM-Sicherheitsdienst: %SystemRoot%\System32\lsass.exe (manual start)
Wechselmedien: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)
nv: System32\DRIVERS\nv4_mini.sys (manual start)
nv4: System32\DRIVERS\nv4.sys (manual start)
NVIDIA Display Driver Service: %SystemRoot%\system32\nvsvc32.exe (autostart)
Filtertreiber für IPX-Verkehr: System32\DRIVERS\nwlnkflt.sys (manual start)
Treiber für IPX-Verkehrsweiterleitung: System32\DRIVERS\nwlnkfwd.sys (manual start)
O&O Defrag: C:\WINDOWS\system32\oodag.exe (autostart)
VIA OHCI-konformer IEEE 1394-Hostcontroller: System32\DRIVERS\ohci1394.sys (system)
Treiber für parallelen Anschluss: System32\DRIVERS\parport.sys (manual start)
PCI-Bus-Treiber: System32\DRIVERS\pci.sys (system)
PCTEL Speaker Phone: %SystemRoot%\system32\pctspk.exe (autostart)
PfModNT: \??\C:\WINDOWS\System32\PfModNT.sys (autostart)
Plug & Play: %SystemRoot%\system32\services.exe (autostart)
IPSEC-Dienste: %SystemRoot%\System32\lsass.exe (manual start)
PortTalk: \??\C:\WINDOWS\system32\Drivers\PtbTalk.sys (autostart)
WAN-Miniport (PPTP): System32\DRIVERS\raspptp.sys (manual start)
Prozessortreiber: System32\DRIVERS\processr.sys (system)
Geschützter Speicher: %SystemRoot%\system32\lsass.exe (autostart)
QoS-Paketplaner: System32\DRIVERS\psched.sys (manual start)
Atomuhr Synchronisation: C:\Programme\PTBSync\PTBSync.exe /Service (manual start)
Treiber für direkte Parallelverbindung: System32\DRIVERS\ptilink.sys (manual start)
PCTEL Seri*hier nicht!* Device Driver for PCI: System32\DRIVERS\ptserlp.sys (manual start)
PxHelp20: System32\Drivers\PxHelp20.sys (system)
Treiber für automatische RAS-Verbindung: System32\DRIVERS\rasacd.sys (system)
Verwaltung für automatische RAS-Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
WAN-Miniport (L2TP): System32\DRIVERS\rasl2tp.sys (manual start)
RAS-Verbindungsverwaltung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Remotezugriff-PPPOE-Treiber: System32\DRIVERS\raspppoe.sys (manual start)
Parallelanschluss (direkt): System32\DRIVERS\raspti.sys (manual start)
Rdbss: System32\DRIVERS\rdbss.sys (system)
RDPCDD: System32\DRIVERS\RDPCDD.sys (system)
Sitzungs-Manager für Remotedesktophilfe: C:\WINDOWS\system32\sessmgr.exe (manual start)
Filtertreiber für digitale CD-Audiowiedergabe: System32\DRIVERS\redbook.sys (system)
Routing und RAS: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
Microsoft Legacy Modem Driver: System32\Drivers\RootMdm.sys (manual start)
RPC-Locator: %SystemRoot%\System32\locator.exe (manual start)
Remoteprozeduraufruf (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart)
QoS-RSVP: %SystemRoot%\System32\rsvp.exe (manual start)
Sicherheitskontenverwaltung: %SystemRoot%\system32\lsass.exe (autostart)
Steganos AntiTheft: C:\WINDOWS\system32\SatSrv.exe (autostart)
SAVRT: \??\C:\Programme\Norton Internet Security\Norton AntiVirus\SAVRT.SYS (system)
SAVRTPEL: \??\C:\Programme\Norton Internet Security\Norton AntiVirus\SAVRTPEL.SYS (system)
SAVScan: "C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe" (autostart)
Bustreiber für SBP2-Transport/Protokoll: system32\DRIVERS\sbp2port.sys (system)
Sound Blaster AudioPCI Audio Driver (WDM): system32\drivers\sbpci.sys (manual start)
ScriptBlocking Service: C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe (autostart)
Smartcard: %SystemRoot%\System32\SCardSvr.exe (manual start)
Taskplaner: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Secdrv: System32\DRIVERS\secdrv.sys (manual start)
Sekundäre Anmeldung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Systemereignisbenachrichtigung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Serenum-Filtertreiber: System32\DRIVERS\serenum.sys (manual start)
Treiber für seriellen Anschluss: System32\DRIVERS\Seri*hier nicht!*.sys (system)
Windows-Firewall/Gemeinsame Nutzung der Internetverbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Shellhardwareerkennung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Steganos Live Encryption Engine 13 [Driver]: \??\C:\WINDOWS\system32\drivers\SLEE13.sys (system)
Acronis Snapshots Manager: system32\DRIVERS\snapman.sys (system)
Symantec Network Drivers Service: "C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe" (autostart)
Microsoft Kernel-Audiosplitter: system32\drivers\splitter.sys (manual start)
Druckwarteschlange: %SystemRoot%\system32\spoolsv.exe (autostart)
Filtertreiber für Systemwiederherstellung: System32\DRIVERS\sr.sys (system)
Systemwiederherstellungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Srv: System32\DRIVERS\srv.sys (manual start)
SSDP-Suchdienst: %SystemRoot%\System32\svchost.exe -k LocalService (disabled)
Windows-Bilderfassung (WIA): %SystemRoot%\System32\svchost.exe -k imgsvc (autostart)
Webroot Spy Sweeper Engine: C:\Programme\Steganos AntiSpyware 2006\WRSSSDK.exe (autostart)
Software-Bus-Treiber: System32\DRIVERS\swenum.sys (manual start)
Microsoft Software Synthesizer (WDM): system32\drivers\swmidi.sys (system)
MS Software Shadow Copy Provider: C:\WINDOWS\System32\dllhost.exe /Processid:{12681D9F-89BB-464D-8C00-D05BD45213E1} (manual start)
SYMDNS: \SystemRoot\System32\Drivers\SYMDNS.SYS (manual start)
SymEvent: \??\C:\Programme\Symantec\SYMEVENT.SYS (manual start)
SYMFW: \SystemRoot\System32\Drivers\SYMFW.SYS (manual start)
SYMIDS: \SystemRoot\System32\Drivers\SYMIDS.SYS (manual start)
SYMIDSCO: \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\SymcData\idsdefs\20060213.061\symidsco.sys (manual start)
SYMNDIS: \SystemRoot\System32\Drivers\SYMNDIS.SYS (manual start)
SYMREDRV: \SystemRoot\System32\Drivers\SYMREDRV.SYS (manual start)
SYMTDI: \SystemRoot\System32\Drivers\SYMTDI.SYS (system)
SymWMI Service: "C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe" (autostart)
Microsoft Kernel-Systemaudiogerät: system32\drivers\sysaudio.sys (manual start)
Leistungsdatenprotokolle und Warnungen: %SystemRoot%\system32\smlogsvc.exe (manual start)
Telefonie: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
TCP/IP-Protokolltreiber: System32\DRIVERS\tcpip.sys (system)
Terminal-Gerätetreiber: System32\DRIVERS\termdd.sys (system)
Terminaldienste: %SystemRoot%\System32\svchost -k DComLaunch (manual start)
Designs: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Acronis TrueImage FS Filter: system32\DRIVERS\tifsfilt.sys (autostart)
Acronis TrueImage Backup Archive Explorer: system32\DRIVERS\timntr.sys (system)
Überwachung verteilter Verknüpfungen (Client): %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)
TuneUp WinStyler Theme Service: "C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe" (manual start)
DeTeWe ISDN-Adapter (USB): System32\Drivers\ulisa.sys (manual start)
Windows User Mode Driver Framework: C:\WINDOWS\system32\wdfmgr.exe (autostart)
Microcode Updatetreiber: System32\DRIVERS\update.sys (manual start)
Universeller Plug & Play-Gerätehost: %SystemRoot%\System32\svchost.exe -k LocalService (disabled)
Unterbrechungsfreie Stromversorgung: %SystemRoot%\System32\ups.exe (manual start)
Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller: system32\DRIVERS\usbehci.sys (manual start)
USB2-aktivierter Hub: System32\DRIVERS\usbhub.sys (manual start)
USB-Scannertreiber: system32\DRIVERS\usbscan.sys (manual start)
USB-Massenspeichertreiber: System32\DRIVERS\USBSTOR.SYS (manual start)
Miniporttreiber für universellen Microsoft USB-Hostcontroller: System32\DRIVERS\usbuhci.sys (manual start)
USB Remote NDIS Network Device Driver: system32\DRIVERS\usb8023.sys (manual start)
VGA-Anzeigecontroller.: \SystemRoot\System32\drivers\vga.sys (system)
VIA AGP-Bus-Filter: System32\DRIVERS\viaagp.sys (system)
ViaIde: System32\DRIVERS\viaide.sys (system)
XP Vmodem: System32\DRIVERS\vmodem.sys (system)
XP Vpctcom: System32\DRIVERS\vpctcom.sys (system)
Volumeschattenkopie: %SystemRoot%\System32\vssvc.exe (manual start)
XP Vvoice: System32\DRIVERS\vvoice.sys (system)
Windows-Zeitgeber: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
RAS-IP-ARP-Treiber: System32\DRIVERS\wanarp.sys (manual start)
Microsoft WDM Virtual Wave Driver (WDM): system32\drivers\wdmaud.sys (system)
Webclient: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
WinDSL-Adapter (PPP-over-Ethernet): system32\DRIVERS\WinDSL.sys (manual start)
%WinDSLp_Desc%: system32\DRIVERS\WinDSL.sys (manual start)
Windows-Verwaltungsinstrumentation: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
Dienst für Seriennummern der tragbaren Medien: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
WMI-Leistungsadapter: C:\WINDOWS\System32\wbem\wmiapsrv.exe (manual start)
Sicherheitscenter: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
Automatische Updates: %systemroot%\system32\svchost.exe -k netsvcs (disabled)
Konfigurationsfreie drahtlose Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Netzwerkversorgungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)


