Home » Viren, Trojaner & Malware Forum » IRDVXC.EXE und URDVXC.EXE versuchen Verbindung über Port 445 ins Internet » Themenansicht

IRDVXC.EXE und URDVXC.EXE versuchen Verbindung über Port 445 ins Internet

Thema ist geschlossen!
Thema ist geschlossen!
#0
28.01.2007, 15:25
BURMA
...neu hier

Beiträge: 9
#1 Hallo,

ich habe die Dateien „IRDVXC.exe“ und „URDVXC.exe“ auf meinem Rechner im System-Root. Beide haben versucht eine Verbindung ins Internet über Port 445 aufzubauen. Ich kenne beide Dateien nicht und vermute es handelt sich um einen Wurm/ Trojaner oder ähnliches, wie auch schon in anderen Beiträgen auf dieser Seite beschrieben.
Ich habe versucht die notwendigen Logs zu erstellen. Leider gibt es bei uns kein DSL und ich komme nicht so schnell an Updates etc.
Es fehlt unter anderem Windows SP2, werde ich morgen organisieren!

HijackThis:
Logfile of HijackThis v1.99.1
Scan saved at 13:12:15, on 28.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\irdvxc.exe
C:\WINDOWS\System32\urdvxc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Belkin\Bluetooth Software\BTTray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\WINDOWS\TWAIN_32\CIS600X\WATCH.exe
C:\Programme\YCIII\YankClip.exe
C:\PROGRA~1\Belkin\BLUETO~1\BTSTAC~1.EXE
C:\Programme\totalcmd\TOTALCMD.EXE
C:\Programme\Adobe\Acrobat 6.0\Acrobat\Acrobat.exe
C:\PROGRA~1\CleanUp!\cleanup.exe
C:\DOKUME~1\Markus\LOKALE~1\Temp\_tc\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/de/deu/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ScheduleSync.Siemens.SmartSync.5.2.exe] C:\Programme\Mobile Phone Manager\SmartSync\ScheduleSync.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: Watch.lnk = C:\WINDOWS\TWAIN_32\CIS600X\WATCH.exe
O4 - Startup: Yankee Clipper III.lnk = C:\Programme\YCIII\YankClip.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: McShield - Network Associates, Inc. - C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe" /service (file missing)
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe

CleanUp452 ausgeführt und neu gestartet

ComboFix:
Scanning for infected files . . .
Shouldn't take more than 10 minutes


"C:"

datFind.bat Logs habe ich erstellt und hängen an:

system32.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 00E3-4D94

Verzeichnis von C:\WINDOWS

07-01-28 13:41 2,137 wincmd.ini
07-01-28 13:26 54,156 QTFont.qfn
07-01-28 13:26 0 0.LOG
07-01-28 13:26 3,496 ModemLog_MicroLink 56k basic PnP.txt
07-01-28 13:25 2,048 BOOTSTAT.DAT
07-01-28 13:25 32,224 SchedLgU.Txt
07-01-11 11:23 3,861 ULEAD32.INI
07-01-08 20:44 30 IEDIT.INI
06-12-30 18:30 69 NeroDigital.ini
06-12-30 16:13 1,409 QTFont.for
06-12-27 19:07 7,615 mozver.dat
06-12-22 15:31 2,534,721 SETUPAPI.LOG
06-12-22 15:22 11,736 Windows Update.log
06-12-22 15:22 213,736 SETUPACT.LOG
06-12-22 15:15 1,237,864 DPINST.LOG
06-12-20 14:06 448 datafax.ini


systemtemp.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 00E3-4D94

Verzeichnis von C:\DOKUME~1\Markus\LOKALE~1\Temp

07-01-28 13:40 22,912 ~WRS0001.tmp
07-01-28 13:40 512 ~DF6D17.tmp
07-01-28 13:40 0 Acr16.tmp
07-01-28 13:40 3,631 Acr15.tmp
07-01-28 13:40 3,363 Acr14.tmp
07-01-28 13:39 240 WcesView.log
07-01-28 13:38 512 ~DFB2B2.tmp
07-01-28 13:38 147,456 ~WRF0000.tmp
07-01-28 13:38 512 ~DFA018.tmp
07-01-28 13:38 512 ~DF9992.tmp
07-01-28 13:36 66,203 bt4282.bat
07-01-28 13:31 173 jusched.log
07-01-28 13:26 224 WCESCOMM.LOG
13 Datei(en) 246,250 Bytes
0 Verzeichnis(se), 65,908,588,544 Bytes frei

windows.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 00E3-4D94

Verzeichnis von C:\WINDOWS

07-01-28 13:41 2,137 wincmd.ini
07-01-28 13:26 54,156 QTFont.qfn
07-01-28 13:26 0 0.LOG
07-01-28 13:26 3,496 ModemLog_MicroLink 56k basic PnP.txt
07-01-28 13:25 2,048 BOOTSTAT.DAT
07-01-28 13:25 32,224 SchedLgU.Txt
07-01-11 11:23 3,861 ULEAD32.INI
07-01-08 20:44 30 IEDIT.INI
06-12-30 18:30 69 NeroDigital.ini
06-12-30 16:13 1,409 QTFont.for
06-12-27 19:07 7,615 mozver.dat
06-12-22 15:31 2,534,721 SETUPAPI.LOG
06-12-22 15:22 11,736 Windows Update.log
06-12-22 15:22 213,736 SETUPACT.LOG
06-12-22 15:15 1,237,864 DPINST.LOG
06-12-20 14:06 448 datafax.ini

temp.txt :
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 00E3-4D94

Verzeichnis von C:\WINDOWS\Temp

07-01-28 13:26 0 T30DebugLogFile.txt
1 Datei(en) 0 Bytes
0 Verzeichnis(se), 65,908,555,776 Bytes frei

down.txt :

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 00E3-4D94

Verzeichnis von C:\WINDOWS\Downloaded Program Files

03-12-08 13:58 3,759 swflash.inf
03-08-25 17:12 1,096 iuctl.inf
02-09-11 12:20 65 DESKTOP.INI
00-01-20 14:25 1,162 Microsoft XML Parser for Java.osd
97-10-14 19:52 697 DirectAnimation Java Classes.osd
5 Datei(en) 6,779 Bytes
0 Verzeichnis(se), 65,908,547,584 Bytes frei

c.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 00E3-4D94

Verzeichnis von C:\

07-01-28 13:44 0 sys.txt
07-01-28 13:44 523 down.txt
07-01-28 13:43 282 tmp.txt
07-01-28 13:43 7,757 system.txt
07-01-28 13:42 852 systemtemp.txt
07-01-28 13:42 97,186 system32.txt
07-01-28 13:25 1,072,746,496 hiberfil.sys
07-01-28 13:25 268,435,456 pagefile.sys
06-12-16 15:59 17,876 SDSSetup.log

Zugriffe ins Internet sind noch langsamer geworden, als Sie eh schon waren.
Die Firewall hat einen Prozess "IRDVXC.exe" und URDVXC.exe" abgefangen. Daraufhin haben diese Processe sich stark vermehrt und scheinen die Verbindung völlig lahm zu legen.

