Möglicher Malware-Befall |
||
---|---|---|
#0
| ||
25.12.2007, 21:26
...neu hier
Beiträge: 9 |
||
|
||
25.12.2007, 21:36
Member
Beiträge: 3716 |
#2
1. stell deine ordneroptionen wie folgt ein:
arbeitsplatz öffnen,extras,ordneroptionen,ansicht - dateinamenerweiterungen bei bekannten dateitypen ausblenden off - inhalte von systemordnern einblenden on - geschützte systemdateien ausblenden off - versteckte dateien und ordner alle einblenden on 2. lad eine neue version von hijackthis instaliere sie und benenne die hijackthis.exe in hjt.com um, da sich malware vor der hijackthis.exe verstecken kann! www.zdnet.de/downloads/prg/n/m/deGNNM-wc.html - 58k - Erstelle und poste ein neues log! 3. lad combofix führe es nach anleitung aus schalte während des scans bitte antivir aus: http://download.bleepingcomputer.com/sUBs/ComboFix.exe bitte werend der reinigung mit combofix den guard sowie alle weiteren programme abschalten! 4. lad filelist.zip entpacke auf dem desktop starte deinen pc neu klicke dann auf filelist.bat und poste von jedem verzeichniss die jeweils letzten 30 tage. http://members.linzag.net/680262/filelist.zip bitte alles als text keine screenshots!! |
|
|
||
25.12.2007, 22:35
...neu hier
Themenstarter Beiträge: 9 |
#3
hier die logs!
hijackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:44:21, on 25.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: F:\WINDOWS\System32\smss.exe F:\WINDOWS\system32\csrss.exe F:\WINDOWS\system32\winlogon.exe F:\WINDOWS\system32\services.exe F:\WINDOWS\system32\lsass.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\system32\spoolsv.exe F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe F:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe F:\WINDOWS\System32\cisvc.exe F:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe F:\Programme\Mamutu\a2service.exe F:\WINDOWS\system32\oodag.exe F:\Programme\OO Software\CleverCache\ooccag.exe F:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\System32\wdfmgr.exe F:\WINDOWS\explorer.exe F:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe F:\Programme\OO Software\CleverCache\ooccctrl.exe F:\Programme\iTunes\iTunesHelper.exe F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe F:\PROGRAMME\MAMUTU\mamutu.exe F:\Programme\PeerGuardian2\pg2.exe F:\Programme\Spybot - Search & Destroy\TeaTimer.exe F:\Programme\iPod\bin\iPodService.exe F:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe F:\PROGRA~1\Grisoft\AVG7\avgemc.exe F:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe F:\Programme\Grisoft\AVG7\avgcc.exe F:\Programme\Internet Explorer\iexplore.exe F:\Programme\Trend Micro\HijackThis\hjt.exe F:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank F2 - REG:system.ini: Shell=F:\WINDOWS\explorer.exe O4 - HKLM\..\Run: [ooccctrl.exe] F:\Programme\OO Software\CleverCache\ooccctrl.exe /tasktray O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [avgnt] "F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Mamutu Guard] "F:\PROGRAMME\MAMUTU\mamutu.exe" /silent O4 - HKLM\..\Run: [AVG7_CC] F:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKCU\..\Run: [PeerGuardian] F:\Programme\PeerGuardian2\pg2.exe O4 - HKCU\..