--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*

Windows NT checkdisk command:
BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:\DOKUME~1\\Cookies\index.dat|||t

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

*Registry key not found*

--------------------------------------------------

End of report, 35.577 bytes
Report generated in 0,250 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only


Rootkit Revealer Log:

HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher 11.06.2005 20:43 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\DefaultIcon 11.06.2005 20:43 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell 11.06.2005 20:43 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell\open 11.06.2005 20:43 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell\open\command 11.06.2005 20:43 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell\open\ddeexec 11.06.2005 20:43 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell\open\ddeexec\Application 11.06.2005 20:43 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell\open\ddeexec\Topic 11.06.2005 20:43 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Ole 11.06.2005 20:43 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Ole\AppCompat 11.06.2005 20:43 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Ole\AppCompat\ActivationSecurityCheckExemptionList 11.06.2005 20:43 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Rpc 11.06.2005 20:43 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Rpc\ClientProtocols 11.06.2005 20:43 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Rpc\NameService 11.06.2005 20:43 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Rpc\NetBios 11.06.2005 20:43 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Rpc\SecurityService 11.06.2005 20:43 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\telnet 11.06.2005 20:43 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\telnet\DefaultIcon 11.06.2005 20:43 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\telnet\shell 11.06.2005 20:43 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\telnet\shell\open 11.06.2005 20:43 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\telnet\shell\open\command 11.06.2005 20:43 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 11.06.2005 15:58 0 bytes Key name contains embedded nulls (*)
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temp\Rar$EX00.525\Eula.txt 11.02.2006 09:22 1.92 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temp\Rar$EX00.525\RootkitRevealer.chm 07.12.2005 14:19 99.77 KB Visible in Windows API, but not in MFT or directory index.

Anmerken möchte ich noch, dass mir NAV beim Hochfahren wieder die Meldung anzeigte, dass er einen Virus gefunden hat, den er aber nicht löschen kann.

Ich habe mir auch mal den Rootkit Hook Analyzer runtergeladen und durchlaufen lassen. Der hat auch etwas gefunden, wobei ich allerdings nicht weiß, was da wichtig ist und wie ich das interpretieren bzw. hier posten könnte.

Liebe Grüße,

Eijeijei
Seitenanfang Seitenende
10.03.2006, 02:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Eijeijei

1.
Einzelne Dateien scannen
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C.\Windows\oebackup1.exe

---------------------------------------------------------------------------------------
2.
-schreibe mit wieder genau Name und Pfad.
-und berichte, was Rootkit Hook Analyze gefunden hat (Log abkopieren?)

3.
regrun
http://virus-protect.org/regrun.html
Ich möchte gerne folgende Information von dir haben:

(1) Fix Problems
Prohibited > Anzahl der gefundenen Dateien
Suspicious > Anzahl der gefundenen Dateien
Warnings > Anzahl der gefundenen Dateien

(2) Kopiere diese Datei aus dem Fenster "What's this" in Notepad. 4. (3) schliesse das Fenster "What's this".
5. (4) Verwende den Pfeil > geh genauso vor wie eben, kopiere auch diese Datei aus dem Fensterchen "What's this" in Notepad.

Mach das mit allen Dateien, die auf deinem System gefunden worden sind. Gib ausserden den Status der gefundenen Dateien an: Prohibited, Suspicious, Warning ?

6. Wenn du alle Dateien auf diese Weise in Notepad kopiert hast, klicke auf (5): Finish und schliesse das Programm.

7. Kopiere alle Dateien, die du in Notepad gesammelt hast (2) und die Information (1) in deinen Thread. Mach nicht alleine weiter mit RegRun.

Zitat

Troj/Feutel-A copies itself to the Windows folder as "G-Server.exe" and creates files in the same folder called "G_Server.DLL" and "G_Server_Hook.DLL". The Trojan may also create a temporary file which is then deleted.

On NT-based versions of Windows Troj/Feutel-A registers itself as a service process called GrayPigeonServer with the display name "Gray_Pigeon_Server". Registry entries are created under

HKLM\SYSTEM\CurrentControlSet\Services\GrayPigeonServer
HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv


Troj/Feutel-A also creates the following registry entry:

HKCU\Software\Microsoft\Internet Explorer\Main\
Check_Associations
no

Zitat

<Windows>\svchost.dll
<Windows>\svchost_hook.dll
<Temp>\<random filename>
HKLM\SYSTEM\CurrentControlSet\Services\Webservice
HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv

Zitat

When first run Troj/Feutel-CK copies itself to <Windows folder>\srystem.bat.

