Home » Viren, Trojaner & Malware Forum » Probleme mit TR/Agent.uaa .... » Themenansicht

Probleme mit TR/Agent.uaa ....

Thema ist geschlossen!
Thema ist geschlossen!
#0
07.12.2007, 14:46
Mattia
Member

Beiträge: 13
#1 hallo seid gestern kommt immer die viren nachricht TR/Agent.uaa gefunden in system 32. habe wirklich keine ahung was ich da machen kann. wäre also wirklich nett wenn mich da jemand unterstützen könnte. Ich hoffe das ich soweit alles richtig gemacht habe.


ComboFix 07-12-07.3 - Administrator 2007-12-07 14:28:17.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1418 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix(2).exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
C:\WINDOWS\system32\gebyv.dll
C:\WINDOWS\system32\jkklmnn.dll
C:\WINDOWS\system32\mljgedc.dll
C:\WINDOWS\system32\vybeg.ini
C:\WINDOWS\system32\vybeg.ini2
C:\WINDOWS\system32\vybeg.tmp

.
((((((((((((((((((((((( Dateien erstellt von 2007-11-07 bis 2007-12-07 ))))))))))))))))))))))))))))))
.

2007-12-06 19:58 . 2007-12-06 19:58 <DIR> d-------- C:\Programme\Spyware Doctor
2007-12-06 19:58 . 2007-12-06 19:58 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PC Tools
2007-12-06 19:58 . 2007-10-18 00:16 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2007-12-06 19:58 . 2007-10-18 00:15 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2007-12-06 19:58 . 2007-10-18 00:14 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-12-06 19:58 . 2007-10-18 00:16 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2007-12-06 19:57 . 2005-09-23 08:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-12-06 19:10 . 2007-12-06 19:10 <DIR> d-------- C:\Programme\ratDVD
2007-12-06 17:39 . 2007-12-06 17:39 <DIR> d-------- C:\WINDOWS\Sun
2007-12-05 17:12 . 2007-12-05 17:16 1,242,354 --a------ C:\WINDOWS\system32\WinRoot32.exe
2007-11-30 22:58 . 2007-12-02 13:56 <DIR> d-------- C:\WINDOWS\uninstall\Sam and Max Season ONE
2007-11-30 22:58 . 2007-11-30 22:58 <DIR> d-------- C:\WINDOWS\uninstall
2007-11-30 22:47 . 2007-11-30 22:47 <DIR> d--hs---- C:\WINDOWS\ftpcache
2007-11-30 18:06 . 2007-11-30 18:06 <DIR> d-------- C:\Programme\Avira
2007-11-30 18:06 . 2007-11-30 18:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-11-30 17:17 . 2007-11-30 17:17 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Firstload
2007-11-30 14:05 . 2007-11-30 14:05 <DIR> d-------- C:\Temp
2007-11-30 11:22 . 2007-11-30 11:22 <DIR> d-------- C:\Programme\ZyXEL
2007-11-30 11:20 . 2006-03-20 09:28 402,944 --a------ C:\WINDOWS\system32\drivers\WlanUZXP.SYS
2007-11-30 00:06 . 2007-11-30 00:06 <DIR> d-------- C:\Programme\RouterControl
2007-11-30 00:06 . 2007-09-26 13:41 330,336 --a------ C:\WINDOWS\RCoUn.EXE
2007-11-30 00:06 . 2007-11-30 00:06 1,880 -r------- C:\WINDOWS\RouterControl_Uninstall.in
2007-11-29 17:22 . 2004-08-04 00:46 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys
2007-11-27 19:19 . 2007-11-27 19:19 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2007-11-27 19:19 . 2007-11-27 19:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SiComponents
2007-11-27 19:19 . 2002-01-05 15:37 344,064 --a------ C:\WINDOWS\system32\msvcr70.dll
2007-11-25 22:02 . 2007-11-25 22:02 <DIR> d--hs---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.nusphere
2007-11-24 17:24 . 2007-11-24 17:24 <DIR> d-------- C:\Programme\Java
2007-11-24 17:24 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2007-11-24 17:13 . 2007-11-24 17:13 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2007-11-20 20:07 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2007-11-20 20:07 . 2004-08-03 23:08 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2007-11-15 18:55 . 2007-11-26 00:07 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2007-11-15 18:55 . 2007-11-15 18:55 1,409 --a------ C:\WINDOWS\QTFont.for
2007-11-12 17:39 . 2007-11-12 17:39 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SecuROM
2007-11-12 17:39 . 2007-11-12 17:39 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-11-12 17:35 . 2007-05-16 16:45 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll
2007-11-12 17:35 . 2007-05-16 16:45 1,124,720 --a------ C:\WINDOWS\system32\D3DCompiler_34.dll
2007-11-12 17:35 . 2007-05-16 16:45 443,752 --a------ C:\WINDOWS\system32\d3dx10_34.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-02 13:17 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-28 18:32 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DVD Shrink
2007-11-27 19:01 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\foobar2000
2007-11-25 22:46 --------- d-----w C:\Programme\Free Download Manager
2007-11-25 21:02 --------- d-sh--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.nusphere
2007-11-24 16:10 --------- d-----w C:\Programme\Gran Paradiso
2007-11-12 15:39 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dvdcss
2007-10-28 17:48 --------- d-----w C:\Programme\Winamp
2007-10-10 16:51 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTHelper"="CTHELPER.EXE" [2006-08-11 13:56 C:\WINDOWS\CTHELPER.EXE]
"CTxfiHlp"="CTXFIHLP.EXE" [2006-08-11 13:56 C:\WINDOWS\system32\CTXFIHLP.EXE]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-01 18:07]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 14:58]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ASUS WiFi-AP Solo.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ASUS WiFi-AP Solo.lnk
backup=C:\WINDOWS\pss\ASUS WiFi-AP Solo.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2004-08-03 23:57 25088 --a------ C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
C:\Programme\DAEMON Tools\daemon.exe -lang 1033

