Home » Viren, Trojaner & Malware Forum » Trojaner totour.exe » Themenansicht

Trojaner totour.exe
#0
25.03.2007, 15:54
klaus1902
...neu hier

Beiträge: 6
#1 Guten Tag!

Ich muss mich an Euch wenden, da ich seit gestern ein Problem mit einem Trojaner habe.
Habe Norton Internet Security mit allen UpDates installiert - aktuell.
Seit gestern bekomme ich die Meldung, dass ein Trojaner festgestellt wurde - als Pfad der .exe-Datei wird c:\windows\system32\totour.exe angegeben.
Als Folge dieses Trojaners wird immer wieder versucht eine Vielzahl von Mails an gewisse Adressen zu versenden. Diese Mails werden natürlich alle von Norton überprüft. Dabei ist immer der gesamte Bildschirm mit Überprüfungen übersät.
Habe Norton schon mehrere Male das gesamte System scannen lassen, findet jedoch nichts.
Im Web findet man von dieser totour.exe fast keine Information.

Logfile von HighjackThis:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\TBPanel.exe
C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\WINDOWS\V0220Mon.exe
C:\Programme\Creative\Creative Live! Cam\VideoFX\StartFX.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\stickies\stickies.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\WISPTIS.EXE
C:\Programme\Norton Internet Security\ccEmFlSv.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Download\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zamg.ac.at/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu29\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu29\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu29\toolbaru.dll
O3 - Toolbar: GVDownloader - {ae4df123-9140-4f93-9b32-ff0186389cc3} - mscoree.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [V0220Mon.exe] C:\WINDOWS\V0220Mon.exe
O4 - HKLM\..\Run: [AVFX Engine] C:\Programme\Creative\Creative Live! Cam\VideoFX\StartFX.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Stickies.lnk = C:\Programme\stickies\stickies.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {4EFA317A-8569-4788-B175-5BAF9731A549} (Microsoft Virtual Server VMRC Advanced Control) - http://www.windowsvistatestdrive.com/ActiveX/VMRCActiveXClient1.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://80.24.90.22/activex/AxisCamControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB2FE679-7EF9-466E-918C-8F9E74F55309}: NameServer = 213.33.99.70,80.120.17.70
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe


Vielleicht kann mir von euch jemand helfen.

Danke
Klaus
[/u]
Seitenanfang Seitenende
25.03.2007, 15:57
raman
Moderator

Beiträge: 7805
#2 Ueberpruefe c:\windows\system32\totour.exe bei Jotti/VT und teile uns die Ergebnisse mit. Du kannst die Datei auch umbenennen(im abgesicherten Modus falls noetig).

Ansonsten wuerden diese Infos auch hilfreich sein:
http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.03.2007, 16:21
klaus1902
...neu hier

Themenstarter

Beiträge: 6
#3 Danke Ralph für die schnelle Antwort.

Die angegebene Datei wird in windows\system32 jedoch nicht gefunden. Lediglich in der regedit wird eine Datei mit dem Namen totour.exe gefunden.

Mein Frage ist auch, ob dieser Trojaner bei Euch schon bekannt ist. Unter welchem Namen tritt dieser Trojaner in Erscheinung?

Danke
Klaus
Seitenanfang Seitenende
25.03.2007, 16:58
raman
Moderator

Beiträge: 7805
#4 Der Name sagt mir etwas.

Wenn du die Datei nicht finden kannst, nutze ersteinmal Combofix, den Report bitte posten:
http://virus-protect.org/artikel/tools/combofix.html

Je nachdem, was dabei herauskommt, nutzen wir noch etwas anderes.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.03.2007, 17:40
klaus1902
...neu hier

Themenstarter

Beiträge: 6
#5 Hallo Ralph!

