Home » Viren, Trojaner & Malware Forum » Trojaner Obfuscated EN 238 mit Antivir gefunden!!! » Themenansicht

Trojaner Obfuscated EN 238 mit Antivir gefunden!!!

Thema ist geschlossen!
Thema ist geschlossen!
#0
26.09.2007, 22:54
RickHard
...neu hier

Beiträge: 3
#1 Hallo!
Hab bei mir eine TR/Obfuscated EN 238 mit AntiVir gefunden und konnte ihn bissher auch nirgens mit google finden.
Hab den erstmal in Quarantäneverzeichnis verschoben. PC funktioniert an sich einwandfrei, jedenfalls hab ich noch nix gemerkt.
Ich hab zwar schon im Forum rumgeguckt aber weiß nich genau ob ich den jetzt wie die anderen behandeln soll (gibt ja welche mit BL endung o.ä.) oder ob ich individuelle hilfe brauche!


Hier Hijack Log:

Logfile of HijackThis v1.99.1
Scan saved at 15:20:45, on 26.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\PokerOffice\bin\javaw.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\DRIVERS\dcfssvc.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\Programme\KODAK\KODAK Bildübertragungssoftware\PTSsvc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\explorer.exe
C:\DOKUME~1\Richie\LOKALE~1\Temp\Rar$EX00.203\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [POEngine] "C:\Programme\PokerOffice\POEngine.exe" C:\Programme\PokerOffice
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming2\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming2\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1179416505031
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: dcfssvc (Dcfssvc) - Eastman Kodak Company - C:\WINDOWS\system32\DRIVERS\dcfssvc.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ptssvc - Unknown owner - C:\Programme\KODAK\KODAK Bildübertragungssoftware\PTSsvc.exe
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Hier Combofix:

ComboFix 07-09-21.2 - "Richie" 2007-09-26 15:00:19.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.757 [GMT 2:00]
.

((((((((((((((((((((((( Dateien erstellt von 2007-08-26 bis 2007-09-26 ))))))))))))))))))))))))))))))
.

2007-09-26 12:56 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-25 23:15 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\MailFrontier
2007-09-25 23:14 75,932 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-09-25 23:14 75,248 --a------ C:\WINDOWS\zllsputility.exe
2007-09-25 23:14 74,396 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-09-25 23:14 54,672 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2007-09-25 23:14 42,384 --a------ C:\WINDOWS\zllsputility_loc0407.dll
2007-09-25 23:14 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-09-25 23:14 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc0407.dll
2007-09-25 23:14 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc0407.dll
2007-09-25 23:14 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2007-09-25 23:13 239,648 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-09-25 23:13 110,360 --a------ C:\WINDOWS\system32\drivers\kl1.sys
2007-09-25 23:11 <DIR> d-------- C:\WINDOWS\Internet Logs
2007-09-14 23:01 <DIR> d-------- C:\Programme\iTunes
2007-09-14 23:01 <DIR> d-------- C:\Programme\iPod
2007-09-14 22:59 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple
2007-09-14 22:57 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\Apple
2007-09-07 23:47 <DIR> d-------- C:\Programme\JoWooD Productions
2007-09-05 23:24 40,960 --a------ C:\WINDOWS\system32\SSubTmr6.dll
2007-09-05 23:24 118,784 --a------ C:\WINDOWS\system32\vbalNCSM6.dll
2007-09-05 23:23 <DIR> d-------- C:\Programme\eGames
2007-09-05 22:51 <DIR> d-------- C:\Programme\Ubisoft
2007-09-01 17:33 <DIR> d-------- C:\DOKUME~1\Richie\ANWEND~1\ATI
2007-09-01 17:33 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\ATI
2007-09-01 17:18 <DIR> d-------- C:\ATI
2007-09-01 16:57 33,340 --a------ C:\WINDOWS\system32\dbmsqlgc.dll
2007-09-01 16:57 306,688 --a------ C:\WINDOWS\IsUninst.exe
2007-09-01 16:57 24,576 --a------ C:\WINDOWS\system32\dbmsgnet.dll
2007-09-01 16:57 <DIR> d-------- C:\Programme\Microsoft SQL Server
2007-09-01 16:56 765,952 --------- C:\WINDOWS\system32\msvcp71d.dll
2007-09-01 16:56 544,768 --------- C:\WINDOWS\system32\msvcr71d.dll
2007-09-01 16:56 <DIR> d-------- C:\WINDOWS\Cache
2007-09-01 16:43 89,088 --a------ C:\WINDOWS\system32\atl71.dll
2007-09-01 16:43 84,992 --a------ C:\WINDOWS\system32\ATL70.DLL
2007-09-01 16:41 171,008 --a------ C:\WINDOWS\system32\drivers\MarvinBus.sys
2007-09-01 16:37 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\Pinnacle Studio
2007-09-01 16:34 14,165 --a------ C:\WINDOWS\system32\drivers\Pclepci.sys
2007-09-01 16:34 <DIR> d-------- C:\Programme\Pinnacle
2007-09-01 16:34 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\Pinnacle
2007-08-29 21:13 <DIR> d-------- C:\WINDOWS\system32\logs
2007-08-29 21:10 253,952 --a------ C:\WINDOWS\system32\avmcsock.dll
2007-08-29 21:10 232,960 --a------ C:\WINDOWS\system32\avmtfbox.dll
2007-08-29 21:10 217,088 --a------ C:\WINDOWS\system32\C65dll.dll
2007-08-29 21:10 <DIR> d-------- C:\WINDOWS\system32\FBox
2007-08-29 21:10 <DIR> d-------- C:\Programme\TAPI Services for FRITZ!Box
2007-08-29 21:09 <DIR> d-------- C:\Programme\AVM_update