The file srystem.bat is registered as a new system driver service named "windows-server", with a display name of "windows-server" and a startup type of automatic, so that it is started automatically during system startup. Registry entries are created under:

HKLM\SYSTEM\CurrentControlSet\Services\windows-server\

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.03.2006, 21:05
Member

Themenstarter

Beiträge: 13
#9 Hallo,

zu 1.)
Ergebnis:

Antivirus Version Update Result
AntiVir 6.34.0.53 03.10.2006 no virus found
Avast 4.6.695.0 03.08.2006 no virus found
AVG 718 03.10.2006 no virus found
Avira 6.34.0.53 03.10.2006 no virus found
BitDefender 7.2 03.10.2006 no virus found
CAT-QuickHeal 8.00 03.10.2006 no virus found
ClamAV devel-20060126 03.10.2006 no virus found
DrWeb 4.33 03.10.2006 no virus found
eTrust-InoculateIT 23.71.98 03.09.2006 no virus found
eTrust-Vet 12.4.2115 03.10.2006 no virus found
Ewido 3.5 03.10.2006 no virus found
Fortinet 2.71.0.0 03.10.2006 suspicious
F-Prot 3.16c 03.09.2006 no virus found
Ikarus 0.2.59.0 03.10.2006 no virus found
Kaspersky 4.0.2.24 03.10.2006 no virus found
McAfee 4714 03.09.2006 no virus found
NOD32v2 1.1437 03.10.2006 no virus found
Norman 5.70.10 03.10.2006 no virus found
Panda 9.0.0.4 03.10.2006 no virus found
Sophos 4.03.0 03.10.2006 no virus found
Symantec 8.0 03.10.2006 no virus found
TheHacker 5.9.5.110 03.09.2006 no virus found
UNA 1.83 03.10.2006 no virus found
VBA32 3.10.5 03.10.2006 no virus found

zu 2.)

Hier verstehe ich nicht, welchen Namen und Pfad ich schreiben soll. Mit Rootkit Hook Analyzer gibt's kein Log, und es lässt sich leider auch nichts kopieren. Er hat folgende Komponenten bemängelt, die aber m. E. okay sein dürften:

savrt.sys ( müsste Bestandteil von NAV sein)
savrtpel.sys (dto.)
navex15.sys (dto.)
naveng.sys (dto.)
rkreveal15.sys (Rootkit Revealer?)
dump_wmilib.sys (müsste Windows-Bestandteil sein)
duom_atapi.sys (hierzu hab ich im Netz nix gefunden, könnte aber was mit dem Brenner zu tun haben?)

Das sind alles Dateien, die die der Analyzer unter "Modules" nicht zuordnen konnte und bei denen demzufolge im Pfad "???" steht und zu denen keine weiteren Angaben vorhanden sind. Bei "Hooks" wurde in roter Schrift Folgendes bemängelt: Index = 31 Service Name = NtConnectPort/ZwConnectPort

Ich weiß nicht, was das bedeuten soll. Eine Bekannte von mir hat aber auch dieses Programm durchlaufen lassen und auch den gleichen Hook bemängelt bekommen. Vielleicht ist das ja normal???

3.)

Prohibited: 2
Suspicious: 17
Warnings: 3


Log ist im Anhang.

Jetzt habe ich folgendes Problem, dass mein Regrun Reanimator nicht ganz so funktioniert, wie in der Gebrauchsanweisung beschrieben. Jedenfalls nicht immer.

Ich habe den Virusscan gemacht, "Disinfect" gedrückt und kann leider nicht bei allen Dateien ausmachen, wie ich an das "What's this"-Fenster komme. Manchmal gibt es nämlich nur die beiden Buttons "It's good for me" und "It's not correct. Restore default settings". Ich müsste also mit dem grünen Pfeil blättern und kann auf diese Art und Weise also nur die Dateien erfassen, die auch einen Button "Good or bad? Get info/Kill or Accept it" haben.

Wenn ich das Fenster, in dem oben im dunkelblauen Bereich "Antispyware" steht, geöffnet habe, komme ich nicht an das "What's this?"-Fenster dran. Wenn ich nur das Fenster "RegRun Reanimator" geöffnet habe, komme ich irgendwie nicht an die Prohibited-, Suspicious- oder Warning-Dateien dran. Irgendwie steh' ich da jetzt auf der Leitung...


Anmerken möchte ich noch, dass NAV heute seine routinemäßige Virenkontrolle gemacht hat und nichts, aber auch rein gar nichts bemängelt hat.