\Run: [CCleaner] "F:\Programme\CCleaner\CCleaner.exe" /AUTO O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] F:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - S-1-5-18 Startup: T-DSL Manager.lnk = ? (User 'SYSTEM') O4 - .DEFAULT Startup: T-DSL Manager.lnk = ? (User 'Default user') O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll O10 - Unknown file in Winsock LSP: f:\windows\system32\nwprovau.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{86B95B83-346E-43AC-9EC7-26FF13A24ACC}: NameServer = 217.237.151.205 217.237.148.70 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - F:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVG7\avgemc.exe O23 - Service: Hotspot Manager (HotSpotFSvc) - T-Systems Enterprise Services GmbH - F:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - F:\Programme\iPod\bin\iPodService.exe O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - F:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe O23 - Service: Mamutu Service (Mamutu) - Emsi Software GmbH - F:\Programme\Mamutu\a2service.exe O23 - Service: O&O Defrag - O&O Software GmbH - F:\WINDOWS\system32\oodag.exe O23 - Service: O&O CleverCache Agent (OOCleverCacheAgent) - O&O Software GmbH - F:\Programme\OO Software\CleverCache\ooccag.exe O23 - Service: T-DSL Manager (TDslMgrService) - T-Systems - F:\Programme\T-DSL Manager\DslMgrSvc.exe O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - F:\Programme\T-Online\DSL-Manager\TODslSvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - F:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe -- End of file - 5739 bytes Combofix: ComboFix 07-12-21.4 - ace 2007-12-25 21:48:43.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.576 [GMT 1:00] ausgeführt von:: F:\Dokumente und Einstellungen\ace\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . F:\WINDOWS\hosts F:\WINDOWS\regedit.com F:\WINDOWS\system32\drivers\npf.sys F:\WINDOWS\system32\packet.dll F:\WINDOWS\system32\taskmgr.com F:\WINDOWS\system32\wpcap.dll . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\nm -------\NPF ((((((((((((((((((((((( Dateien erstellt von 2007-11-25 bis 2007-12-25 )))))))))))))))))))))))))))))) . 2007-12-25 21:43 . 2007-12-25 21:43 <DIR> d-------- F:\Programme\Trend Micro 2007-12-25 14:45 . 2007-12-25 14:45 <DIR> d-------- F:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AVG7 2007-12-25 14:45 . 2007-12-25 14:48 <DIR> d-------- F:\Dokumente und Einstellungen\ace\Anwendungsdaten\AVG7 2007-12-25 14:44 . 2007-12-25 16:48 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg7 2007-12-25 14:05 . 2007-12-25 14:05 <DIR> d-------- F:\Programme\MultiMon 2007-12-25 13:55 . 2007-12-25 13:55 <DIR> d-------- F:\Programme\ObjMon 2007-12-25 09:24 . 2007-12-25 09:24 <DIR> d-------- F:\sav 2007-12-24 23:30 . 2007-12-24 23:30 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\logs 2007-12-24 22:56 . 2007-12-25 13:19 <DIR> d-------- F:\Programme\Sophos 2007-12-24 22:15 . 2007-12-25 13:40 <DIR> d-------- F:\Programme\NoAdware5.0 2007-12-24 22:02 . 2007-12-24 22:02 256 --a------ F:\WINDOWS\adaway.lic 2007-12-24 19:28 . 2007-12-24 19:28 31,138 --a------ F:\WINDOWS\system32\DRIVERS\Partizan.sys 2007-12-24 19:28 . 2007-12-24 19:28 25,600 --a------ F:\WINDOWS\system32\Partizan.exe 2007-12-24 19:27 . F:\WINDOWS\(2) F:\ComboFix\winstart.bat 2007-12-24 19:23 . 