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-26 13:38 --------- d-------- C:\Programme\PokerStars
2007-09-26 12:38 3752 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2007-09-25 22:07 --------- d-------- C:\DOKUME~1\Richie\ANWEND~1\Azureus
2007-09-24 15:47 --------- d-------- C:\Programme\TuneUp Utilities 2007
2007-09-14 22:57 --------- d-------- C:\Programme\Apple Software Update
2007-09-14 22:56 --------- d-------- C:\Programme\QuickTime
2007-09-07 14:56 --------- d-------- C:\Programme\Microsoft Picture It! PhotoPub
2007-09-06 01:53 --------- d-------- C:\Programme\PokerOffice
2007-09-05 02:34 --------- d-------- C:\Programme\Azureus
2007-09-01 17:50 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-09-01 17:21 --------- d-------- C:\Programme\ATI Technologies
2007-09-01 16:41 --------- d-------- C:\Programme\DivX
2007-08-26 19:59 --------- d-------- C:\Programme\Commandos II
2007-08-03 20:44 --------- d-------- C:\Programme\directx
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 271224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-07-30 19:19 207736 --a------ C:\WINDOWS\system32\muweb.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-28 07:44 45296 --a------ C:\WINDOWS\system32\drivers\ativvpxx.vp
2007-07-28 05:37 8237056 --a------ C:\WINDOWS\system32\atioglx2.dll
2007-07-28 05:31 344064 --a------ C:\WINDOWS\system32\ATIDEMGX.dll
2007-07-28 05:30 269312 --a------ C:\WINDOWS\system32\ati2dvag.dll
2007-07-28 05:30 2371584 --a------ C:\WINDOWS\system32\drivers\ati2mtag.sys
2007-07-28 05:24 307200 --a------ C:\WINDOWS\system32\atiiiexx.dll
2007-07-28 05:23 143360 --a------ C:\WINDOWS\system32\atipdlxx.dll
2007-07-28 05:23 122880 --a------ C:\WINDOWS\system32\Oemdspif.dll
2007-07-28 05:22 43520 --a------ C:\WINDOWS\system32\ati2edxx.dll
2007-07-28 05:22 26112 --a------ C:\WINDOWS\system32\Ati2mdxx.exe
2007-07-28 05:22 118784 --a------ C:\WINDOWS\system32\ati2evxx.dll
2007-07-28 05:21 483328 --a------ C:\WINDOWS\system32\ati2evxx.exe
2007-07-28 05:20 53248 --a------ C:\WINDOWS\system32\ATIDDC.DLL
2007-07-28 05:12 3067712 --a------ C:\WINDOWS\system32\ati3duag.dll
2007-07-28 05:06 176128 --a------ C:\WINDOWS\system32\atiok3x2.dll
2007-07-28 05:01 1550208 --a------ C:\WINDOWS\system32\ativvaxx.dll
2007-07-28 04:50 5435392 --a------ C:\WINDOWS\system32\atioglxx.dll
2007-07-28 04:47 266240 --a------ C:\WINDOWS\system32\atikvmag.dll
2007-07-28 04:46 17408 --a------ C:\WINDOWS\system32\atitvo32.dll
2007-07-28 04:45 49152 --a------ C:\WINDOWS\system32\drivers\ati2erec.dll
2007-07-28 04:40 450560 --a------ C:\WINDOWS\system32\ati2cqag.dll
2007-07-27 21:05 593920 --------- C:\WINDOWS\system32\ati2sgag.exe
2007-07-27 01:06 524288 --a------ C:\WINDOWS\system32\DivXsm.exe
2007-07-27 01:06 43528 --------- C:\WINDOWS\system32\drivers\PxHelp20.sys
2007-07-27 01:06 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2007-07-27 01:06 200704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-07-27 01:06 144704 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2007-07-27 01:06 129784 --------- C:\WINDOWS\system32\pxafs.dll
2007-07-27 01:06 120056 --------- C:\WINDOWS\system32\pxcpyi64.exe
2007-07-27 01:06 118520 --------- C:\WINDOWS\system32\pxinsi64.exe
2007-07-27 01:06 1044480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-07-27 01:03 81920 --a------ C:\WINDOWS\system32\dpl100.dll
2007-07-27 01:03 593920 --a------ C:\WINDOWS\system32\dpuGUI11.dll
2007-07-27 01:03 57344 --a------ C:\WINDOWS\system32\dpv11.dll
2007-07-27 01:03 344064 --a------ C:\WINDOWS\system32\dpus11.dll
2007-07-27 01:03 294912 --a------ C:\WINDOWS\system32\dpu11.dll
2007-07-27 01:03 196608 --a------ C:\WINDOWS\system32\dtu100.dll
2007-07-27 01:03 12288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-02-18 17:16 93568 --a------ C:\DOKUME~1\Richie\ANWEND~1\ezplay.sys
2007-02-18 17:16 9216 --a------ C:\DOKUME~1\Richie\ANWEND~1\ezpinst.exe
2005-03-31 23:17 40960 --a------ C:\Programme\Uninstall_CDS.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 14:00]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 14:00]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 14:00]
"CTSysVol"="C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe" [2002-10-29 10:18]
"CTHelper"="CTHELPER.EXE" [2003-04-10 03:36 C:\WINDOWS\system32\CTHELPER.EXE]
"AsioReg"="REGSVR32.exe" [2004-08-04 14:00 C:\WINDOWS\system32\regsvr32.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-09-07 22:37]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-04-21 22:10]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50]
"POEngine"="C:\Programme\PokerOffice\POEngine.exe" [2005-07-13 16:17]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-01-26 13:36]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-06-29 06:24]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-09-07 16:55]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24]

