Home » Viren, Trojaner & Malware Forum » Trojan.PWS.Banker.3097 in sd4hide.exe gefunden » Themenansicht
Trojan.PWS.Banker.3097 in sd4hide.exe gefunden |
||
|---|---|---|
| #0
| ||
|
17.01.2007, 09:30
...neu hier
Beiträge: 10 |
||
 
|
|
|
|
17.01.2007, 10:05
Ehrenmitglied
 Beiträge: 29434 |
#2
puetsch
Zitat programm runtergeladen, das spamprogramme und trojaner erkenntwelches Programm hast du geladen ? '' poste hier das log von combofix http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
17.01.2007, 10:09
...neu hier
Themenstarter Beiträge: 10 |
#3
spyware doctor hatte ich genommen
|
|
|
|
|
|
|
17.01.2007, 10:10
Ehrenmitglied
Beiträge: 29434 |
#4
poste hier das log von combofix
http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
17.01.2007, 10:21
...neu hier
Themenstarter Beiträge: 10 |
#5
"Tobi" - 07-01-17 10:11:36 Service Pack 2
ComboFix 07-01-16.2 - Running from: "C:\Dokumente und Einstellungen\Tobi\Desktop\wichtige programme" ((((((((((((((((((((((((((((((((((((((((((((( Look2Me's Log )))))))))))))))))))))))))))))))))))))))))))))))))) Granting SeDebugPrivilege to Administratoren ... successful ((((((((((((((((((((((((((((((( Files Created from 2006-12-17 to 2007-01-17 )))))))))))))))))))))))))))))))))) 2007-01-17 10:14 <DIR> d-------- C:\WINDOWS\erdnt 2007-01-17 09:55 51,072 --a------ C:\WINDOWS\system32\drivers\ikhlayer.sys 2007-01-17 09:55 30,592 --a------ C:\WINDOWS\system32\drivers\ikhfile.sys 2007-01-17 09:55 <DIR> d-------- C:\Programme\Spyware Doctor 2007-01-17 09:55 <DIR> d-------- C:\DOKUME~1\Tobi\Anwendungsdaten\PC Tools 2007-01-12 10:05 8,464 --a------ C:\WINDOWS\system32\sporder.dll 2007-01-12 10:05 50,688 --a-s---- C:\WINDOWS\NDNuninstall6_38.exe 2007-01-12 10:05 <DIR> d-------- C:\Programme\themexp 2007-01-08 19:34 <DIR> d-a------ C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\TEMP 2006-12-28 17:22 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll 2006-12-17 22:42 <DIR> d-------- C:\DOKUME~1\Tobi\Anwendungsdaten\dvdcss (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-01-17 09:55 -------- d-------- C:\Dokumente und Einstellungen\Tobi\Anwendungsdaten\pc tools 2007-01-16 22:26 11288 --a------ C:\Dokumente und Einstellungen\Tobi\Anwendungsdaten\wklnhst.dat 2007-01-15 21:30 -------- d-------- C:\Dokumente und Einstellungen\Tobi\Anwendungsdaten\adobeum 2007-01-13 17:47 -------- d-------- C:\Programme\gk1neu 2007-01-11 10:52 -------- d-------- C:\Programme\winamp 2007-01-08 15:11 -------- d-------- C:\Programme\antivir personaledition classic 2006-12-28 17:42 -------- d--h----- C:\Programme\installshield installation information 2006-12-23 14:04 163644 --a------ C:\WINDOWS\system32\drivers\secdrv.sys 2006-12-21 14:27 -------- d-------- C:\Programme\bitcomet 2006-12-21 14:18 -------- d-------- C:\Programme\irfanview 2006-12-21 13:34 -------- d-------- C:\Programme\detjeenphysiologie 2006-12-19 19:27 -------- d-------- C:\Dokumente und Einstellungen\Tobi\Anwendungsdaten\temp 2006-12-17 22:42 -------- d-------- C:\Dokumente und Einstellungen\Tobi\Anwendungsdaten\dvdcss 2006-12-06 00:27 -------- d-------- C:\Programme\shutdown4u 2006-12-05 16:40 359040 --a------ C:\WINDOWS\system32\drivers\TCPIP.SYS 2006-12-05 16:40 -------- d-------- C:\Dokumente und Einstellungen\Tobi\Anwendungsdaten\pplive 2006-12-05 16:39 -------- d-------- C:\Programme\Gemeinsame Dateien\synacast 2006-11-17 18:01 98304 --a------ C:\WINDOWS\system32\cmdlineext.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" "Eraser"="D:\\Tobias\\Eraser\\eraser\\eraser.exe -hide" "Hide IP Platinum"="C:\\Programme\\Hide IP Platinum\\hideippla.exe" "updateMgr"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe\" AcRdB7_0_8 -reboot 1" "Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "AGRSMMSG"="AGRSMMSG.exe" "SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe" "SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe" "ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "PCMService"="\"C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe\"" "DAEMON Tools-1033"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033" "MSPY2002"="C:\\WINDOWS\\system32\\IME\\PINTLGNT\\ImScInst.exe /SYNC" "PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC" "PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName" "BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" "DataLayer"="C:\\PROGRA~1\\GEMEIN~1\\PCSuite\\DATALA~1\\DATALA~1.EXE" "TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "Lexmark X6100 Series"="\"C:\\Programme\\Lexmark X6100 Series\\lxbfbmgr.exe\"" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "SoundMan"="SOUNDMAN.EXE" "RemoteControl"="\"C:\\Programme\\Home Cinema\\PowerDVD\\PDVDServ.exe\"" "HostManager"="C:\\Programme\\Gemeinsame Dateien\\AOL\\1162466991\\ee\\AOLSoftware.exe" "IPHSend"="C:\\Programme\\Gemeinsame Dateien\\AOL\\IPHSend\\IPHSend.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}" [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoFavoritesMenu"=dword:00000001 "NoSMHelp"=dword:00000001 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\DisallowCpl] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\DisallowRun] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 bthsvcs REG_MULTI_SZ BthServ\0\0 *newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_MCHINJDRV Completion time: 07-01-17 10:16:56 |
|
|
|
|
|
|
17.01.2007, 10:27
Ehrenmitglied
Beiträge: 29434 |
#6
hm...das sieht nicht gut aus ....
1. poste das log vom HijackThis http://virus-protect.org/hjtkurz.html 2. schreibe, welche dll du rechts oder liks findest LSPfix http://www.spychecker.com/program/lspfix.html 3. Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
17.01.2007, 10:36
...neu hier
Themenstarter Beiträge: 10 |
#7
geb ich damit denn nicht vertrauliche oder private daten preis???
Logfile of HijackThis v1.99.1 Scan saved at 10:39:31, on 17.01.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Spyware Doctor\sdhelp.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\UAService7.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\D-Tools\daemon.exe C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\Lexmark X6100 Series\lxbfbmon.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe C:\Programme\Gemeinsame Dateien\AOL\1162466991\ee\AOLSoftware.exe C:\Programme\Messenger\msmsgs.exe D:\Tobias\Eraser\eraser\eraser.exe C:\Programme\Spyware Doctor\swdoctor.exe C:\Programme\Cisco Systems\VPN Client\vpngui.exe C:\Programme\internet explorer\iexplore.exe C:\Dokumente und Einstellungen\Tobi\Desktop\wichtige programme\hijackthis\HijackThis.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1162466991\ee\AOLSoftware.exe O4 - HKLM\..\Run: [IPHSend] C:\Programme\Gemeinsame Dateien\AOL\IPHSend\IPHSend.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Eraser] D:\Tobias\Eraser\eraser\eraser.exe -hide O4 - HKCU\..\Run: [Hide IP Platinum] C:\Programme\Hide IP Platinum\hideippla.exe O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1 O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {7288F092-0E1C-48D7-852C-D5718D4EC435} - http://www.medionshop.de/ (file missing) (HKCU) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099254598359 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe links: mswsock.dll rechts: nichts winrnr.dll wshbth.dll rsvpsp.dll Verzeichnis von C:\WINDOWS\system32 17.01.2007 10:16 16.429 ikhcore.log 12.01.2007 10:05 8.464 sporder.dll 07.01.2007 21:40 1.158 wpa.dbl 03.01.2007 09:21 644 perfh009.dat 03.01.2007 09:21 389.670 perfh007.dat 03.01.2007 09:21 53.438 perfc009.dat 03.01.2007 09:21 514.692 PerfStringBackup.INI 03.01.2007 09:21 64.378 perfc007.dat 28.12.2006 17:22 43.520 CmdLineExt03.dll 05.12.2006 16:42 57 peer.ini 17.11.2006 18:01 98.304 CmdLineExt.dll Verzeichnis von C:\DOKUME~1\Tobi\LOKALE~1\Temp 17.01.2007 09:54 696.288 _iu14D2N.tmp 1 Datei(en) 696.288 Bytes 0 Verzeichnis(se), 7.399.198.720 Bytes frei Verzeichnis von C:\WINDOWS 17.01.2007 10:16 0 0.log 17.01.2007 10:16 159 wiadebug.log 17.01.2007 10:16 4.242 ModemLog_Agere Systems AC'97 Modem.txt 17.01.2007 10:16 50 wiaservc.log 17.01.2007 10:16 2.048 bootstat.dat 17.01.2007 09:58 32.638 SchedLgU.Txt 17.01.2007 09:58 418.165 WindowsUpdate.log 16.01.2007 