2007-12-24 19:26 <DIR> d-------- F:\Programme\eScan 2007-12-24 19:23 . 2006-07-31 03:52 339,968 --a------ F:\WINDOWS\system32\mwtsp.dll 2007-12-24 13:27 . 2007-12-24 13:39 <DIR> d-------- F:\Dokumente und Einstellungen\ace\DoctorWeb 2007-12-24 13:25 . 2007-12-25 10:11 501 --a------ F:\WINDOWS\system32\DRIVERS\fwdrv.err 2007-12-24 12:03 . 2007-12-24 12:03 <DIR> d-------- F:\Programme\ClearProg 2007-12-24 11:21 . 2007-12-24 11:21 <DIR> d-------- F:\Programme\CCleaner 2007-12-23 22:10 . 2007-12-23 23:14 349 --a------ F:\WINDOWS\gmer.ini 2007-12-23 12:10 . 2007-12-23 12:10 <DIR> d-------- F:\WINDOWS\system32\Kaspersky Lab 2007-12-23 12:10 . 2007-12-23 12:10 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2007-12-23 00:33 . 2007-12-23 10:45 <DIR> d-------- F:\WINDOWS\system32\ActiveScan 2007-12-23 00:33 . 2007-12-23 00:36 30,590 --a------ F:\WINDOWS\system32\pavas.ico 2007-12-23 00:12 . 2007-07-09 14:16 582,656 -----c--- F:\WINDOWS\system32\dllcache\rpcrt4.dll 2007-12-23 00:11 . 2007-09-27 17:11 297,984 -----c--- F:\WINDOWS\system32\dllcache\msctf.dll 2007-12-23 00:00 . 2007-06-13 14:10 1,036,288 -----c--- F:\WINDOWS\system32\dllcache\explorer.exe 2007-12-23 00:00 . 2007-03-08 16:36 579,072 -----c--- F:\WINDOWS\system32\dllcache\user32.dll 2007-12-23 00:00 . 2007-04-10 11:08 60,032 -----c--- F:\WINDOWS\system32\dllcache\usbaudio.sys 2007-12-23 00:00 . 2007-03-08 16:36 40,960 -----c--- F:\WINDOWS\system32\dllcache\mf3216.dll 2007-12-22 23:59 . 2007-06-19 14:31 282,112 -----c--- F:\WINDOWS\system32\dllcache\gdi32.dll 2007-12-22 23:58 . 2007-05-17 12:28 549,376 -----c--- F:\WINDOWS\system32\dllcache\oleaut32.dll 2007-12-22 23:55 . 2007-12-22 23:55 <DIR> d-------- F:\Programme\Microsoft CAPICOM 2.1.0.2 2007-12-22 23:54 . 2007-04-11 07:44 1,843,712 -----c--- F:\WINDOWS\system32\dllcache\win32k.sys 2007-12-22 23:54 . 2007-02-09 12:10 574,464 -----c--- F:\WINDOWS\system32\dllcache\ntfs.sys 2007-12-22 23:53 . 2007-12-22 23:53 <DIR> d-------- F:\Programme\MSXML 6.0 2007-12-22 23:53 . 2007-02-19 11:32 343,040 -----c--- F:\WINDOWS\system32\dllcache\msvcrt.dll 2007-12-22 23:53 . 2007-03-17 14:44 293,376 -----c--- F:\WINDOWS\system32\dllcache\winsrv.dll 2007-12-22 23:53 . 2007-02-05 21:18 185,856 -----c--- F:\WINDOWS\system32\dllcache\upnphost.dll 2007-12-22 23:51 . 2007-12-22 23:51 <DIR> d-------- F:\WINDOWS\system32\de-de 2007-12-22 23:51 . 2006-12-14 14:45 981,760 -----c--- F:\WINDOWS\system32\dllcache\mfc42u.dll 2007-12-22 23:51 . 2006-11-27 15:54 539,136 -----c--- F:\WINDOWS\system32\dllcache\msftedit.dll 2007-12-22 23:51 . 2006-11-27 15:54 433,152 -----c--- F:\WINDOWS\system32\dllcache\riched20.dll 2007-12-22 23:50 . 2007-02-28 17:06 2,140,160 -----c--- F:\WINDOWS\system32\dllcache\ntkrnlmp.exe 2007-12-22 23:50 . 2007-02-28 17:06 2,019,840 -----c--- F:\WINDOWS\system32\dllcache\ntkrpamp.exe 2007-12-22 23:50 . 2007-06-26 14:55 851,968 -----c--- F:\WINDOWS\system32\dllcache\vgx.dll 2007-12-22 23:50 . 2006-12-11 14:45 288,768 --------- F:\WINDOWS\system32\rhttpaa.dll 2007-12-22 23:50 . 2006-12-11 14:45 116,736 --------- F:\WINDOWS\system32\aaclient.dll 2007-12-22 23:50 . 2006-12-11 14:45 36,352 --------- F:\WINDOWS\system32\tsgqec.dll 2007-12-22 23:49 . 