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Free Download Manager]
C:\Programme\Free Download Manager\fdm.exe -autorun

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Free Upload Manager]
C:\Programme\Free Download Manager\fum\fum.exe -autorun

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Free Uploader Oe Integration]
C:\Programme\Free Download Manager\FUM\fumoei.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50 155648 --a--c--- C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OODefragTray]
C:\WINDOWS\system32\oodtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]
C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
C:\Programme\Analog Devices\Core\smax4pnp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
2006-11-10 11:35 90112 --a------ C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2007-09-25 01:11 132496 --a------ C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vEmotion]
C:\Programme\freebird\vEmotion\vEmotion.exe /autorun

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2007-10-10 06:28 36352 --a------ C:\Programme\Winamp\winampa.exe

R0 WDMCAPI;ISDN PCI CAPI;C:\WINDOWS\system32\DRIVERS\WDMCAPI.sys
R2 ZDCNDIS5;ZDCNDIS5 NDIS Protocol Driver;\??\C:\WINDOWS\ZDCNDIS5.sys
R3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys
R3 WDMWANMP;NDIS WAN miniport;C:\WINDOWS\system32\DRIVERS\wdmwanmp.sys
R3 ZY760_XP;ZyXEL 802.11g XG762 1211 Driver;C:\WINDOWS\system32\DRIVERS\WlanUZXP.sys
S3 Asushwio;Asushwio;\??\C:\WINDOWS\system32\drivers\Asushwio.sys
S3 SjyPkt;SjyPkt;\??\C:\WINDOWS\System32\Drivers\SjyPkt.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4d70887a-9139-11dc-96f7-487444737531}]
\Shell\AutoRun\command - D:\Setup.exe

.
Inhalt des "geplante Tasks" Ordners
"2007-11-30 11:34:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-07 14:31:13
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-07 14:32:31 - machine was rebooted
.
--- E O F ---



Logfile of HijackThis v1.99.1
Scan saved at 14:38:44, on 07.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\VisualTaskTips\VisualTaskTips.exe
C:\Programme\ZyXEL\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\ZyXEL G-220 v2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Gran Paradiso\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\Neuer Ordner\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemonsearch.com/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programme\styler\TB\StylerTB.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: VisualTaskTips.lnk = C:\Programme\VisualTaskTips\VisualTaskTips.exe
O4 - Global Startup: ZyXEL G-220 v2 Wireless Adapter Utility-Programm.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E451-6B52