Habe ich ein Problem??
Vielen Dank Gruss Markus

Anhang: system.txt
Seitenanfang Seitenende
28.01.2007, 15:38
raman
Moderator

Beiträge: 7805
#2 Die Liste Vom System32 Ordner fehlt noch. Aber soviel dazu, du hast dir, wohl aufgrund deines unausreichen aktuellisierten Windows, 2 (R/SD)Bot Trojaner eingefangen:
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe" /service (file missing)

Einmal diese Beiden Dateien im abgesicherten Modus umbenennen und nach dem Neustart hier pruefen:
http://www.virustotal.com/en/indexf.html
Teile uns das Ergebniss mit (Die System32 Liste nicht vergessen!)

Achso combofix report fehlt auch.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
28.01.2007, 16:00
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 BURMA

zusaetzlich: ;)

SDFix.zip entpacken
http://virus-protect.org/artikel/tools/sdfix.html
es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"


unter C:\ findet man nun den SDFix-Ordner


boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken
schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.01.2007, 17:57
BURMA
...neu hier

Themenstarter

Beiträge: 9
#4 Hi,
ihr seid ja superschnell!!! Bei mir dauert es leider alles ein bischen
Vielen Dank, viele Grüsse
Markus

Here are my results:

system32.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 00E3-4D94

Verzeichnis von C:\WINDOWS\SYSTEM32

07-01-28 13:00 1,170 WPA.DBL
07-01-21 12:24 57,856 .exe
07-01-21 12:24 57,856 urdvxc.exe
06-12-30 16:13 9,132 jupdate-1.5.0_10-b03.log
06-12-24 13:44 57,344 irdvxc.exe
06-12-16 15:57 1,891 mapisvc.inf
06-11-09 15:07 127,078 javaws.exe
06-11-09 15:07 49,265 jpicpl32.cpl
06-11-09 13:28 53,346 javaw.exe
06-11-09 13:28 49,248 java.exe
06-10-30 10:16 312,946 PERFH009.DAT
06-10-30 10:16 49,028 PERFC007.DAT
06-10-30 10:16 318,106 PERFH007.DAT
06-10-30 10:16 40,664 PERFC009.DAT
06-10-30 10:16 728,266 PerfStringBackup.INI

virustotal:
irdvxc.exe:
habe ich in word kopiert und angehängt!

ausserdem SDFix.exe:

SDFix: Version 1.63

07-01-28 - 17:35:11.87

Microsoft Windows XP [Version 5.1.2600]

Running From: c:\SDFix

Safe Mode:
Checking Services:

Name:
MSDisk
MSWindows

Path:
"C:\WINDOWS\System32\irdvxc.exe" /service
"C:\WINDOWS\System32\urdvxc.exe" /service

MSDisk Deleted
MSWindows Deleted

Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\WINDOWS\system32\.exe - Deleted
C:\WINDOWS\system32\NeroCheck.exe - Deleted



ADS Check:

C:\WINDOWS\system32
No streams found.

Final Check:

Remaining Services:
------------------



Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip


Checking For Files with Hidden Attributes :

C:\NTDETECT.COM
C:\I386\cdplayer.exe.manifest
C:\I386\logonui.exe.manifest
C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP81\A0023282.exe
C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP84\A0024531.exe
C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP84\A0027952.exe
C:\WINDOWS\SYSTEM32\aus.irdvxc.exe.aus
C:\WINDOWS\SYSTEM32\aus.urdvxc.exe.aus
C:\WINDOWS\SYSTEM32\cdplayer.exe.manifest
C:\WINDOWS\SYSTEM32\logonui.exe.manifest
C:\hiberfil.sys
C:\IO.SYS
C:\MSDOS.SYS
C:\pagefile.sys
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\042ea51e8000c15e84ac96b921942046\BIT2A.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\09a5679abc8f910f48af2100a235af8d\BIT11.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\0bbefc09b675eaee969594c8bc669a65\BIT19.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\0c94fd89d38102d9e8e51f9d88ebf16f\BIT38.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\111fd3fff53534bd9355c0b80db86b04\BIT2C.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\129d68daec4d3744ceec88eca921c153\BIT2B.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\154b02391f88757a47f040f2eac58eea\BITF.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\1891e8063acade1aba4f4d8fc87be840\BIT30.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\1e9d7ef839ea56fc926b8136417fb220\BIT25.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\1f8edb55671ec67954c79fca71ff46fd\BIT20.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\2032083a86bd5e15c8fed29ae3a23d8b\BIT18.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\30ac7977301698b77e89bcda2db37f3f\BIT12.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\30dfb73b62f250adf31f035f47923ef7\BIT3E.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\4f65ab29d4753301a657a85cd492932f\BIT3D.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\4face228bf41078efe95d781d047641a\BIT1C.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\51340418d2713cf3f932ff8310ba848f\BIT31.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\58b4c6530cb3a012eae8501110eadf86\BIT28.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\65098110faf2de9c0f49832920c97785\BIT1B.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\690a7ddb6b25b63569eeda50a2e756a3\BIT16.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\6cede0e92dfe7bab8b8366a42dc22251\BIT15.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\6d29b49edffe60d6e44adae147defc84\BIT35.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\77f900f7dd940fe0f1e4d6b82b009bcb\BIT27.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\78fb0afae71c3fac4060f44f34c7d09a\BIT36.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\7d17e5441707467cb374665b81c0bed1\BIT39.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\83b5fa8cc50b16e394bc92cf0793f424\BIT26.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\8f71dec9bd3c0b7751be97ba0dc20af2\BIT1A.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\964bc21a7c64a53168a44dd4ffbb9091\BIT13.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\a05b6c60b58482a9e909fe4bf10b7125\BIT23.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\a0ef27e54a9d7ef0bc987a72e998eb62\BIT3A.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\ab60156a37b145b6edfc5744fe1a125d\BIT1F.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\b04d89edd0b5ae6bf6465f6c6e94f47f\BIT3C.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\b1827aa788a1db4f94fb093745cc3a9a\BIT33.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\b1d5753fb1c5f0615ed2d88e252d2b22\BIT1D.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\b258182f718cafd6d76ff787a561afaf\BIT17.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\b56de48868c9b8f9cec884d89b3a1582\BIT3B.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\bc2e9a7597099ea5db29ba3536794f11\BIT22.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\c00317b8c8e0df6a3ec11dd1001fcab0\BIT14.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\c8d77191881b5beb5997be74178bbbfe\BIT10.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\ca1c9a5f6bfb5c940f7b592a816e164e\BIT58.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\cf22e266c83428e723f5d0cedb2892a4\download\BIT44.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\d14c4d9cc2263902c7f193a5c0def7ed\BIT2F.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\db6f0786b0bf0a65606d1e5fa5063631\BIT2E.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\de35c93a71359e6ce67d5b145064eee9\BIT34.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\e12acf97edc82604899eb9111cfb89f8\BIT1E.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\eee0e33a72107845ea7e2f0c1d4f0e88\BIT32.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\fa082dfd489ace5a1486b82a645af895\BIT29.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\fa2745866e6ca3b908b802d5a713dd1a\BITE.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\fb01185bd35eee87d76374e39b51db93\BIT24.tmp

