Trojaner:MemScan:Trojan.Downloader.Alphabet.F und weitere!

#0
19.06.2007, 22:45
...neu hier

Beiträge: 2
#1 Hallo!

Dies ist mein erster Beitrag und ich hoffe ich mache alles richtig. Ich brauche dringend Hilfe, BitDefender10 hat folgende Viren/Trojaner etc. bei mir entdeckt. Das Programm konnte die Dateien aber nicht löschen, sonder nur in Quarantäne stellen!?

hier die Log-File mit Pfadangaben:

Zusammenfassung:

C:\System Volume Information\_restore{42B771E4-556C-481B-AC79-4D585A6FC384}\RP185\A0063178.exe Infiziert mit: MemScan:Trojan.Downloader.Alphabet.F
C:\System Volume Information\_restore{42B771E4-556C-481B-AC79-4D585A6FC384}\RP185\A0063178.exe Desinfizieren fehlgeschlagen
C:\System Volume Information\_restore{42B771E4-556C-481B-AC79-4D585A6FC384}\RP185\A0063178.exe Verschoben
C:\System Volume Information\_restore{42B771E4-556C-481B-AC79-4D585A6FC384}\RP185\A0063182.exe Entdeckt: Adware.Purityscan.BH
C:\System Volume Information\_restore{42B771E4-556C-481B-AC79-4D585A6FC384}\RP185\A0063182.exe Desinfizieren fehlgeschlagen
C:\System Volume Information\_restore{42B771E4-556C-481B-AC79-4D585A6FC384}\RP185\A0063182.exe Verschoben
C:\System Volume Information\_restore{42B771E4-556C-481B-AC79-4D585A6FC384}\RP185\A0063183.exe Infiziert mit: Trojan.Downloader.Alphabet.F
C:\System Volume Information\_restore{42B771E4-556C-481B-AC79-4D585A6FC384}\RP185\A0063183.exe Desinfizieren fehlgeschlagen
C:\System Volume Information\_restore{42B771E4-556C-481B-AC79-4D585A6FC384}\RP185\A0063183.exe Verschoben
C:\System Volume Information\_restore{42B771E4-556C-481B-AC79-4D585A6FC384}\RP185\A0063184.dll Infiziert mit: Trojan.Downloader.Agent.BGY
C:\System Volume Information\_restore{42B771E4-556C-481B-AC79-4D585A6FC384}\RP185\A0063184.dll Desinfizieren fehlgeschlagen
C:\System Volume Information\_restore{42B771E4-556C-481B-AC79-4D585A6FC384}\RP185\A0063184.dll Verschoben
C:\System Volume Information\_restore{42B771E4-556C-481B-AC79-4D585A6FC384}\RP186\A0063280.DLL Infiziert mit: Trojan.Vundo.DMA
C:\System Volume Information\_restore{42B771E4-556C-481B-AC79-4D585A6FC384}\RP186\A0063280.DLL Desinfizieren fehlgeschlagen
C:\System Volume Information\_restore{42B771E4-556C-481B-AC79-4D585A6FC384}\RP186\A0063280.DLL Verschoben
C:\System Volume Information\_restore{42B771E4-556C-481B-AC79-4D585A6FC384}\RP186\A0063281.dll Infiziert mit: Trojan.Vundo.DMA
C:\System Volume Information\_restore{42B771E4-556C-481B-AC79-4D585A6FC384}\RP186\A0063281.dll Desinfizieren fehlgeschlagen
C:\System Volume Information\_restore{42B771E4-556C-481B-AC79-4D585A6FC384}\RP186\A0063281.dll Verschoben


hier die Log File von Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 22:32, on 2007-06-19
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\Empowering Technology\admServ.exe
c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Softwin\BitDefender10\bdmcon.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
D:\Programmtools\SpeedProject\SpeedCommander 11\SpeedCommander.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\ComboFix\catchme.cfexe
C:\WINDOWS\explorer.exe
D:\Programmtools\Hijack\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\system32\ToolBand.dll/MENUSEARCH.HTM
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{95826158-89AF-4E70-9D81-ADD6CA03384D}: NameServer = 194.25.2.129
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


hier die dafind.bat:
2007-06-19 22:36 81,984 bdod.bin
2007-06-19 21:51 0 bdss.log
2007-06-19 21:50 53,770 perfc009.dat
2007-06-19 21:50 64,848 perfc007.dat
2007-06-19 21:50 393,086 perfh007.dat
2007-06-19 21:50 902,476 PerfStringBackup.INI
2007-06-19 21:50 382,026 perfh009.dat
2007-06-19 21:47 43,850 nvapps.xml
2007-06-19 21:46 1,158 wpa.dbl
2007-06-19 20:15 913,408 xreglib.dll
2007-06-19 20:13 77,824 xcomm.dll
2007-06-19 19:03 31 getfile.dat
2007-06-17 20:52 621 NTS5CSET.INI
2007-06-15 10:48 0 00999BC0_kds.xml
2007-06-09 18:31 0 00995960_kds.xml
2007-06-09 18:26 108,144 CmdLineExt.dll
2007-06-09 18:02 0 00A3B5B0_kds.xml
2007-06-09 17:46 0 00A3B610_kds.xml
2007-06-06 08:38 15,747,032 MRT.exe
2007-05-30 22:15 302,816 FNTCACHE.DAT
2007-05-28 18:39 10,752 BASSMOD.dll
2007-05-16 17:11 683,520 inetcomm.dll
2007-05-04 14:27 3,079,680 mshtml.dll
2007-04-25 16:22 144,896 schannel.dll
2007-04-18 18:13 2,854,400 msi.dll
2007-04-18 14:31 617,472 urlmon.dll
2007-04-18 14:31 664,576 wininet.dll
2007-04-18 14:31 1,494,528 shdocvw.dll
2007-04-18 14:31 532,480 mstime.dll
2007-04-18 14:31 39,424 pngfilt.dll
2007-04-18 14:31 474,624 shlwapi.dll
2007-04-18 14:31 449,024 mshtmled.dll
2007-04-18 14:31 146,432 msrating.dll
2007-04-18 14:31 55,808 extmgr.dll
2007-04-18 14:31 205,312 dxtrans.dll
2007-04-18 14:31 96,768 inseng.dll
2007-04-18 14:31 16,384 jsproxy.dll
2007-04-18 14:31 251,392 iepeers.dll
2007-04-18 14:31 1,023,488 browseui.dll
2007-04-18 14:31 1,056,256 danim.dll
2007-04-18 14:31 357,888 dxtmsft.dll
2007-04-18 14:31 152,064 cdfview.dll
2007-04-18 12:27 123,392 xpsp3res.dll
2007-04-16 17:53 1,058,304 kernel32.dll
2007-04-02 14:21 428,032 swreg.exe
2007-04-02 07:58 546,304 hhctrl.ocx