Verzeichnis von C:\WINDOWS\system32

07.12.2007 14:40 0 nmp.log
07.12.2007 14:32 2.206 wpa.dbl
07.12.2007 14:31 159.852 nvdb02.adghz
07.12.2007 14:29 1.080 settings.sfm
07.12.2007 14:29 11.564 DVCState-{00000003-00000000-00000007-00001102-00000004-20021102}.rfx
07.12.2007 14:29 1.080 settingsbkup.sfm
07.12.2007 14:29 32.088 BMXBkpCtrlState-{00000003-00000000-00000007-00001102-00000004-20021102}.rfx
07.12.2007 14:29 32.592 BMXState-{00000003-00000000-00000007-00001102-00000004-20021102}.rfx
07.12.2007 14:29 32.088 BMXCtrlState-{00000003-00000000-00000007-00001102-00000004-20021102}.rfx
07.12.2007 14:29 32.592 BMXStateBkp-{00000003-00000000-00000007-00001102-00000004-20021102}.rfx
06.12.2007 19:59 430.632 perfh009.dat
06.12.2007 19:59 446.600 perfh007.dat
06.12.2007 19:59 79.576 perfc007.dat
06.12.2007 19:59 67.356 perfc009.dat
06.12.2007 19:59 1.037.590 PerfStringBackup.INI
05.12.2007 17:16 1.242.354 WinRoot32.exe
04.12.2007 01:00 136.704 swsc.exe
24.11.2007 17:24 5.686 jupdate-1.6.0_03-b05.log
12.11.2007 17:39 107.888 CmdLineExt.dll
02.11.2007 08:12 18.238.072 MRT.exe
29.10.2007 16:35 123.904 xpsp3res.dll
25.10.2007 17:55 8.495.616 shell32.dll



achja das hat glaube ich mit der datei C:\WINDOWS\system32\mljgghe.dll zutun.
das zeigte aufjedenfall mein antivir immer an. nur momentan kommen keine meldungen mehr
Dieser Beitrag wurde am 07.12.2007 um 14:52 Uhr von Mattia editiert.
Seitenanfang Seitenende
07.12.2007, 17:05
raman
Moderator

Beiträge: 7805
#2 Die DLL hat Combofix ja auch geloescht. Aktualisiere bitte dein ANtivir, teste die Datei c:\windows\system32\WinRoot32.exe bei Jotti oder Virustotal und poste das Ergebniss
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
07.12.2007, 17:23
Mattia
Member

Themenstarter

Beiträge: 13
#3 jetzt stehn hier 2 sachen. was davon soll ich denn nun tun?
edit: hab jetzt einfach das mal bei jotti oder wie das heißt gemacht.

Datei: WinRoot32.exe
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-
Bit9 rapportiert: File not found

A-Squared
Keine Viren gefunden
AntiVir
HEUR/Crypted gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Generic_c.FOC gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
CPsecure
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Ikarus
Backdoor.Win32.IRCBot.abp gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
SDBot.gen8 gefunden
Panda Antivirus
Keine Viren gefunden
Rising Antivirus
Keine Viren gefunden
Sophos Antivirus
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden
Seitenanfang Seitenende
07.12.2007, 17:26
raman
Moderator

Beiträge: 7805
#4 Also benenne die DAtei mal um und schaue, was beim komplettscan mit Antivir noch alles gefunden wird.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
07.12.2007, 17:33
Mattia
Member

Themenstarter

Beiträge: 13
#5 hab bis jetzt alles gemacht was bissher beschrieben wurde. bin grad bei dem antivir scan. nur das mit dem umbennenen geht nicht

edit: wo ist denn nu die nachricht von arnold hin ?
Dieser Beitrag wurde am 07.12.2007 um 17:43 Uhr von Mattia editiert.
Seitenanfang Seitenende
07.12.2007, 17:57
raman
Moderator

Beiträge: 7805
#6 Arnold hat sein Posting und ich Chris Posting geloescht, damit der Thread nicht noch unuebersichtlicher wierd. Arnolds Tipp war dafuer, Combofix wieder zu deinstallieren.

Melde dich mit dem Antivir Report zurueck, wenn der Scan fertig ist.