Finished

Anhang: Complete scanning result of irdvxc.exe.doc
Seitenanfang Seitenende
28.01.2007, 18:27
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 ««
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\WINDOWS\SYSTEM32\aus.irdvxc.exe.aus
C:\WINDOWS\SYSTEM32\aus.urdvxc.exe.aus
C:\WINDOWS\SYSTEM32\.exe
C:\WINDOWS\SYSTEM32\urdvxc.exe
C:\WINDOWS\SYSTEM32\irdvxc.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
scanne im normalmodus mit sophos - OPTION 6 und poste den scanreport
http://virus-protect.org/artikel/tools/sdfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.01.2007, 07:32
BURMA
...neu hier

Themenstarter

Beiträge: 9
#6 Hi,

habe leider beim ersten Ausführen des Avenger vergessen die Systemwiederherstellung zu deaktivieren.
Daher gibt es zwei Avenger-Logs, wobei beim zweiten anscheinend nichts mehr passiert ist, dafür aber die Systemwiederherstellung für die Laufwerke deaktiviert war. Wann wird, soll ich die wieder aktivieren?

1.
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\voyveqdq

*******************

Script file located at: \??\C:\WINDOWS\qmkuwdql.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\SYSTEM32\aus.irdvxc.exe.aus deleted successfully.
File C:\WINDOWS\SYSTEM32\aus.urdvxc.exe.aus deleted successfully.


File C:\WINDOWS\SYSTEM32\.exe not found!
Deletion of file C:\WINDOWS\SYSTEM32\.exe failed!

Could not process line:
C:\WINDOWS\SYSTEM32\.exe
Status: 0xc0000034

File C:\WINDOWS\SYSTEM32\urdvxc.exe deleted successfully.


File C:\WINDOWS\SYSTEM32\irdvxc.exe not found!
Deletion of file C:\WINDOWS\SYSTEM32\irdvxc.exe failed!

Could not process line:
C:\WINDOWS\SYSTEM32\irdvxc.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

2. Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\nsqfksuc

*******************

Script file located at: \??\C:\qcryqktq.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\SYSTEM32\aus.irdvxc.exe.aus not found!
Deletion of file C:\WINDOWS\SYSTEM32\aus.irdvxc.exe.aus failed!

Could not process line:
C:\WINDOWS\SYSTEM32\aus.irdvxc.exe.aus
Status: 0xc0000034



File C:\WINDOWS\SYSTEM32\aus.urdvxc.exe.aus not found!
Deletion of file C:\WINDOWS\SYSTEM32\aus.urdvxc.exe.aus failed!

Could not process line:
C:\WINDOWS\SYSTEM32\aus.urdvxc.exe.aus
Status: 0xc0000034



File C:\WINDOWS\SYSTEM32\.exe not found!
Deletion of file C:\WINDOWS\SYSTEM32\.exe failed!

Could not process line:
C:\WINDOWS\SYSTEM32\.exe
Status: 0xc0000034



File C:\WINDOWS\SYSTEM32\urdvxc.exe not found!
Deletion of file C:\WINDOWS\SYSTEM32\urdvxc.exe failed!

Could not process line:
C:\WINDOWS\SYSTEM32\urdvxc.exe
Status: 0xc0000034



File C:\WINDOWS\SYSTEM32\irdvxc.exe not found!
Deletion of file C:\WINDOWS\SYSTEM32\irdvxc.exe failed!

Could not process line:
C:\WINDOWS\SYSTEM32\irdvxc.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

SP2 und einige Sicherheitsupdates von Microsoft inkl. IE7 habe ich nachgerüstet.

Ausserdem habe ich aschliessend den SophosReport erstellt, siehe Dateianhang.

Anhang: SophosReport.txt
Seitenanfang Seitenende
30.01.2007, 10:32
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 BURMA

Information: irdvxc.exe - urdvxc.exe
http://virus-protect.org/artikel/spyware/irdvxc_exe.html

-----------------------------------------------------------------------
1.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

{15CB33A0-12D1-0735-FA99-17F9128BA632}

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

{EDFE42DB-520D-3376-A5C0-CF95929CCC70}

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

Network helper Service

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

Network Windows Service

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

----------------------------------------------------------------------

2.
Avenger

Zitat

Files to delete:
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\bt4282.bat
3.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

4.
scanne im abgesicherten modus und poste den scanreport
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.01.2007, 19:24
BURMA
...neu hier

Themenstarter

Beiträge: 9
#8 Hi Sabina,

ich habe die Logs anbei als Datei und im Text.
Vielen Dank!!

Viele Grüsse
Markus

ReSearch Logs
{15CB33A0-12D1-0735-FA99-17F9128BA632}

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 07-01-30 17:13:22 for strings:
; '{15cb33a0-12d1-0735-fa99-17f9128ba632}'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

{EDFE42DB-520D-3376-A5C0-CF95929CCC70}

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 07-01-30 17:15:07 for strings:
; '{edfe42db-520d-3376-a5c0-cf95929ccc70}'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

Network helper Service

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 07-01-30 17:16:45 for strings:
; 'network helper service'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

Network Windows Service

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 07-01-30 17:18:27 for strings:
; 'network windows service'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSWINDOWS\0000]
"DeviceDesc"="Network Windows Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\MSWindows]
"DisplayName"="Network Windows Service"
"Description"="Network Windows service management"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MSWINDOWS\0000]
"DeviceDesc"="Network Windows Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\MSWindows]
"DisplayName"="Network Windows Service"
"Description"="Network Windows service management"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSWINDOWS\0000]
"DeviceDesc"="Network Windows Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSWindows]
"DisplayName"="Network Windows Service"
"Description"="Network Windows service management"

; End Of The Log...