zur Problembeschreibung kann ich wenig sagen, da ich nicht weiß wie die Viren sich auswirken, das einzige was mir aufgefallen ist ist eine unregelmäßige Fehlermeldung beim Start von Windows, deren Wortlaut ich deshalb im Moment nicht wieß. So bald er wieder auftaucht, werde ich ihn posten. Ich bin nur beunruhigt wegen der Trojaner, weil ich auch Internetbanking nutze. Gott sei Dank ist bisher offenbar nichts passiert.

Ich hoffe Jemand kann mir helfen, ein großes Dankeschön dafür im Voraus!

Seitenanfang Seitenende
20.06.2007, 08:23
Member
Avatar Chris4You

Beiträge: 694
#2 Hi,

Fehlermeldung beim Booten bitte notieren;

Das was Bitdefender findet befindet sich in der Systemwiederherstellung (die können wir später durch aus- / einschalten bereinigen, aber nur wenn das System stabil läuft), hast Du eine komplett Prüfung des Rechner durchgeführt?
Lasse auf jeden Fall das Windowsverzeichnis von Bitdefender nochmal prüfen!

Die Dateien die im Combofix-Log angegeben sind, gehören eigentlich zu Windows, es gibt aber Trojaner die diese Dateien ersetzten/infizieren (z. B. Troj/WowPWS-K; Und das kann unser Problem werden...).

HJ-Log sieht bis auf Kleinigkeiten sauber aus...

Scanne mit Cureit, nutze die Anleitung:
http://virus-protect.org/cureit.html
Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de

und blacklight (wegen Rootkits)
http://virus-protect.org/artikel/tools/rootkithook.html

Poste alle Logs...

Chris
Seitenanfang Seitenende
20.06.2007, 19:16
...neu hier

Themenstarter

Beiträge: 2
#3 Hallo!

Bit Defender hat keine infizierten Dateien gefunden, die Fehlermeldung beim Booten ist seit dem Virenscan auch nicht mehr aufgetreten.

Bit Defender hat aber zwei mal einen Virus blockiert/angezeigt:

Datei d:\system volume information\_restore{42b771e4-556c-481b-ac79-4d585a6fc384}\rp202\a0066174.exe
infiziert mit Trojan.Spy.Agent.GJ

Datei d:\system volume information\_restore{42b771e4-556c-481b-ac79-4d585a6fc384}\rp185\a0063199.exe
infiziert mit Trojan.Downloader.LoadAdv.B


das ist das Ergebnis von Cureit:

vsserv.exe c:\programme\softwin\bitdefender10 Probably DLOADER.Trojan
vsserv.exe C:\Programme\Softwin\BitDefender10 Probably DLOADER.Trojan
A0059825.dll C:\System Volume Information\_restore{42B771E4-556C-481B-AC79-4D585A6FC384}\RP165 Trojan.MulDrop.6045 Deleted.
tmg-sc11.exe C:\tools BackDoor.Pigeon.1604 Deleted.

Blacklight hat nichts gefunden.

Vielen Dank schon mal für die schnelle Hilfe.

Chris
Seitenanfang Seitenende
21.06.2007, 07:33
Member
Avatar Chris4You

Beiträge: 694
#4 Hi,

vsserv.exe gehört zu Bitdefender und wurde fälschlicherweise erkannt.

Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen (das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da).

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Falls noch vorhanden:
Backups von Avenger&Co löschen:

C:\Qoobox - loeschen und Papierkorb leeren
C:\avenger\backup.zip - loeschen und Papierkorb leeren
C:\VundoFix Backups - loeschen und Papierkorb leeren


Chris
Seitenanfang Seitenende
18.07.2007, 13:07
...neu hier

Beiträge: 3
#5 Hallo! auch ich hab wieder mal ein problem, diesmal auch den alphabet.
kann mir jemand helfen?

Logfile of HijackThis v1.99.1
Scan saved at 13:07:17, on 18.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\Samsung\LaserSMMgr\ssmmgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\TEMP\win1FDC.tmp.exe
C:\Dokumente und Einstellungen\Tobias\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.icq.com/start
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = eumex.ip
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [Samsung LBP SM] "C:\WINDOWS\Samsung\LaserSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvher.dll,startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [icq.com] rundll32.exe "C:\WINDOWS\system32\xxpgokls.dll",forkonce
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: CAPIControl.lnk = ?
O4 - Startup: HomeNet Control.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1180949809734
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


****edit: also mein pc ist nicht damit infiziert, glaube ich, aber ich bekomm ständig die meldung dass er versucht hat sich zu verankern, immer im temp-ordner als beliebige zahlenkombination und das als exe-datei.
Seitenanfang Seitenende