Liebe Grüße,

Eijeijei

Dieser Beitrag wurde am 10.03.2006 um 21:09 Uhr von Eijeijei editiert.
Seitenanfang Seitenende
11.03.2006, 00:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10

Zitat

OEBackup - Outlook Express Datensicherung (Vollversion)=C:\WINDOWS\oebackup1.exe
der Symantec findet nichts...und ich auch nicht ;)
Am besten mache einen Onlinescan mit kaspersky und berichte.
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.03.2006, 22:44
Member

Themenstarter

Beiträge: 13
#11 Hallo Sabina,

das war ein Super-Tipp mit Kaspersky. Danke. Der hat nämlich Folgendes gefunden:

Trojan-Spy.Win32.Agent.et
Andere Version: .o
Aliases
Trojan-Spy.Win32.Agent.et (Kaspersky Lab) auch bekannt als: Trojan.FWB (Doctor Web), TR/Spy.Agent.ET (H+BEDV), Trojan.Spy.Agent.ET (SOFTWIN), Trj/Agent.ABK (Panda) Datum: Wann entdeckt? 18 Jun 2005 00:44 GMT
Update released 18 Jun 2005 02:15 GMT
behavior TrojanSpy


Für dieses Schadprogramm gibt es keine Beschreibung. Blablabla. Gefunden wurde der Trojaner in dem Pfad: C:\WINDOWS\system32\mspeupx.exe

Ich habe hier

http://forums.wugnet.com/Help+&+Support-MSPEUPX.exe-Windows-Updater-ftopict405465.html

eine Anleitung gefunden, was da zu machen ist und mit Ewido (www.ewido.net) online gescannt und dort die Datei Logger.exe gefunden und beseitigt.

Vorher habe ich in der Registry den Pfad

HKCU\Software\Microsoft\Internet Explorer\Main\Check_Associations no

gefunden, der, wie Du ja in einem Posting geschrieben hattest, wohl auch vom Trojaner herrührt.

PC neu gestartet, und: NAV bringt wieder die Virusmeldung mit mchlnjDrv.sys, obwohl ich diese Datei gar nicht in der Registry und im Windows habe.

Will der Norton mich veräppeln? Ich weiß jetzt nicht, was ich davon zu halten habe.

Liebe Grüße,

Eijeijei
Seitenanfang Seitenende
11.03.2006, 22:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 poste bitte mal die 4 Textdateien von datfindbat, aber bitte bis August 2005
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.03.2006, 23:05
Member

Themenstarter

Beiträge: 13
#13 Datentr„ger in Laufwerk C: ist System - XP
Volumeseriennummer: F462-CDAC
sys.txt

Verzeichnis von C:\
13.06.2005 16:12 211 boot.ini
10.06.2005 20:49 47.564 NTDETECT.COM
10.06.2005 20:49 251.184 ntldr
10.06.2005 18:41 0 MSDOS.SYS
10.06.2005 18:41 0 CONFIG.SYS
10.06.2005 18:41 0 IO.SYS
10.06.2005 18:41 0 AUTOEXEC.BAT
18.08.2001 13:00 4.952 bootfont.bin
16 Datei(en) 804.905.565 Bytes
0 Verzeichnis(se), 16.773.758.976 Bytes frei


systemtemp.txt hat bis August 2005 nichts

system.txt:

Datentr„ger in Laufwerk C: ist System - XP
Volumeseriennummer: F462-CDAC

Verzeichnis von C:\WINDOWS


31.08.2005 10:05 428.544 WRServices.dll
25.08.2005 13:34 115.712 1PWUn0.exe
23.08.2005 12:18 4.096 d3dx.dat
27.06.2005 12:09 131 EurekaLog.ini
13.06.2005 13:16 24 magix.ini
13.06.2005 12:20 0 CleaningLab.INI
12.06.2005 12:13 231 system.ini
12.06.2005 11:06 657 explorer.exe.manifest
12.06.2005 01:24 1.093 1PasswordPro_Uninstall.ins
11.06.2005 18:34 1.534 OutlookExpressDatensicherung_Uninstall.ins
11.06.2005 16:47 25 cdplayer.ini
11.06.2005 16:39 316.640 WMSysPr9.prx
10.06.2005 21:11 400 ODBC.INI
10.06.2005 20:21 376 mozregistry.dat
10.06.2005 20:12 59 WINPHONE.INI
10.06.2005 19:41 299.552 WMSysPrx.prx
10.06.2005 19:41 4.161 ODBCINST.INI
10.06.2005 19:39 749 WindowsShell.Manifest
10.06.2005 19:38 37 vbaddin.ini
10.06.2005 19:38 36 vb.ini
10.06.2005 18:41 0 control.ini
27.05.2005 00:22 10.752 hh.exe
22.03.2005 14:56 326.656 opuc.dll
11.02.2005 09:02 115.712 1PWUn.EXE
10.12.2004 02:05 115.712 oebackup.EXE
03.08.2004 23:58 288.768 winhlp32.exe
03.08.2004 23:58 32.866 slrundll.exe
03.08.2004 23:58 153.600 regedit.exe
03.08.2004 23:58 153.600 R.COM
03.08.2004 23:58 153.600 REGEDIT.COM
03.08.2004 23:58 70.144 notepad.exe
03.08.2004 23:57 1.035.264 explorer.exe
03.08.2004 23:57 50.688 twain_32.dll
23.04.2004 13:18 167.936 snui.exe
16.04.2003 11:21 7.168 suecmdial.dll
09.10.2002 10:52 887 mgxoschk.ini
18.08.2001 13:00 15.872 TASKMAN.EXE
18.08.2001 13:00 9.522 Zapotek.bmp
18.08.2001 13:00 94.800 twain.dll
18.08.2001 13:00 65.832 Santa Fe-Stuck.bmp
18.08.2001 13:00 49.680 twunk_16.exe
18.08.2001 13:00 25.600 twunk_32.exe
18.08.2001 13:00 1.272 Blaue Spitzen 16.bmp
18.08.2001 13:00 26.582 Granit.bmp
18.08.2001 13:00 82.944 clock.avi
18.08.2001 13:00 17.362 Rhododendron.bmp
18.08.2001 13:00 18.944 vmmreg32.dll
18.08.2001 13:00 17.336 Angler.bmp
18.08.2001 13:00 65.954 Pr„riewind.bmp
18.08.2001 13:00 2 desktop.ini
18.08.2001 13:00 80 explorer.scf
18.08.2001 13:00 1.405 msdfmap.ini
18.08.2001 13:00 16.730 Feder.bmp
18.08.2001 13:00 34.818 wmprfDEU.prx
18.08.2001 13:00 257.568 winhelp.exe
18.08.2001 13:00 26.680 F„cher.bmp
18.08.2001 13:00 48.680 winnt.bmp
18.08.2001 13:00 48.680 winnt256.bmp
18.08.2001 13:00 17.062 Kaffeetasse.bmp
18.08.2001 13:00 707 _default.pif
02.08.2000 20:47 26.112 RunUnDrv.exe
17.12.1999 10:13 86.016 unvise32.exe
11.10.1999 02:01 41.984 CTREGRUN.EXE
17.11.1998 12:44 328.704 IsUn0407.exe
19.11.1997 14:49 303.616 IsUninst.exe
95 Datei(en) 6.673.925 Bytes
0 Verzeichnis(se), 16.773.763.072 Bytes frei