Die Überprüfung ergab:

"Klaus" - 07-03-25 17:31:26 Service Pack 1
ComboFix 07-03-23 - Running from: "D:\Download"

((((((((((((((((((((((((((((((( Files Created from 2007-02-25 to 2007-03-25 ))))))))))))))))))))))))))))))))))


2007-03-25 15:31 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2007-03-25 13:56 28,672 --a------ C:\WINDOWS\system32\drivers\CO_Mon.sys
2007-03-24 17:20 <DIR> d-------- C:\Programme\PartyGaming
2007-03-24 09:08 <DIR> d-------- C:\WINDOWS\WER8E.tmp.dir00
2007-03-04 21:54 5,767,168 --a------ C:\DOKUME~1\Klaus\ntuser.dat
2007-03-01 19:30 81,728 -ra------ C:\WINDOWS\system32\drivers\k750mgmt.sys
2007-03-01 19:30 6,144 -ra------ C:\WINDOWS\system32\drivers\k750cmnt.sys
2007-03-01 19:30 6,144 -ra------ C:\WINDOWS\system32\drivers\k750cm.sys
2007-03-01 19:29 89,872 -ra------ C:\WINDOWS\system32\drivers\k750mdm.sys
2007-03-01 19:29 79,488 -ra------ C:\WINDOWS\system32\drivers\k750obex.sys
2007-03-01 19:29 6,576 -ra------ C:\WINDOWS\system32\drivers\k750mdfl.sys
2007-03-01 19:28 55,216 -ra------ C:\WINDOWS\system32\drivers\k750bus.sys
2007-03-01 19:28 5,744 -ra------ C:\WINDOWS\system32\drivers\k750whnt.sys
2007-03-01 19:28 5,744 -ra------ C:\WINDOWS\system32\drivers\k750wh.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-03-25 17:22 -------- d-------- C:\DOKUME~1\Klaus\ANWEND~1\skype
2007-03-25 15:44 -------- d-------- C:\DOKUME~1\Klaus\ANWEND~1\stickies
2007-03-25 11:35 64598 --a------ C:\WINDOWS\system32\perfc007.dat
2007-03-25 11:35 394500 --a------ C:\WINDOWS\system32\perfh007.dat
2007-03-24 08:45 -------- d-------- C:\Programme\norton internet security
2007-03-23 10:42 265988 --a------ C:\WINDOWS\system32\drivers\ndis.sys
2007-03-23 10:15 -------- d-------- C:\DOKUME~1\Klaus\ANWEND~1\usenext
2007-03-03 20:53 -------- d--h----- C:\Programme\installshield installation information
2007-03-03 20:53 -------- d-------- C:\Programme\google
2007-03-03 20:53 -------- d-------- C:\DOKUME~1\Klaus\ANWEND~1\google
2007-02-26 22:11 -------- d-------- C:\Programme\java
2007-02-23 16:34 -------- d-------- C:\Programme\symantec
2007-02-07 13:39 517840 --a------ C:\WINDOWS\system32\symneti.dll
2007-02-07 13:39 269616 --a------ C:\WINDOWS\system32\drivers\symtdi.sys
2007-02-07 13:39 132816 --a------ C:\WINDOWS\system32\symredir.dll
2007-02-07 13:38 47184 --a------ C:\WINDOWS\system32\drivers\symndis.sys
2007-02-07 13:38 36976 --a------ C:\WINDOWS\system32\drivers\symids.sys
2007-02-07 13:38 17968 --a------ C:\WINDOWS\system32\drivers\symredrv.sys
2007-02-07 13:38 173392 --a------ C:\WINDOWS\system32\drivers\symfw.sys
2007-02-07 13:38 11536 --a------ C:\WINDOWS\system32\drivers\symdns.sys
2007-02-03 15:26 -------- d-------- C:\Programme\Gemeinsame Dateien\teleca shared
2007-02-03 14:28 -------- d-------- C:\DOKUME~1\Klaus\ANWEND~1\teleca