ComboFix Log

"Markus" - 07-01-30 17:25:53 Service Pack 2
ComboFix 07-01-25 - Running from: "c:\Programme\AntiVirus"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\INSTALL.LOG


((((((((((((((((((((((((((((((( Files Created from 2006-12-30 to 2007-01-30 ))))))))))))))))))))))))))))))))))


2007-01-30 17:22 <DIR> d-------- C:\avenger
2007-01-29 22:53 7,648 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\ndisfilter.sys
2007-01-29 22:01 <DIR> d-------- C:\WINDOWS\WBEM
2007-01-29 22:01 <DIR> d-------- C:\WINDOWS\SYSTEM32\de-de
2007-01-29 21:59 <DIR> d--h-c--- C:\WINDOWS\ie7
2007-01-29 21:58 121,856 --------- C:\WINDOWS\SYSTEM32\xmllite.dll
2007-01-29 21:57 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Windows Genuine Advantage
2007-01-29 21:44 <DIR> d-------- C:\SAV32CLI
2007-01-29 19:43 <DIR> d-------- C:\DOKUME~1\LOCALS~1\Startmen
2007-01-29 19:42 <DIR> d-------- C:\WINDOWS\Prefetch
2007-01-29 19:36 221,184 --a------ C:\WINDOWS\SYSTEM32\wmpns.dll
2007-01-29 19:34 95,424 --------- C:\WINDOWS\SYSTEM32\DRIVERS\slnthal.sys
2007-01-29 19:34 9,728 --------- C:\WINDOWS\SYSTEM32\comsdupd.exe
2007-01-29 19:34 88,064 --------- C:\WINDOWS\SYSTEM32\p2pnetsh.dll
2007-01-29 19:34 870,784 --------- C:\WINDOWS\SYSTEM32\ati3d1ag.dll
2007-01-29 19:34 86,016 --------- C:\WINDOWS\SYSTEM32\p2pgasvc.dll
2007-01-29 19:34 86,016 --------- C:\WINDOWS\SYSTEM32\mdmxsdk.dll
2007-01-29 19:34 81,408 --------- C:\WINDOWS\SYSTEM32\wscsvc.dll
2007-01-29 19:34 8,192 --------- C:\WINDOWS\SYSTEM32\smbinst.exe
2007-01-29 19:34 78,464 --------- C:\WINDOWS\SYSTEM32\DRIVERS\usbvideo.sys
2007-01-29 19:34 78,336 --a------ C:\WINDOWS\SYSTEM32\ieencode.dll
2007-01-29 19:34 75,776 --------- C:\WINDOWS\SYSTEM32\strmfilt.dll
2007-01-29 19:34 73,832 --------- C:\WINDOWS\SYSTEM32\slcoinst.dll
2007-01-29 19:34 73,796 --------- C:\WINDOWS\SYSTEM32\slserv.exe
2007-01-29 19:34 73,216 --------- C:\WINDOWS\SYSTEM32\DRIVERS\atintuxx.sys
2007-01-29 19:34 71,680 --------- C:\WINDOWS\SYSTEM32\blastcln.exe
2007-01-29 19:34 701,952 --------- C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys
2007-01-29 19:34 7,680 --------- C:\WINDOWS\SYSTEM32\kbdsmsno.dll
2007-01-29 19:34 7,680 --------- C:\WINDOWS\SYSTEM32\kbdsmsfi.dll
2007-01-29 19:34 7,168 --------- C:\WINDOWS\SYSTEM32\kbdukx.dll
2007-01-29 19:34 7,168 --------- C:\WINDOWS\SYSTEM32\kbdno1.dll
2007-01-29 19:34 7,168 --------- C:\WINDOWS\SYSTEM32\kbdfi1.dll
2007-01-29 19:34 685,056 --------- C:\WINDOWS\SYSTEM32\DRIVERS\hsfcxts2.sys
2007-01-29 19:34 67,584 --------- C:\WINDOWS\SYSTEM32\DRIVERS\sdbus.sys
2007-01-29 19:34 63,663 --------- C:\WINDOWS\SYSTEM32\DRIVERS\ati1rvxx.sys
2007-01-29 19:34 63,488 --------- C:\WINDOWS\SYSTEM32\DRIVERS\atinxsxx.sys
2007-01-29 19:34 60,416 --------- C:\WINDOWS\SYSTEM32\fwcfg.dll
2007-01-29 19:34 6,656 --------- C:\WINDOWS\SYSTEM32\kbdinmal.dll
2007-01-29 19:34 6,656 --------- C:\WINDOWS\SYSTEM32\kbdinben.dll
2007-01-29 19:34 6,144 --------- C:\WINDOWS\SYSTEM32\kbdmlt48.dll
2007-01-29 19:34 6,144 --------- C:\WINDOWS\SYSTEM32\kbdmlt47.dll
2007-01-29 19:34 6,144 --------- C:\WINDOWS\SYSTEM32\kbdinbe1.dll
2007-01-29 19:34 6,016 --------- C:\WINDOWS\SYSTEM32\DRIVERS\smbali.sys
2007-01-29 19:34 59,648 --------- C:\WINDOWS\SYSTEM32\DRIVERS\rfcomm.sys
2007-01-29 19:34 57,856 --------- C:\WINDOWS\SYSTEM32\DRIVERS\atinbtxx.sys
2007-01-29 19:34 56,623 --------- C:\WINDOWS\SYSTEM32\DRIVERS\ati1btxx.sys
2007-01-29 19:34 526,848 --------- C:\WINDOWS\SYSTEM32\p2psvc.dll
2007-01-29 19:34 52,224 --------- C:\WINDOWS\SYSTEM32\DRIVERS\atinraxx.sys
2007-01-29 19:34 516,768 --------- C:\WINDOWS\SYSTEM32\ativvaxx.dll
2007-01-29 19:34 50,688 --------- C:\WINDOWS\SYSTEM32\btpanui.dll
2007-01-29 19:34 50,176 --------- C:\WINDOWS\SYSTEM32\xmlprovi.dll
2007-01-29 19:34 5,632 --------- C:\WINDOWS\SYSTEM32\kbdmaori.dll
2007-01-29 19:34 49,152 --------- C:\WINDOWS\SYSTEM32\powercfg.exe
2007-01-29 19:34 48,640 --------- C:\WINDOWS\SYSTEM32\pnrpnsp.dll
2007-01-29 19:34 46,464 --------- C:\WINDOWS\SYSTEM32\DRIVERS\gagp30kx.sys
2007-01-29 19:34 452,736 --------- C:\WINDOWS\SYSTEM32\DRIVERS\mtxparhm.sys
2007-01-29 19:34 44,672 --------- C:\WINDOWS\SYSTEM32\DRIVERS\uagp35.sys
2007-01-29 19:34 44,032 --------- C:\WINDOWS\SYSTEM32\twext.dll
2007-01-29 19:34 404,990 --------- C:\WINDOWS\SYSTEM32\DRIVERS\slntamr.sys
2007-01-29 19:34 40,832 --------- C:\WINDOWS\SYSTEM32\DRIVERS\irbus.sys
2007-01-29 19:34 40,192 --------- C:\WINDOWS\SYSTEM32\DRIVERS\intelppm.sys
2007-01-29 19:34 4,255 --------- C:\WINDOWS\SYSTEM32\DRIVERS\adv01nt5.dll
2007-01-29 19:34 397,056 --------- C:\WINDOWS\SYSTEM32\s3gnb.dll
2007-01-29 19:34 38,016 --------- C:\WINDOWS\SYSTEM32\DRIVERS\bthmodem.sys
2007-01-29 19:34 377,984 --------- C:\WINDOWS\SYSTEM32\ati2dvaa.dll
2007-01-29 19:34 36,463 --------- C:\WINDOWS\SYSTEM32\DRIVERS\ati1tuxx.sys
2007-01-29 19:34 35,456 --------- C:\WINDOWS\SYSTEM32\DRIVERS\bthprint.sys
2007-01-29 19:34 34,735 --------- C:\WINDOWS\SYSTEM32\DRIVERS\ati1xsxx.sys
2007-01-29 19:34 327,168 --------- C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtaa.sys
2007-01-29 19:34 32,866 --------- C:\WINDOWS\SYSTEM32\slrundll.exe
2007-01-29 19:34 32,866 --------- C:\WINDOWS\slrundll.exe
2007-01-29 19:34 32,768 --------- C:\WINDOWS\SYSTEM32\ativtmxx.dll
2007-01-29 19:34 32,285 --------- C:\WINDOWS\SYSTEM32\hsfcisp2.dll
2007-01-29 19:34 312,320 --------- C:\WINDOWS\SYSTEM32\p2pgraph.dll
2007-01-29 19:34 31,744 --------- C:\WINDOWS\SYSTEM32\DRIVERS\atinxbxx.sys
2007-01-29 19:34 30,671 --------- C:\WINDOWS\SYSTEM32\DRIVERS\ati1raxx.sys
2007-01-29 19:34 30,208 --------- C:\WINDOWS\SYSTEM32\bthserv.dll
2007-01-29 19:34 30,080 --------- C:\WINDOWS\SYSTEM32\DRIVERS\rndismpx.sys
2007-01-29 19:34 3,967 --------- C:\WINDOWS\SYSTEM32\DRIVERS\adv02nt5.dll
2007-01-29 19:34 3,901 --------- C:\WINDOWS\SYSTEM32\DRIVERS\siint5.dll
2007-01-29 19:34 3,775 --------- C:\WINDOWS\SYSTEM32\DRIVERS\adv11nt5.dll
2007-01-29 19:34 3,711 --------- C:\WINDOWS\SYSTEM32\DRIVERS\adv09nt5.dll
2007-01-29 19:34 3,647 --------- C:\WINDOWS\SYSTEM32\DRIVERS\adv07nt5.dll
2007-01-29 19:34 3,615 --------- C:\WINDOWS\SYSTEM32\DRIVERS\adv05nt5.dll
2007-01-29 19:34 3,135 --------- C:\WINDOWS\SYSTEM32\DRIVERS\adv08nt5.dll
2007-01-29 19:34 29,455 --------- C:\WINDOWS\SYSTEM32\DRIVERS\ati1xbxx.sys
2007-01-29 19:34 29,184 --------- C:\WINDOWS\SYSTEM32\sdhcinst.dll
2007-01-29 19:34 29,056 --------- C:\WINDOWS\SYSTEM32\DRIVERS\ip6fw.sys