C:\DOKUME~1\ALLUSE~1.WIN\STARTM~1\PROGRA~1\AUTOST~1\
hp psc 1000 series.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-04-09 19:21:38]
hpoddt01.exe.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-09 19:11:12]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CTDVDDet"=C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
"RemoteControl"="C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
"SBDrvDet"=C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
"LGODDFU"=C:\Programme\lg_fwupdate\fwupdate.exe

R1 DcCam;Kodak Camera Proxy;C:\WINDOWS\system32\DRIVERS\DcCam.sys
R2 DCFS2k;DCFS2k;C:\WINDOWS\system32\DRIVERS\DCFS2k.sys
R2 ptssvc;ptssvc;C:\Programme\KODAK\KODAK Bildübertragungssoftware\PTSsvc.exe
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 ctgame;Game Port;C:\WINDOWS\system32\DRIVERS\ctgame.sys
S1 Exportit;Exportit;C:\WINDOWS\system32\DRIVERS\exportit.sys
S3 DcFpoint;DcFpoint;C:\WINDOWS\system32\DRIVERS\DcFpoint.sys
S3 DcLps;Legacy Polling Service;C:\WINDOWS\system32\DRIVERS\DcLps.sys
S3 DcPTP;%DcPTP.SvcDesc%;C:\WINDOWS\system32\DRIVERS\DcPTP.sys
S3 sea1bus;Sony Ericsson Device 0A1 driver (WDM);C:\WINDOWS\system32\DRIVERS\sea1bus.sys
S3 sea1mdfl;Sony Ericsson Device 0A1 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\sea1mdfl.sys
S3 sea1mdm;Sony Ericsson Device 0A1 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\sea1mdm.sys
S3 sea1mgmt;Sony Ericsson Device 0A1 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\sea1mgmt.sys
S3 sea1nd5;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (NDIS);C:\WINDOWS\system32\DRIVERS\sea1nd5.sys
S3 sea1obex;Sony Ericsson Device 0A1 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\sea1obex.sys
S3 sea1unic;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (WDM);C:\WINDOWS\system32\DRIVERS\sea1unic.sys
S3 ssm_bus;Samsung Mobile USB Device II 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ssm_bus.sys
S3 ssm_mdfl;Samsung Mobile USB Modem II 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ssm_mdfl.sys
S3 ssm_mdm;Samsung Mobile USB Modem II 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ssm_mdm.sys