22:13 116 NeroDigital.ini 16.01.2007 21:16 155 winamp.ini 12.01.2007 20:17 484.189 setupapi.log 12.01.2007 10:05 50.688 NDNuninstall6_38.exe 09.12.2006 18:03 50.155 DirectX.log 07.12.2006 10:36 65.644 setupact.log 22.11.2006 20:16 732 win.ini 01.11.2006 22:22 1.158 IE4 Error Log.txt Verzeichnis von C:\WINDOWS\Downloaded Program Files 22.09.2006 10:26 65 desktop.ini 17.01.2007 11:01 0 sys.txt 17.01.2007 11:01 475 down.txt 17.01.2007 11:00 108 temp.txt 17.01.2007 11:00 108 tmp.txt 17.01.2007 11:00 6.816 windows.txt 17.01.2007 11:00 6.816 system.txt 17.01.2007 10:59 283 systemtemp.txt 17.01.2007 10:59 109.495 system32.txt 17.01.2007 10:58 475 c.txt 17.01.2007 10:16 6.810 ComboFix.txt 17.01.2007 10:16 804.835.328 hiberfil.sys 17.01.2007 10:16 1.207.959.552 pagefile.sys Dieser Beitrag wurde am 17.01.2007 um 11:06 Uhr von puetsch editiert.
|
|
|
|
|
|
|
17.01.2007, 11:02
Ehrenmitglied
Beiträge: 29434 |
#8
nun, ich kann die logs dann auch wieder loeschen
 aber vertrauliches ? Software ? Viren ? «« Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html «« ServiceFilter.zip http://virus-protect.org/artikel/tools/ServiceFilter.zip - entzippen - doppelklick auf die datei ServiceFilter.vbs - versions-nummer bestätigen - scannen - öffnen von wordpad oder editor erlauben - POST_THIS.TXT abkopieren __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
17.01.2007, 11:08
...neu hier
Themenstarter Beiträge: 10 |
#9
ja löschen wär nett. danke jetzt schon ma für die hilfe. geht gleich weiter
so... The script did not recognize the services listed below. This does not mean that they are a problem. To copy the entire contents of this document for posting: At the top of this window click "Edit" then "Select All" Next click "Edit" again then "Copy" Now right click in the forum post box then click "Paste" ######################################## ServiceFilter 1.1 by rand1038 Microsoft Windows XP Home Edition Version: 5.1.2600 Service Pack 2 Jan 17, 2007 11:07:54 ---> Begin Service Listing <--- Unknown Service # 1 Service Name: AntiVirScheduler Display Name: AntiVir PersonalEdition Classic Planer Start Mode: Auto Start Name: LocalSystem Description: Dienst zur Steuerung von AntiVir Prüfaufträgen und ... Service Type: Own Process Path: c:\programme\antivir personaledition classic\sched.exe State: Running Process ID: 836 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 2 Service Name: AntiVirService Display Name: AntiVir PersonalEdition Classic Guard Start Mode: Auto Start Name: LocalSystem Description: Bietet permanente Schutz vor Viren und Malware mit der AntiVir ... Service Type: Own Process Path: c:\programme\antivir personaledition classic\avguard.exe State: Running Process ID: 1052 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #3 Service Name: AOL ACS Display Name: AOL Connectivity Service Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\progra~1\gemein~1\aol\acs\aolacsd.exe State: Running Process ID: 1312 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 4 Service Name: BthServ Display Name: Bluetooth Support Service Start Mode: Auto Start Name: NT AUTHORITY\LocalService Description: ... Service Type: Share Process Path: c:\windows\system32\svchost.exe -k bthsvcs State: Running Process ID: 1384 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #5 Service Name: CA_LIC_CLNT Display Name: CA-Lizenz-Client Start Mode: Manual Start Name: LocalSystem Description: CA-Lizenz-Client... Service Type: Own Process Path: c:\programme\ca\sharedcomponents\ca_lic\lic98rmt.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service #6 Service Name: CA_LIC_SRVR Display Name: CA-Lizenzserver Start Mode: Manual Start Name: LocalSystem Description: CA-Lizenzserver... Service Type: Own Process Path: c:\programme\ca\sharedcomponents\ca_lic\lic98rmtd.