system32.txt ist in der Anlage beigefügt

LG,

Eijeijei

Anhang: 32.txt
Seitenanfang Seitenende
12.03.2006, 14:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 1.ich wollte gern alle Daten sehen, von jetzt bis August (nicht nur ab August).........
2. bitte wieder den Pfad vom Virus mitposten, den Norton gefunden hat.

Einzelne Dateien scannen
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\1PWUn0.exe


**
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.03.2006, 23:37
Member

Themenstarter

Beiträge: 13
#15 1. Hier nun der andere Daten-Teil:

sys.txt:

Datentr„ger in Laufwerk C: ist System - XP
Volumeseriennummer: F462-CDAC

Verzeichnis von C:\

08.03.2006 20:13 0 sys.txt
08.03.2006 20:13 5.059 system.txt
08.03.2006 20:12 489 systemtemp.txt
08.03.2006 20:12 100.311 system32.txt
08.03.2006 20:00 429 datFind.bat
08.03.2006 13:24 804.495.360 pagefile.sys
02.11.2005 22:52 0 23990098.$$$
02.11.2005 22:52 6 AVPCallback.log



systemtemp.txt:

Datentr„ger in Laufwerk C: ist System - XP
Volumeseriennummer: F462-CDAC

Verzeichnis von C:\DOKUME~1\Schmidt\LOKALE~1\Temp

08.03.2006 20:05 512 ~DF577B.tmp
08.03.2006 20:02 861 ~WRD0000.doc
08.03.2006 20:02 512 ~DF4351.tmp
08.03.2006 20:02 512 ~DF2ED2.tmp
08.03.2006 13:25 1.474.560 ~DFCF4C.tmp
5 Datei(en) 1.476.957 Bytes
0 Verzeichnis(se), 16.773.771.264 Bytes frei



system.txt:

Datentr„ger in Laufwerk C: ist System - XP
Volumeseriennummer: F462-CDAC

Verzeichnis von C:\WINDOWS

08.03.2006 13:26 159 wiadebug.log
08.03.2006 13:26 50 wiaservc.log
08.03.2006 13:24 2.048 bootstat.dat
08.03.2006 01:47 32.458 SchedLgU.Txt
27.02.2006 21:22 783 hpinfo.lnk
25.02.2006 09:33 192 winamp.ini
31.01.2006 00:05 700.998 SIGVERIF.TXT
12.01.2006 23:19 32 weitere.INI
12.01.2006 12:50 1.601 OutlookExpressDatensicherung1_Uninstall.ins
09.01.2006 12:00 115.712 oebackup1.exe
29.12.2005 23:13 69 NeroDigital.ini
27.12.2005 17:03 0 Sti_Trace.log
23.12.2005 20:33 0 nsreg.dat
23.12.2005 20:33 107.132 UninstallFirefox.exe
23.12.2005 20:33 2.763 mozver.dat
12.12.2005 23:52 18 sys386hi.dat
12.12.2005 23:51 10 hxprot3
12.12.2005 01:28 1.847 easybest.txt
17.11.2005 20:58 1.601 OutlookExpressDatensicherung0_Uninstall.ins
08.11.2005 00:02 36 TemplateWizard.INI
06.11.2005 00:56 24 AM_D8.PRF
02.11.2005 20:36 0 Lic.xxx
18.10.2005 18:31 487 Capictrl.INI
18.10.2005 15:36 277 awprotoc.txt
18.10.2005 15:36 61 awerror.txt
30.09.2005 10:34 115.712 oebackup0.exe
24.09.2005 21:39 1.154 1PasswordPro0_Uninstall.ins
24.09.2005 13:07 10 popcinfo.dat
24.09.2005 12:45 733 win.ini
22.09.2005 12:53 4 win32t4.dll
31.08.2005 10:05 428.544 WRServices.dll
25.08.2005 13:34 115.712 1PWUn0.exe
23.08.2005 12:18 4.096 d3dx.dat