2007-08-21 07:16 683,520 -----c--- F:\WINDOWS\system32\dllcache\inetcomm.dll 2007-12-22 23:49 . 2007-05-16 16:12 85,504 -----c--- F:\WINDOWS\system32\dllcache\wabimp.dll 2007-12-22 23:44 . 2006-06-14 09:47 172,416 -----c--- F:\WINDOWS\system32\dllcache\kmixer.sys 2007-12-22 23:44 . 2006-06-14 10:00 82,944 -----c--- F:\WINDOWS\system32\dllcache\wdmaud.sys 2007-12-22 23:44 . 2006-06-26 18:40 8,192 -----c--- F:\WINDOWS\system32\dllcache\rasadhlp.dll 2007-12-22 23:44 . 2006-06-14 09:47 6,400 -----c--- F:\WINDOWS\system32\dllcache\splitter.sys 2007-12-22 23:42 . 2007-05-16 16:11 1,314,816 -----c--- F:\WINDOWS\system32\dllcache\msoe.dll 2007-12-22 23:42 . 2007-05-16 16:12 510,976 -----c--- F:\WINDOWS\system32\dllcache\wab32.dll 2007-12-22 23:42 . 2006-05-05 10:41 453,120 -----c--- F:\WINDOWS\system32\dllcache\mrxsmb.sys 2007-12-22 23:42 . 2006-04-20 12:51 359,808 -----c--- F:\WINDOWS\system32\dllcache\tcpip.sys 2007-12-22 23:42 . 2006-05-05 10:47 174,592 -----c--- F:\WINDOWS\system32\dllcache\rdbss.sys 2007-12-22 23:42 . 2007-05-16 16:11 86,528 -----c--- F:\WINDOWS\system32\dllcache\directdb.dll 2007-12-22 23:41 . 2006-03-17 01:38 28,672 --------- F:\WINDOWS\system32\verclsid.exe 2007-12-22 23:39 . 2007-12-22 23:39 <DIR> d-------- F:\WINDOWS\system32\de 2007-12-22 23:39 . 2006-01-10 00:10 184,320 --------- F:\WINDOWS\system32\microsoft.managementconsole.dll 2007-12-22 23:39 . 2006-01-10 00:11 106,496 --------- F:\WINDOWS\system32\mmcfxcommon.dll 2007-12-22 23:39 . 2006-01-11 02:20 33,792 --------- F:\WINDOWS\system32\mmcperf.exe 2007-12-22 23:30 . 2007-12-23 00:15 <DIR> d-------- F:\WINDOWS\$hf_mig$ 2007-12-22 23:06 . 2007-12-22 23:27 <DIR> d-------- F:\Programme\com! Update Pack Builder 2008 2007-12-22 19:52 . 2007-12-22 19:52 <DIR> d-------- F:\~ErdUserProfile.$$$ 2007-12-22 19:32 . 2007-12-22 19:32 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx 2007-12-22 19:32 . 2007-12-22 19:34 <DIR> d-------- F:\Dokumente und Einstellungen\ace\Anwendungsdaten\PrevxCSI 2007-12-22 16:52 . 2007-12-22 16:52 <DIR> d-------- F:\RkUnhooker 2007-12-22 16:31 . 2007-12-22 16:48 <DIR> d-------- F:\Programme\Mamutu 2007-12-22 16:16 . 2007-12-23 21:20 <DIR> d-------- F:\Programme\RootKit Hook Analyzer 2007-12-22 16:16 . 2007-01-21 17:42 9,472 --a------ F:\WINDOWS\system32\DRIVERS\rspsc.sys 2007-12-21 22:18 . 2007-12-21 22:18 <DIR> d-------- F:\Dokumente und Einstellungen\ace\Anwendungsdaten\Uniblue 2007-12-21 21:43 . 2007-12-21 21:43 <DIR> d-------- F:\RootkitNO 2007-12-21 21:12 . 2007-12-21 21:12 <DIR> d-------- F:\Dokumente und Einstellungen\ace\Anwendungsdaten\RegRun 2007-12-21 20:39 . 2007-12-21 20:39 <DIR> d-------- F:\Programme\Greatis 2007-12-21 20:39 . 2003-09-06 15:55 57,556 --a------ F:\WINDOWS\guard.bmp 2007-12-21 10:58 . 2007-12-21 10:58 <DIR> d-------- F:\Programme\Avira 2007-12-21 10:58 . 2007-12-21 10:58 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2007-12-20 06:41 . 2007-12-25 21:58 54,156 --ah----- F:\WINDOWS\QTFont.qfn 2007-12-20 06:41 . 2007-12-20 06:41 1,409 --a------ F:\WINDOWS\QTFont.for 2007-12-20 06:26 . 2007-12-20 06:26 0 --a------ F:\WINDOWS\vpc32.INI 2007-12-19 19:03 . 2007-12-20 18:43 <DIR> d-------- F:\Programme\Symantec 2007-12-19 19:03 . 2007-12-19 19:03 110,952 --a------ F:\WINDOWS\system32\DRIVERS\SYMEVENT.SYS 2007-12-19 19:03 . 