2007-01-29 19:34 286,792 --------- C:\WINDOWS\SYSTEM32\slextspk.dll
2007-01-29 19:34 28,672 --------- C:\WINDOWS\SYSTEM32\DRIVERS\atinsnxx.sys
2007-01-29 19:34 275,200 --------- C:\WINDOWS\SYSTEM32\DRIVERS\bthport.sys
2007-01-29 19:34 263,040 --------- C:\WINDOWS\SYSTEM32\DRIVERS\http.sys
2007-01-29 19:34 26,367 --------- C:\WINDOWS\SYSTEM32\DRIVERS\ati1snxx.sys
2007-01-29 19:34 25,856 --------- C:\WINDOWS\SYSTEM32\DRIVERS\hidbth.sys
2007-01-29 19:34 25,471 --------- C:\WINDOWS\SYSTEM32\DRIVERS\watv10nt.sys
2007-01-29 19:34 25,471 --------- C:\WINDOWS\SYSTEM32\DRIVERS\atv04nt5.dll
2007-01-29 19:34 24,576 --------- C:\WINDOWS\SYSTEM32\httpapi.dll
2007-01-29 19:34 229,376 --------- C:\WINDOWS\SYSTEM32\ati2cqag.dll
2007-01-29 19:34 220,032 --------- C:\WINDOWS\SYSTEM32\DRIVERS\hsfbs2s2.sys
2007-01-29 19:34 22,528 --------- C:\WINDOWS\SYSTEM32\fltmc.exe
2007-01-29 19:34 22,271 --------- C:\WINDOWS\SYSTEM32\DRIVERS\watv06nt.sys
2007-01-29 19:34 21,343 --------- C:\WINDOWS\SYSTEM32\DRIVERS\ati1ttxx.sys
2007-01-29 19:34 21,183 --------- C:\WINDOWS\SYSTEM32\DRIVERS\atv01nt5.dll
2007-01-29 19:34 201,728 --------- C:\WINDOWS\SYSTEM32\ati2dvag.dll
2007-01-29 19:34 20,992 --------- C:\WINDOWS\SYSTEM32\bthci.dll
2007-01-29 19:34 193,024 --------- C:\WINDOWS\SYSTEM32\fsquirt.exe
2007-01-29 19:34 188,508 --------- C:\WINDOWS\SYSTEM32\slgen.dll
2007-01-29 19:34 180,360 --------- C:\WINDOWS\SYSTEM32\DRIVERS\ntmtlfax.sys
2007-01-29 19:34 18,944 --------- C:\WINDOWS\SYSTEM32\DRIVERS\bthusb.sys
2007-01-29 19:34 17,408 --------- C:\WINDOWS\SYSTEM32\winshfhc.dll
2007-01-29 19:34 17,279 --------- C:\WINDOWS\SYSTEM32\DRIVERS\atv10nt5.dll
2007-01-29 19:34 17,024 --------- C:\WINDOWS\SYSTEM32\DRIVERS\bthenum.sys
2007-01-29 19:34 166,912 --------- C:\WINDOWS\SYSTEM32\DRIVERS\s3gnbm.sys
2007-01-29 19:34 16,896 --------- C:\WINDOWS\SYSTEM32\fltlib.dll
2007-01-29 19:34 15,872 --------- C:\WINDOWS\SYSTEM32\w3ssl.dll
2007-01-29 19:34 15,488 --------- C:\WINDOWS\SYSTEM32\DRIVERS\mssmbios.sys
2007-01-29 19:34 15,423 --------- C:\WINDOWS\SYSTEM32\DRIVERS\ch7xxnt5.dll
2007-01-29 19:34 15,104 --------- C:\WINDOWS\SYSTEM32\DRIVERS\hidir.sys
2007-01-29 19:34 14,336 --------- C:\WINDOWS\SYSTEM32\DRIVERS\atinpdxx.sys
2007-01-29 19:34 14,336 --------- C:\WINDOWS\SYSTEM32\auditusr.exe
2007-01-29 19:34 14,143 --------- C:\WINDOWS\SYSTEM32\DRIVERS\atv06nt5.dll
2007-01-29 19:34 13,824 --------- C:\WINDOWS\SYSTEM32\wscntfy.exe
2007-01-29 19:34 13,824 --------- C:\WINDOWS\SYSTEM32\DRIVERS\atinttxx.sys
2007-01-29 19:34 13,824 --------- C:\WINDOWS\SYSTEM32\DRIVERS\atinmdxx.sys
2007-01-29 19:34 13,824 --------- C:\WINDOWS\SYSTEM32\cmsetacl.dll
2007-01-29 19:34 13,776 --------- C:\WINDOWS\SYSTEM32\DRIVERS\recagent.sys
2007-01-29 19:34 13,568 --------- C:\WINDOWS\SYSTEM32\DRIVERS\wacompen.sys
2007-01-29 19:34 13,240 --------- C:\WINDOWS\SYSTEM32\DRIVERS\slwdmsup.sys
2007-01-29 19:34 129,536 --------- C:\WINDOWS\SYSTEM32\xmlprov.dll
2007-01-29 19:34 129,535 --------- C:\WINDOWS\SYSTEM32\DRIVERS\slnt7554.sys
2007-01-29 19:34 126,686 --------- C:\WINDOWS\SYSTEM32\DRIVERS\mtlmnt5.sys
2007-01-29 19:34 124,800 --------- C:\WINDOWS\SYSTEM32\DRIVERS\fltmgr.sys
2007-01-29 19:34 12,672 --------- C:\WINDOWS\SYSTEM32\DRIVERS\usb8023x.sys
2007-01-29 19:34 12,672 --------- C:\WINDOWS\SYSTEM32\DRIVERS\mutohpen.sys
2007-01-29 19:34 12,047 --------- C:\WINDOWS\SYSTEM32\DRIVERS\ati1pdxx.sys
2007-01-29 19:34 118,784 --------- C:\WINDOWS\SYSTEM32\msdadiag.dll
2007-01-29 19:34 116,224 --------- C:\WINDOWS\SYSTEM32\p2p.dll
2007-01-29 19:34 11,935 --------- C:\WINDOWS\SYSTEM32\DRIVERS\wadv11nt.sys
2007-01-29 19:34 11,871 --------- C:\WINDOWS\SYSTEM32\DRIVERS\wadv09nt.sys
2007-01-29 19:34 11,868 --------- C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys
2007-01-29 19:34 11,807 --------- C:\WINDOWS\SYSTEM32\DRIVERS\wadv07nt.sys
2007-01-29 19:34 11,615 --------- C:\WINDOWS\SYSTEM32\DRIVERS\ati1mdxx.sys
2007-01-29 19:34 11,359 --------- C:\WINDOWS\SYSTEM32\DRIVERS\atv02nt5.dll
2007-01-29 19:34 11,325 --------- C:\WINDOWS\SYSTEM32\DRIVERS\vchnt5.dll
2007-01-29 19:34 11,295 --------- C:\WINDOWS\SYSTEM32\DRIVERS\wadv08nt.sys
2007-01-29 19:34 11,136 --------- C:\WINDOWS\SYSTEM32\DRIVERS\sffdisk.sys
2007-01-29 19:34 108,032 --------- C:\WINDOWS\SYSTEM32\wshbth.dll
2007-01-29 19:34 104,960 --------- C:\WINDOWS\SYSTEM32\DRIVERS\atinrvxx.sys
2007-01-29 19:34 100,992 --------- C:\WINDOWS\SYSTEM32\DRIVERS\bthpan.sys
2007-01-29 19:34 10,240 --------- C:\WINDOWS\SYSTEM32\DRIVERS\sffp_sd.sys
2007-01-29 19:34 1,888,992 --------- C:\WINDOWS\SYSTEM32\ati3duag.dll
2007-01-29 19:34 1,737,856 --------- C:\WINDOWS\SYSTEM32\mtxparhd.dll
2007-01-29 19:34 1,309,184 --------- C:\WINDOWS\SYSTEM32\DRIVERS\mtlstrm.sys
2007-01-29 19:34 1,041,536 --------- C:\WINDOWS\SYSTEM32\DRIVERS\hsfdpsp2.sys
2007-01-29 19:34 <DIR> d-------- C:\WINDOWS\provisioning
2007-01-29 19:34 <DIR> d-------- C:\WINDOWS\peernet
2007-01-29 19:28 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2007-01-29 19:16 <DIR> d-------- C:\WINDOWS\EHome
2007-01-29 19:00 <DIR> d-------- C:\Programme\AntiVirus
2007-01-28 17:34 <DIR> d-------- C:\SDFix
2007-01-28 17:33 722,749 --a------ C:\SDFix.exe
2007-01-28 15:59 22,752 --a------ C:\WINDOWS\SYSTEM32\spupdsvc.exe
2007-01-28 15:59 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2007-01-28 15:59 <DIR> d-------- C:\WINDOWS\SYSTEM32\PreInstall
2007-01-28 15:06 <DIR> d-------- C:\WINDOWS\SYSTEM32\bits
2007-01-28 15:04 128,232 --a------ C:\WINDOWS\SYSTEM32\mucltui.dll
2007-01-28 14:58 8,192 --------- C:\WINDOWS\SYSTEM32\bitsprx2.dll
2007-01-28 14:58 7,168 --------- C:\WINDOWS\SYSTEM32\bitsprx3.dll
2007-01-28 14:58 351,232 --a------ C:\WINDOWS\SYSTEM32\winhttp.dll
2007-01-28 14:58 18,944 --a------ C:\WINDOWS\SYSTEM32\qmgrprxy.dll
2007-01-28 14:42 466,200 --a------ C:\WINDOWS\SYSTEM32\wuapi.dll
2007-01-28 14:42 41,240 --a------ C:\WINDOWS\SYSTEM32\wups.dll
2007-01-28 14:42 194,840 --a------ C:\WINDOWS\SYSTEM32\wuaueng1.dll
2007-01-28 14:42 18,200 --a------ C:\WINDOWS\SYSTEM32\wups2.dll
2007-01-28 14:42 174,872 --a------ C:\WINDOWS\SYSTEM32\wuauclt1.exe
2007-01-28 14:42 128,280 --a------ C:\WINDOWS\SYSTEM32\wucltui.dll
2007-01-28 14:33 <DIR> d-------- C:\WINDOWS\SoftwareDistribution
2007-01-28 14:23 <DIR> d-------- C:\Programme\Notepad++
2007-01-28 14:23 <DIR> d-------- C:\DOKUME~1\Markus\Anwendungsdaten\Notepad++
2007-01-28 14:20 <DIR> d-------- C:\Programme\FreeMeter