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service #7 Service Name: CVPND Display Name: Cisco Systems, Inc. VPN Service Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: "c:\programme\cisco systems\vpn client\cvpnd.exe" State: Running Process ID: 1412 Started: Wahr Exit Code: 0 Accept Pause: Wahr Accept Stop: Wahr Unknown Service # 8 Service Name: IDriverT Display Name: InstallDriver Table Manager Start Mode: Manual Start Name: LocalSystem Description: Provides support for the Running Object Table for InstallShield ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\installshield\driver\11\intel 32\idrivert.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service #9 Service Name: LogWatch Display Name: Ereignisprotokoll-Überwachung Start Mode: Auto Start Name: LocalSystem Description: Ereignisprotokoll-Überwachung... Service Type: Own Process Path: c:\programme\ca\sharedcomponents\ca_lic\logwatnt.exe State: Running Process ID: 1464 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #10 Service Name: SwPrv Display Name: MS Software Shadow Copy Provider Start Mode: Manual Start Name: LocalSystem Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ... Service Type: Own Process Path: c:\windows\system32\dllhost.exe /processid:{af472a80-f996-4969-8640-d5067b34b6b7} State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 11 Service Name: UserAccess7 Display Name: SecuROM User Access Service (V7) Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\windows\system32\uaservice7.exe State: Running Process ID: 1756 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 12 Service Name: WmcCds Display Name: Windows Media Connect (WMC) Start Mode: Manual Start Name: NT AUTHORITY\NetworkService Description: Stellt freigegebene Multimediainhalte für universelle Plug & Play-Geräte zur ... Service Type: Own Process Path: c:\programme\windows media connect\mswmccds.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service #13 Service Name: WmcCdsLs Display Name: Windows Media Connect-Hilfsprogramm Start Mode: Manual Start Name: LocalSystem Description: Überwacht das Netzwerk auf neue ... Service Type: Own Process Path: c:\programme\windows media connect\mswmcls.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch ---> End Service Listing <--- There are 87 Win32 services on this machine. 13 were unrecognized. Script Execution Time: 3,175781 seconds. |
|
|
|
|
|
|
17.01.2007, 11:50
Ehrenmitglied
Beiträge: 29434 |
#10
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) MCHINJDRV in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
17.01.2007, 11:54
...neu hier
Themenstarter Beiträge: 10 |
#11
Windows Registry Editor Version 5.00
; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.2.0 ; Results at 1/17/2007 11:52:03 AM for strings: ; 'mchinjdrv' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MCHINJDRV] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MCHINJDRV\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MCHINJDRV\0000] "Service"="mchInjDrv" "DeviceDesc"="mchInjDrv" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MCHINJDRV\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MCHINJDRV\0000\Control] "ActiveService"="mchInjDrv" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mchInjDrv] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mchInjDrv\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mchInjDrv\Enum] "0"="Root\\LEGACY_MCHINJDRV\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MCHINJDRV] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MCHINJDRV\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MCHINJDRV\0000] "Service"="mchInjDrv" "DeviceDesc"="mchInjDrv" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\mchInjDrv] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MCHINJDRV] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MCHINJDRV\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MCHINJDRV\0000] "Service"="mchInjDrv" "DeviceDesc"="mchInjDrv" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MCHINJDRV\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MCHINJDRV\0000\Control] "ActiveService"="mchInjDrv" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv\Enum] "0"="Root\\LEGACY_MCHINJDRV\\0000" ; End Of The Log... |
|
|
|
|
|
|
17.01.2007, 12:03
Ehrenmitglied
Beiträge: 29434 |
#12
????????????????????????????????????????????????????????????????