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"NBJ"="\"C:\\Programme\\Ahead\\Nero BackItUp\\NBJ.exe\""
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.2.1128.5462\\GoogleToolbarNotifier.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Ptipbmf"="rundll32.exe ptipbmf.dll,SetWriteCacheMode"
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"SSC_UserPrompt"="C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\Security Center\\UsrPrmpt.exe"
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
"Gainward"="C:\\WINDOWS\\TBPanel.exe /A"
"MaxtorOneTouch"="C:\\PROGRA~1\\Maxtor\\OneTouch\\Utils\\OneTouch.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"Device Detector"="DevDetect.exe -autorun"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_11\\bin\\jusched.exe\""
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
"CloneDVDElbyDelay"="\"C:\\Programme\\Elaborate Bytes\\CloneDVD\\ElbyCheck.exe\" /L ElbyDelay"
"CloneCDElbyCDFL"="\"C:\\Programme\\Elaborate Bytes\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL"
"TrueImageMonitor.exe"="C:\\Programme\\Acronis\\TrueImageHome\\TrueImageMonitor.exe"
"AcronisTimounterMonitor"="C:\\Programme\\Acronis\\TrueImageHome\\TimounterMonitor.exe"
"Acronis Scheduler2 Service"="\"C:\\Programme\\Gemeinsame Dateien\\Acronis\\Schedule2\\schedhlp.exe\""
"V0220Mon.exe"="C:\\WINDOWS\\V0220Mon.exe"
"AVFX Engine"="C:\\Programme\\Creative\\Creative Live! Cam\\VideoFX\\StartFX.exe"
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"LanguageShortcut"="C:\\Programme\\CyberLink\\PowerDVD\\Language\\Language.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"


[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer prfen - Klaus.job


********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-03-25 17:35:54
Seitenanfang Seitenende
25.03.2007, 18:52
raman
Moderator

Beiträge: 7805
#6 Da sieht man ja fast nicht!;)

Dann bitte noch einmal datfindbat http://board.protecus.de/t23188.htm

und ein Gmer report http://virus-protect.org/artikel/tools/gmer.html
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.03.2007, 19:42
klaus1902
...neu hier

Themenstarter

Beiträge: 6
#7 Anbei die Logfiles


Danke
Klaus

Anhang: log_files.zip
Seitenanfang Seitenende
25.03.2007, 20:42
raman
Moderator

Beiträge: 7805
#8 Sehr sonderbar. Aber wir versuchen nochmal was anderes. Wer medlet denn genau diese c:\windows\system32\totour.exe?


Wir koennen mal ganz frech die Datei von Avenger loeschen lassen. Anleitung findest du hier:

http://virus-protect.org/artikel/tools/avenger.html

Script fuer dich waere

Zitat

files to delete:
c:\windows\system32\totour.exe
Nach einem neustart bitte mal den Avenger Report posten...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.03.2007, 21:00
klaus1902
...neu hier

Themenstarter

Beiträge: 6
#9 Danke für Deine Mühe.

Der Avenger meldet, dass er die Datei nicht gefunden hat. Sonst steht auch nichts im Log.

Sobald der Rechner voll hochgefahren ist, kommt zwei Mal eine Meldung von Norton, dass diese Datei gefunden wurde und sie nicht repariert werden kann.

Wenn man, nachdem die Meldung gekommen ist versucht die Datei zu finden, findet man jedoch nichts - nur in der Registry.

Klaus
Seitenanfang Seitenende
25.03.2007, 21:19
raman
Moderator

Beiträge: 7805
#10 Wo in der Registrierung(genauer Standort) und hast du die Moeglichkeit dir eine BartPE cd zu erstellen oder eine Linux live CD wie Knoppix? Damit wuerde man sie auf jeden Fall finden...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.03.2007, 21:59
klaus1902
...neu hier

Themenstarter

Beiträge: 6
#11 [HKEY_CURRENT_USER\software\microsoft\search assistant\ACMRU\5603\totour.exe]


Klaus
Seitenanfang Seitenende
25.03.2007, 22:14
raman
Moderator

Beiträge: 7805
#12 Das hat nichts zu bedeuten. Das sind nur die eintraege, nach denen du irgendwann mal gesucht hast, mit hilfe der Suche von Windows.

Wie gesagt, eine Bootcd(Linux/windows) waere hilfreich.

Du kannst aber auch noch Blacklight probieren...
http://virus-protect.org/artikel/tools/rootkithook.html


Aus neugier, wenn du eine Text Datei erstellst und diese dann nach totour.exe umbenennst, kannst du sie dann noch sehen?

Der Ordner, indem du das machst ist eigentlich egal, aber versuchs auch in system32 .
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.03.2007, 22:15
raman
Moderator

Beiträge: 7805
#13 Nachtrag, ich gebe dir gleich mal einen Link zu einer neuen catchme.exe mit Anweisung via PM.....
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1