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-01-30 13:14 -------- d-------- C:\Programme\mozilla firefox
2007-01-29 22:34 -------- d-------- C:\Programme\yciii
2007-01-29 22:31 -------- d-------- C:\Programme\mobile phone manager
2007-01-29 19:41 -------- d-------- C:\Programme\messenger
2007-01-29 19:34 -------- d-------- C:\Programme\movie maker
2007-01-29 19:27 -------- d-------- C:\Programme\windows nt
2007-01-28 14:42 -------- d--h----- C:\Programme\windowsupdate
2006-12-30 16:25 -------- d---s---- C:\DOKUME~1\Markus\Anwendungsdaten\microsoft
2006-12-30 16:14 -------- d-------- C:\DOKUME~1\Markus\Anwendungsdaten\macromedia
2006-12-30 16:13 -------- d-------- C:\Programme\java
2006-12-22 16:24 -------- d-------- C:\Programme\Gemeinsame Dateien\teleca shared
2006-12-22 15:15 -------- d-------- C:\DOKUME~1\Markus\Anwendungsdaten\sony ericsson
2006-12-22 15:12 -------- d-------- C:\Programme\sony ericsson
2006-12-22 15:03 -------- d-------- C:\Programme\totalcmd
2006-12-22 11:19 -------- d-------- C:\DOKUME~1\Markus\Anwendungsdaten\xcpcsync.oem
2006-12-20 14:24 -------- d-------- C:\Programme\janoschverkehr
2006-12-16 16:27 -------- d-------- C:\DOKUME~1\Markus\Anwendungsdaten\teleca
2006-12-16 15:57 -------- d--h----- C:\Programme\installshield installation information
2006-12-16 15:57 -------- d-------- C:\Programme\Gemeinsame Dateien\xcpcsync.oem
2006-12-16 15:53 -------- d-------- C:\Programme\Gemeinsame Dateien\siemens ag shared
2006-11-07 21:03 6049280 --------- C:\WINDOWS\SYSTEM32\ieframe.dll
2006-11-07 21:03 50688 --------- C:\WINDOWS\SYSTEM32\msfeedsbs.dll
2006-11-07 21:03 458752 --------- C:\WINDOWS\SYSTEM32\msfeeds.dll
2006-11-07 21:03 413696 --a------ C:\WINDOWS\SYSTEM32\vbscript.dll
2006-11-07 21:03 231424 --a------ C:\WINDOWS\SYSTEM32\webcheck.dll
2006-11-07 21:03 180736 --------- C:\WINDOWS\SYSTEM32\ieui.dll
2006-11-07 21:03 156160 --a------ C:\WINDOWS\SYSTEM32\msls31.dll
2006-11-07 03:27 382976 --a------ C:\WINDOWS\SYSTEM32\iedkcs32.dll
2006-11-07 03:27 229376 --a------ C:\WINDOWS\SYSTEM32\ieaksie.dll
2006-11-07 03:26 71680 --a------ C:\WINDOWS\SYSTEM32\admparse.dll
2006-11-07 03:26 55296 --a------ C:\WINDOWS\SYSTEM32\iesetup.dll
2006-11-07 03:26 54784 --a------ C:\WINDOWS\SYSTEM32\ie4uinit.exe
2006-11-07 03:26 43008 --a------ C:\WINDOWS\SYSTEM32\iernonce.dll
2006-11-07 03:26 152064 --a------ C:\WINDOWS\SYSTEM32\ieakeng.dll
2006-11-07 03:26 13312 --a------ C:\WINDOWS\SYSTEM32\ieudinit.exe
2006-11-07 03:26 123904 --a------ C:\WINDOWS\SYSTEM32\advpack.dll
2006-11-07 03:25 161792 --a------ C:\WINDOWS\SYSTEM32\ieakui.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"H/PC Connection Agent"="\"C:\\Programme\\Microsoft ActiveSync\\WCESCOMM.EXE\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"dla"="C:\\WINDOWS\\system32\\dla\\tfswctrl.exe"
"StorageGuard"="\"C:\\Programme\\Gemeinsame Dateien\\Sonic\\Update Manager\\sgtray.exe\" /r"
"DVDSentry"="C:\\WINDOWS\\System32\\DSentry.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"ScheduleSync.Siemens.SmartSync.5.2.exe"="C:\\Programme\\Mobile Phone Manager\\SmartSync\\ScheduleSync.exe"
"Sony Ericsson PC Suite"="\"C:\\Programme\\Sony Ericsson\\Mobile2\\Application Launcher\\Application Launcher.exe\" /startoptions"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_10\\bin\\jusched.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\ISP-Anmeldungserinnerung 1.job
C:\WINDOWS\tasks\Symantec NetDetect.job