Troj/LanFilt-J ist ein Trojaner für die Windows-Plattform. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
17.01.2007, 12:06
...neu hier
Themenstarter Beiträge: 10 |
#13
system neu aufsetzen heißt komplette formatierung?? ist reinigung sicher genug? wie reinige ich?
ist dieser trojaner weit verbreitet? |
|
|
|
|
|
|
17.01.2007, 12:25
Ehrenmitglied
Beiträge: 29434 |
#14
es kann auch harmlos sein . ich habe mal gegoogelt
ich loesche diese logs dann wieder Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
17.01.2007, 12:40
Ehrenmitglied
Beiträge: 29434 |
#15
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\Drivers\mchInjDrv.sys poste den report __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
habe dann die datei mit antivir untersucht und der hat nix gefunden.
hab dann die datei zu virustotal.com geschickt und folgenden befund erhalten:
STATUS: FINISHEDComplete scanning result of "sd4hide.exe", received in VirusTotal at 01.17.2007, 09:17:10 (CET).
Antivirus Version Update Result
AntiVir 7.3.0.21 01.17.2007 no virus found
Authentium 4.93.8 01.16.2007 no virus found
Avast 4.7.936.0 01.16.2007 no virus found
AVG 386 01.16.2007 no virus found
BitDefender 7.2 01.17.2007 no virus found
CAT-QuickHeal 9.00 01.16.2007 no virus found
ClamAV devel-20060426 01.16.2007 no virus found
DrWeb 4.33 01.17.2007 no virus found
eSafe 7.0.14.0 01.16.2007 suspicious Trojan/Worm
eTrust-InoculateIT 23.73.115 01.17.2007 no virus found
eTrust-Vet 30.3.3332 01.17.2007 no virus found
Ewido 4.0 01.16.2007 no virus found
Fortinet 2.82.0.0 01.17.2007 no virus found
F-Prot 3.16f 01.16.2007 no virus found
F-Prot4 4.2.1.29 01.16.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 Trojan.PWS.Banker.3097
Kaspersky 4.0.2.24 01.17.2007 no virus found
McAfee 4940 01.16.2007 no virus found
Microsoft 1.1904 01.17.2007 no virus found
NOD32v2 1983 01.17.2007 no virus found
Norman 5.80.02 01.16.2007 no virus found
Panda 9.0.0.4 01.16.2007 no virus found
Prevx1 V2 01.17.2007 no virus found
Sophos 4.13.0 01.16.2007 no virus found
Sunbelt 2.2.907.0 01.12.2007 no virus found
TheHacker 6.0.3.148 01.14.2007 no virus found
UNA 1.83 01.16.2007 no virus found
VBA32 3.11.2 01.16.2007 Trojan.PWS.Banker.3097
VirusBuster 4.3.19:9 01.16.2007 no virus found
Aditional Information
File size: 168448 bytes
MD5: eb5f48ec57d2ba4c8b05c6665ca1bd8b
SHA1: 75bef552ef4df2c3868652600725250e2e861fbb
packers: UPX
packers: UPX
packers: UPX
kann mir jemand sagen was dieser virus macht und bzw. ob das überhaupt einer ist?
vielen dank im Voraus