Loeschen kannst du die Datei auch nicht?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
07.12.2007, 18:00
Mattia
Member

Themenstarter

Beiträge: 13
#7 du meinst diese datei oder : C:\WINDOWS\system32\mljgghe.dll ?

ich finde die garnicht mehr... irgendwie ist die weg.
bis jetzt hat antivir noch nichts gefunden.

ich danke euch schonmal für eure hilfe !

edit:

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Freitag, 7. Dezember 2007 17:41

Es wird nach 963523 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: SYSTEM
Computername: MATZE

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 13:16:24
AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 15:48:28
LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 15:32:43
LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 15:49:04
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13.09.2007 14:26:55
ANTIVIR2.VDF : 7.0.1.30 1575424 Bytes 30.11.2007 16:39:47
ANTIVIR3.VDF : 7.0.1.60 112128 Bytes 07.12.2007 16:39:47
AVEWIN32.DLL : 7.6.0.40 3064320 Bytes 07.12.2007 16:39:48
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 10:36:23
AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 07:16:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03.08.2007 08:46:00
AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 07:17:02
AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 12:26:28
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 07:10:14
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 11:09:03
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.08.2007 12:37:51
RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 12:50:28
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 09:37:21

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: F:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Freitag, 7. Dezember 2007 17:41

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nSvcIp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nSvcAppFlt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'swdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svcntaux.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZyXEL G-220 v2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VisualTaskTips.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDTrayApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTHELPER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '36' Prozesse mit '36' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '24' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'E:\'
Beginne mit der Suche in 'F:\'


Ende des Suchlaufs: Freitag, 7. Dezember 2007 18:20
Benötigte Zeit: 38:11 min

Der Suchlauf wurde vollständig durchgeführt.

5806 Verzeichnisse wurden überprüft
248762 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
248762 Dateien ohne Befall
1164 Archive wurden durchsucht
2 Warnungen
15 Hinweise

nichts dabei! müsste doch jetzt weg sein. oder? ach und soll ich bei Arbeitsplatz/systemwiederherstellung wieder anmachen ?
Dieser Beitrag wurde am 07.12.2007 um 19:27 Uhr von Mattia editiert.
Seitenanfang Seitenende
07.12.2007, 19:48
raman
Moderator

Beiträge: 7805
#8 Die DLL konnte nicht gefunden werden, da Combofix diese bereits geloescht hat. :

Zitat

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
C:\WINDOWS\system32\gebyv.dll
C:\WINDOWS\system32\jkklmnn.dll
C:\WINDOWS\system32\mljgedc.dll
Ich meinte die exe, die du bei Jotti getestet hast

Entschuldige, ich verghas zu sagen, das du dein Antivir weinstallen musst, wie hier beschrieben, befor du den Rechner pruefst: http://board.protecus.de/t23979.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
07.12.2007, 19:49
Mattia
Member

Themenstarter

Beiträge: 13
#9 gut dann lösch ich nun die datei die ich bei Jotti getestet habe und stell dann jetzt mein ativir ein

soll ich wirklich winroot 32 löschen?

edit: ich versuchs die ganze zeit zu löschen nur mein antivir hindert mich. weil es immer ne meldung gibt dann
Dieser Beitrag wurde am 07.12.2007 um 19:57 Uhr von Mattia editiert.
Seitenanfang Seitenende
07.12.2007, 19:57
raman
Moderator

Beiträge: 7805
#10 ;) Dann lass die DAtei von Antivir in Quarantaene schieben oder umbenennen...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
07.12.2007, 19:58
Mattia
Member

Themenstarter

Beiträge: 13
#11 aber is die denn dann auch weg ?
Seitenanfang Seitenende
07.12.2007, 20:00
raman
Moderator

Beiträge: 7805
#12 JA, zumindest ist sie dan deaktiviert/harmlos.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
07.12.2007, 20:03
Mattia
Member

Themenstarter

Beiträge: 13
#13 so habs erledigt. danke schonma. habe die einstellungen jetzt auch gemacht! muss ich jetzt noch irgendwas machen oder bin ich das dingen jetzt entgültig los?

edit: mhh mist hab dann jetzt nochmal antivir durchlaufen lassen und direkt am anfang kam eine meldung

C:\Exec.exe


nächste: 47be9a42.qua
Dieser Beitrag wurde am 07.12.2007 um 20:09 Uhr von Mattia editiert.
Seitenanfang Seitenende
07.12.2007, 20:13
raman
Moderator

Beiträge: 7805
#14 die qua kannst du ignorieren, die exec.exe teste biite wieder bei Jotti /Virustotal und schau, ob noch mehr gefunden wird.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
07.12.2007, 20:15
raman
Moderator

Beiträge: 7805
#15 Nachtrag, haenge bitte einmal den komplette datfind report an
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12