system32.txt:

Datentr„ger in Laufwerk C: ist System - XP
Volumeseriennummer: F462-CDAC

Verzeichnis von C:\WINDOWS\system32

08.03.2006 13:25 29.204 nvapps.xml
08.03.2006 13:24 177.548 OODBS.lor
08.03.2006 08:54 13.646 wpa.dbl
24.02.2006 20:10 312.376 FNTCACHE.DAT
07.02.2006 21:28 4.513.120 MRT.exe
31.01.2006 14:35 91.904 S32EVNT1.DLL
04.01.2006 04:35 68.096 webclnt.dll
29.12.2005 03:54 280.064 gdi32.dll
06.12.2005 06:02 5.533.696 wmp.dll
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
21.11.2005 20:06 25.849 keyg*hier nicht*.exe
21.11.2005 20:06 20.992 mspeupx.exe
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
04.11.2005 11:22 184.320 SatSrv.exe
30.10.2005 10:43 311.740 perfh009.dat
30.10.2005 10:43 40.128 perfc009.dat
30.10.2005 10:43 48.354 perfc007.dat
30.10.2005 10:43 316.924 perfh007.dat
30.10.2005 10:43 723.744 PerfStringBackup.INI
23.10.2005 12:37 5.618 jupdate-1.5.0_05-b05.log
21.10.2005 21:08 3.799 jupdate-1.5.0_04-b05.log
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 55.808 extmgr.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 152.064 cdfview.dll
20.10.2005 23:25 1.094.144 esent.dll
17.10.2005 22:20 118.272 t2embed.dll
17.10.2005 22:20 80.896 fontsub.dll
13.10.2005 00:11 15.584 spmsg.dll
06.10.2005 04:08 1.839.616 win32k.sys
23.09.2005 04:06 8.491.520 shell32.dll
10.09.2005 02:54 2.067.968 cdosys.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll
30.08.2005 04:55 1.292.800 quartz.dll
26.08.2005 17:14 127.078 javaws.exe
26.08.2005 17:14 49.265 jpicpl32.cpl
26.08.2005 14:55 49.250 javaw.exe
26.08.2005 14:55 49.248 java.exe
26.08.2005 13:49 102.912 islzma.dll
23.08.2005 04:39 124.416 umpnpmgr.dll
22.08.2005 19:31 197.632 netman.dll
03.08.2005 09:33 520.456 LegitCheckControl.DLL
02.08.2005 15:35 86.016 nvmctray.dll
02.08.2005 15:35 286.720 nvnt4cpl.dll
02.08.2005 15:35 5.140.480 nvoglnt.dll
02.08.2005 15:35 315.392 nvrsar.dll
02.08.2005 15:35 233.472 nvrscs.dll
02.08.2005 15:35 241.664 nvrsda.dll
02.08.2005 15:35 266.240 nvrsde.dll
02.08.2005 15:35 270.336 nvrsel.dll
02.08.2005 15:35 237.568 nvrseng.dll
02.08.2005 15:35 270.336 nvrses.dll
02.08.2005 15:35 262.144 nvrsesm.dll
02.08.2005 15:35 1.339.392 nvdspsch.exe
02.08.2005 15:35 270.336 nvrsfr.dll
02.08.2005 15:35 311.296 nvrshe.dll
02.08.2005 15:35 167.936 nvwrszht.dll
02.08.2005 15:35 245.760 nvrshu.dll
02.08.2005 15:35 270.336 nvrsit.dll
02.08.2005 15:35 253.952 nvrsja.dll
02.08.2005 15:35 249.856 nvrsko.dll
02.08.2005 15:35 262.144 nvrsnl.dll
02.08.2005 15:35 241.664 nvrsno.dll
02.08.2005 15:35 241.664 nvrspl.dll
02.08.2005 15:35 262.144 nvrspt.dll
02.08.2005 15:35 253.952 nvrsptb.dll
02.08.2005 15:35 14.757 nvdisp.nvu
02.08.2005 15:35 258.048 nvrsru.dll
02.08.2005 15:35 245.760 nvrssk.dll
02.08.2005 15:35 241.664 nvrssl.dll
02.08.2005 15:35 241.664 nvrssv.dll
02.08.2005 15:35 1.466.368 nview.dll
02.08.2005 15:35 212.992 nvrszhc.dll
02.08.2005 15:35 114.688 nvrszht.dll
02.08.2005 15:35 466.944 nvshell.dll
02.08.2005 15:35 127.043 nvsvc32.exe
02.08.2005 15:35 73.728 nvtuicpl.cpl
02.08.2005 15:35 176.128 nvudisp.exe
02.08.2005 15:35 81.920 nvwddi.dll
02.08.2005 15:35 1.662.976 nvwdmcpl.dll
02.08.2005 15:35 7.110.656 nvcpl.dll
02.08.2005 15:35 1.019.904 nvwimg.dll
02.08.2005 15:35 147.456 nvcolor.exe
02.08.2005 15:35 282.624 nvwrsar.dll
02.08.2005 15:35 32.768 nvcodins.dll
02.08.2005 15:35 286.720 nvwrscs.dll
02.08.2005 15:35 294.912 nvwrsda.dll
02.08.2005 15:35 32.768 nvcod.dll
02.08.2005 15:35 1.519.616 nwiz.exe
02.08.2005 15:35 311.296 nvwrsde.dll
02.08.2005 15:35 335.872 nvwrsel.dll
02.08.2005 15:35 442.368 nvappbar.exe
02.08.2005 15:35 286.720 nvwrseng.dll
02.08.2005 15:35 335.872 nvwrses.dll
02.08.2005 15:35 327.680 nvwrsesm.dll
02.08.2005 15:35 303.104 nvwrsfi.dll
02.08.2005 15:35 327.680 nvwrsfr.dll
02.08.2005 15:35 163.840 nvwrszhc.dll
02.08.2005 15:35 278.528 nvwrshe.dll
02.08.2005 15:35 3.908.864 nv4_disp.dll
02.08.2005 15:35 315.392 nvwrshu.dll
02.08.2005 15:35 245.760 nvrstr.dll
02.08.2005 15:35 323.584 nvwrsit.dll
02.08.2005 15:35 212.992 nvwrsja.dll
02.08.2005 15:35 540.672 nvhwvid.dll
02.08.2005 15:35 196.608 nvwrsko.dll
02.08.2005 15:35 319.488 nvwrsnl.dll
02.08.2005 15:35 299.008 nvwrsno.dll
02.08.2005 15:35 294.912 nvwrspl.dll
02.08.2005 15:35 323.584 nvwrspt.dll
02.08.2005 15:35 319.488 nvwrsptb.dll
02.08.2005 15:35 393.216 keystone.exe
02.08.2005 15:35 315.392 nvwrsru.dll
02.08.2005 15:35 299.008 nvwrssk.dll
02.08.2005 15:35 303.104 nvwrssl.dll
02.08.2005 15:35 294.912 nvwrssv.dll
02.08.2005 15:35 237.568 nvrsfi.dll
02.08.2005 15:35 303.104 nvwrstr.dll