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3cc96027-e4e8-11db-93f3-0050fcc06616}]
AutoRun\command- K:\setupSNK.exe

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2007-09-21 20:44:10 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2007-09-14 20:57:43 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2007-09-06 21:50:22 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1171666112.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-26 15:04:02
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

C:\WINDOWS\Windows Update Setup-Dateien
C:\WINDOWS\WindowsShell.Manifest
C:\WINDOWS\WindowsUpdate.log
C:\WINDOWS\winhelp.exe
C:\WINDOWS\winhlp32.exe
C:\WINDOWS\winnt.bmp
C:\WINDOWS\winnt256.bmp
C:\WINDOWS\WinSxS
C:\WINDOWS\WMFDist11.log
C:\WINDOWS\wmprfDEU.prx
C:\WINDOWS\wmp11.log
C:\WINDOWS\wmsetup.log
C:\WINDOWS\wmsetup10.log
C:\WINDOWS\WMSysPr9.prx
C:\WINDOWS\Wudf01000Inst.log
C:\WINDOWS\Zapotek.bmp
C:\WINDOWS\zllsputility.exe
C:\WINDOWS\zllsputility_loc0407.dll
C:\WINDOWS\_default.pif
C:\WINDOWS\{00000002-00000000-00000002-00001102-00000004-10021102}.BAK
C:\WINDOWS\{00000002-00000000-00000002-00001102-00000004-10021102}.CDF

scan completed successfully
hidden files: 21

**************************************************************************
.
Completion time: 2007-09-26 15:06:41
C:\ComboFix-quarantined-files.txt ... 2007-09-26 15:06
C:\ComboFix2.txt ... 2007-09-26 13:06
.
--- E O F ---



Bitte um Hilfe da ich keine Ahnung habe!
Dieser Beitrag wurde am 26.09.2007 um 23:00 Uhr von RickHard editiert.
Seitenanfang Seitenende
26.09.2007, 23:00
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll (file missing)
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming2\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming2\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Benutze ATF cleaner http://board.protecus.de/t23188.htm

Scanne mit Ewido Micro
Danach wähle “remove infections ”
__________
MfG Argus
Seitenanfang Seitenende
27.09.2007, 13:16
RickHard
...neu hier

Themenstarter

Beiträge: 3
#3 hab alles gemacht. konnte aber ewido micro nicht wirklich im netz finden, auf der seite ewido.net gab es nur diese avg anti spyware, hab ich durchlaufen lassen und die 5 viren gelöscht. hab den einen trojaner noch im quarantäneverzeichnis von antivir soll ich den da auch einfach so rauslöschen?
Seitenanfang Seitenende
27.09.2007, 22:27
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Weisst du noch um was es sich da handelte?
__________
MfG Argus
Seitenanfang Seitenende
28.09.2007, 23:21
RickHard
...neu hier

Themenstarter

Beiträge: 3
#5 Na um den TR/Obfuscated EN 238 .
Den hab ich aus dem Quarantäneverzeichnis gelöscht und bis jetzt auch keine meldung mehr bekommen.
Ich glaube aber das er beim scan mit ewido (avg anti spyware) nicht aufgetaucht war aber halt andere was ich auch nich erwartet hatte.
Seitenanfang Seitenende
28.09.2007, 23:35
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Die schwierigkeit bei Antivir ist,das man ueber diesen trojaner nichts finden kann

Entferne Hijack This 1.99.1 und installiere 2.02
Als erstes mach ein neuen Ordner auf C:\ z.b. C:\HijackThis,download HijackThis.exe dahin
Download: HijackThis202
Doppelklick HijackThis.exe und installiere das Tool in C:\Programme
Am Ende steht auf dein Desktop eine verknüpfung

Tip:
Onlinescanner
Nod32
Bitdefender
F-secure
Housecall
eTrust
__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1