Completion time: 07-01-30 17:30:43

Cureit.log
=============================================================================
Dr.Web(R) Scanner für Windows v4.33.2 (4.33.2.10060)

[Prüfpfad] C:\
C:\Dokumente und Einstellungen\Markus\NTUSER.DAT - Lesefehler
C:\Dokumente und Einstellungen\Markus\NTUSER~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler
C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\NTUSER~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler
>C:\Programme\WinRAR\Dos.SFXC:\SDFix\apps\Process.exe ist ein Hacktool Tool.Prockill
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT - Lesefehler
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT.LOG - Lesefehler
C:\WINDOWS\SYSTEM32\CONFIG\SAM - Lesefehler
C:\WINDOWS\SYSTEM32\CONFIG\SAM.LOG - Lesefehler
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY - Lesefehler
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY.LOG - Lesefehler
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE - Lesefehler
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE.LOG - Lesefehler
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM - Lesefehler
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM.LOG - Lesefehler
>C:\WINDOWS\SYSTEM32\CONFIG\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WPYR0LMR\d[1].php infiziert mit Trojan.NtRootKit.165 - gelöscht

-----------------------------------------------------------------------------
Prüfstatistiken
-----------------------------------------------------------------------------
Geprüfte Objekte: 133598
Infizierte Objekte gefunden: 1
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 1
Desinfizierte Objekte: 0
Gelöschte Objekte: 1
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 677 Kb/s
Dauer:: 01:17:50
-----------------------------------------------------------------------------

C:\SDFix\apps\Process.exe - nicht desinfizierbar - verschoben

=============================================================================
Gesamte Sitzungsstatistik
=============================================================================
Geprüfte Objekte: 133972
Infizierte Objekte gefunden: 1
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 1
Desinfizierte Objekte: 0
Gelöschte Objekte: 1
Umbenannte Objekte: 0
Verschobene Objekte: 1
Ignorierte Objekte: 0
Leistung:: 692 Kb/s
Dauer:: 01:18:28
=============================================================================

Anhang: 20070130 AllLogs.doc
Seitenanfang Seitenende
31.01.2007, 00:17
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 BURMA

C:\Programme\yciii - falls du dieses Programm kennst - nimm es aus dem avengerscript raus

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSWINDOWS\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSWINDOWS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\MSWindows
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MSWINDOWS\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MSWINDOWS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\MSWindows
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSWINDOWS\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSWINDOWS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSWindows

Folders to delete:
C:\WINDOWS\SYSTEM32\CONFIG\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WPYR0LMR
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
poste dieses log
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.02.2007, 12:03
BURMA
...neu hier

Themenstarter

Beiträge: 9
#10 Hi Sabina,

anbei die neuesten Logs.