2. Der Pfad von NAV ist wie gehabt: C/Windows/system32/Drivers/mchlnjDrV.sys. Und wie gehabt ist diese Datei nicht auffindbar im Windows Explorer und in der Registry. Ich habe überhaupt kein mchlnjDrv auf dem System, wenn ich der Suchfunktion Glauben schenken darf.


Der Virustotal-Online-Scan ergab Folgendes:


This is a report processed by VirusTotal on 03/12/2006 at 22:45:44 (CET) after scanning the file "1PWUn.EXE" file.
Antivirus Version Update Result
AntiVir 6.34.0.53 03.11.2006 no virus found
Avast 4.6.695.0 03.10.2006 no virus found
AVG 718 03.10.2006 no virus found
Avira 6.34.0.53 03.11.2006 no virus found
BitDefender 7.2 03.12.2006 no virus found
CAT-QuickHeal 8.00 03.10.2006 no virus found
ClamAV devel-20060126 03.11.2006 no virus found
DrWeb 4.33 03.12.2006 no virus found
eTrust-InoculateIT 23.71.100 03.12.2006 no virus found
eTrust-Vet 12.4.2115 03.10.2006 no virus found
Ewido 3.5 03.12.2006 no virus found
Fortinet 2.71.0.0 03.12.2006 suspicious
F-Prot 3.16c 03.11.2006 no virus found
Ikarus 0.2.59.0 03.10.2006 no virus found
Kaspersky 4.0.2.24 03.12.2006 no virus found
McAfee 4716 03.11.2006 no virus found
NOD32v2 1.1440 03.12.2006 no virus found
Norman 5.70.10 03.10.2006 no virus found
Panda 9.0.0.4 03.12.2006 no virus found
Sophos 4.03.0 03.12.2006 no virus found
Symantec 8.0 03.12.2006 no virus found
TheHacker 5.9.5.111 03.09.2006 no virus found
UNA 1.83 03.10.2006 no virus found
VBA32 3.10.5 03.12.2006 no virus found


Liebe Grüße,

Eijeijei
Seitenanfang Seitenende