Das Programm C:\Programme\yciii heisst Yankee Clipper III und ist eine Erweiterung der Zwischenablage - sehr hilfreich - habe ich nicht gelöscht

Ausserdem habe ich meinen veralteten McAfee Virenscanner gegen den Freeware Virenscanner von AVG (+ AntiSpyware) ersetzt. Der hat dann auch gleich in einem backup in C:\avenger\ den Worm/Allaple.A gefunden.

Anhang: look1.txt
Seitenanfang Seitenende
01.02.2007, 12:41
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 ««
in der Registry

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride"=dword:00000001 - aendere in 0

««
Um die Diensteverwaltung explizit aufzurufen, eingeben unter: Start - Ausführen : services.msc

Nun werden alle laufenden Dienste angezeigt.

Remote-Registrierung
Starttyp-Empfehlung: Deaktiviert

Telnet
Starttyp-Empfehlung: Deaktiviert

________

http://virus-protect.org/artikel/tools/gmer.html
nutze Gmer Starte es und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter rootkit gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.02.2007, 11:18
BURMA
...neu hier

Themenstarter

Beiträge: 9
#12 Hi Sabina,

registry und Dienste habe ich angepaßt, gmer.exe meldet zunächst nichts. Wenn ich "scan" klicke, stürzt es ab! - oder ist das der Plan?

Der Anti Spyware Scanner von AVG hat eine Datei in Quarantäne gesteckt:
"C:programme\1200P\Msoffice\exe1.exe" , Melduung "Trojan.small"
Kann ich die löschen?

gruss Markus

PS.:Startmeldung von gmer.exe hängt als Datei an.

Anhang: 20070202 gmer start.txt
Seitenanfang Seitenende
02.02.2007, 13:49
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 wende den gmer im abgesicherten modus an und poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.02.2007, 11:41
BURMA
...neu hier

Themenstarter

Beiträge: 9
#14 Hi,

sorry, hätte ich auch selber drauf kommen können.

Anbei der Report.

Gruss
Markus
PS: Ausserdem als Datei angehängt der AVG Anti Spy Scan - falls e hilft

gmer - scan 02-02-2007

GMER 1.0.12.12011 - http://www.gmer.net
Rootkit scan 2007-02-02 16:50:21
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.12 ----

SSDT \SystemRoot\system32\Drivers\fwdrv.sys ZwClose
SSDT \SystemRoot\system32\Drivers\fwdrv.sys ZwCreateFile
SSDT \SystemRoot\system32\Drivers\fwdrv.sys ZwCreateProcess
SSDT \SystemRoot\system32\Drivers\fwdrv.sys ZwCreateProcessEx
SSDT \SystemRoot\system32\Drivers\fwdrv.sys ZwCreateSection

---- Kernel code sections - GMER 1.0.12 ----

.text ntoskrnl.exe!ZwYieldExecution + 13B 804E4FFC 8 Bytes [ 92, 5C, 06, F7, 17, 5C, 06, ... ]

---- Devices - GMER 1.0.12 ----

Device \FileSystem\Fastfat \Fat IRP_MJ_CREATE F68C8C8A
Device \FileSystem\Fastfat \Fat IRP_MJ_CLOSE F68C57C8
Device \FileSystem\Fastfat \Fat IRP_MJ_READ F68C160A
Device \FileSystem\Fastfat \Fat IRP_MJ_WRITE F68C1AED
Device \FileSystem\Fastfat \Fat IRP_MJ_QUERY_INFORMATION F68CC958
Device \FileSystem\Fastfat \Fat IRP_MJ_SET_INFORMATION F68CF821
Device \FileSystem\Fastfat \Fat IRP_MJ_QUERY_EA F68D838A
Device \FileSystem\Fastfat \Fat IRP_MJ_SET_EA F68D7D49
Device \FileSystem\Fastfat \Fat IRP_MJ_FLUSH_BUFFERS F68D1BBE
Device \FileSystem\Fastfat \Fat IRP_MJ_QUERY_VOLUME_INFORMATION F68D2331
Device \FileSystem\Fastfat \Fat IRP_MJ_SET_VOLUME_INFORMATION F68E04F4
Device \FileSystem\Fastfat \Fat IRP_MJ_DIRECTORY_CONTROL F68C8B37
Device \FileSystem\Fastfat \Fat IRP_MJ_FILE_SYSTEM_CONTROL F68C4948
Device \FileSystem\Fastfat \Fat IRP_MJ_DEVICE_CONTROL F68CE46B
Device \FileSystem\Fastfat \Fat IRP_MJ_SHUTDOWN F68DF79D
Device \FileSystem\Fastfat \Fat IRP_MJ_LOCK_CONTROL F68DEC4A
Device \FileSystem\Fastfat \Fat IRP_MJ_CLEANUP F68C52FD
Device \FileSystem\Fastfat \Fat IRP_MJ_PNP F68DF1DB
Device \FileSystem\Fastfat \Fat FastIoCheckIfPossible F68DA1F9

---- Files - GMER 1.0.12 ----

ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows NT\MSFax\SentItems\S-1-5-21-3336439322-2552149654-439452129-1006$201c51d710d6b8f.tif:Xj1phwzh5qcwungrN45kt3kiCe
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows NT\MSFax\SentItems\S-1-5-21-3336439322-2552149654-439452129-1006$201c51d710d6b8f.tif:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows NT\MSFax\SentItems\S-1-5-21-3336439322-2552149654-439452129-1006$201c548a64f2039.tif:Xj1phwzh5qcwungrN45kt3kiCe
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows NT\MSFax\SentItems\S-1-5-21-3336439322-2552149654-439452129-1006$201c548a64f2039.tif:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}

---- EOF - GMER 1.0.12 ----

Anhang: Report-Scan-20070201-133409.txt
Seitenanfang Seitenende
04.02.2007, 11:49
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 ueberpruefe den Port 445 und berichte
http://virus-protect.org/artikel/tools/portexplorer.html
http://virus-protect.org/portauthority.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12