2007-12-19 19:03 48,768 --a------ F:\WINDOWS\system32\S32EVNT1.DLL 2007-12-19 19:03 . 2007-12-19 19:03 8,014 --a------ F:\WINDOWS\system32\DRIVERS\SYMEVENT.CAT 2007-12-19 19:03 . 2007-12-19 19:03 805 --a------ F:\WINDOWS\system32\DRIVERS\SYMEVENT.INF 2007-12-19 18:54 . 2007-12-19 18:54 123 --a------ F:\WINDOWS\rootkitno.ini 2007-12-19 17:53 . 2007-12-19 10:10 202 --a------ F:\bootini.uns 2007-12-18 16:54 . 2007-12-18 16:58 6,904 --ahs---- F:\WINDOWS\system32\vvvwa.ini 2007-12-18 16:54 . 2007-12-18 16:58 6,739 --ahs---- F:\WINDOWS\system32\vvvwa.ini2 2007-12-11 17:12 . 2007-12-11 17:22 <DIR> d-------- F:\segelbilder 2007-11-30 22:06 . 2007-12-08 14:24 <DIR> d-------- F:\fm8picsneu 2007-11-28 12:33 . 2007-03-08 00:51 129,784 --------- F:\WINDOWS\system32\pxafs.dll 2007-11-28 12:33 . 2007-03-08 00:51 9,464 --------- F:\WINDOWS\system32\DRIVERS\cdralw2k.sys 2007-11-28 12:33 . 2007-03-08 00:51 9,336 --------- F:\WINDOWS\system32\DRIVERS\cdr4_xp.sys . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-25 20:45 --------- d-----w F:\Programme\PeerGuardian2 2007-12-25 20:34 --------- d-----w F:\Programme\firefoxbeta 2007-12-25 13:44 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft 2007-12-25 12:13 --------- d-----w F:\Programme\Sunbelt Software 2007-12-24 18:24 --------- d-----w F:\Programme\Gemeinsame Dateien\MicroWorld 2007-12-24 12:19 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2007-12-24 10:49 --------- d-----w F:\Programme\WinAce 2007-12-24 10:45 --------- d-----w F:\Programme\Gemeinsame Dateien\AVSMedia 2007-12-24 10:39 --------- d-----w F:\Programme\Ineta 2007-12-24 10:36 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\River Past G4 2007-12-22 20:06 --------- d-----w F:\Programme\TrojanHunter 4.6 2007-12-22 20:06 --------- d-----w F:\Programme\nbpro 2007-12-22 20:06 --------- d-----w F:\Programme\ICQ 2007-12-22 20:06 --------- d-----w F:\Programme\FlashFXP 2007-12-22 20:06 --------- d-----w F:\Programme\Direct Connect 2007-12-22 20:06 --------- d-----w F:\Programme\Audiograbber 2007-12-22 20:06 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-DSL Manager 2007-12-22 20:06 --------- d-----w F:\Dokumente und Einstellungen\ace\Anwendungsdaten\UseNeXT 2007-12-22 20:06 --------- d-----w F:\Dokumente und Einstellungen\ace\Anwendungsdaten\Azureus 2007-12-22 19:37 --------- d-----w F:\Programme\PCPitstop 2007-12-22 19:34 --------- d-----w F:\Programme\Eidos 2007-12-22 19:32 --------- d-----w F:\Programme\GrabIt Pro 6.02 2007-12-22 19:31 --------- d-----w F:\Programme\GrabIt 2007-12-22 19:31 --------- d-----w F:\Programme\Google 2007-12-22 19:31 --------- d-----w F:\Programme\FlusiFix-2006 2007-12-22 19:30 --------- d-----w F:\Programme\dvdSanta 2007-12-22 19:27 --------- d-----w F:\Programme\BEWERBUNGS-MASTER 2007-12-22 19:26 --------- d-----w F:\Programme\AviSynth 2.5 2007-12-22 19:26 --------- d-----w F:\Programme\Avi2Dvd 2007-12-22 19:25 --------- d-----w F:\Programme\a-squared Free 2007-12-20 17:43 --------- d-----w F:\Programme\Gemeinsame Dateien\Symantec Shared 2007-12-20 05:31 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec 2007-12-19 06:33 --------- d-----w F:\Programme\DAEMON Tools 2007-12-18 23:31 --------- d-----w F:\Programme\DaemonTools_WhenUSave_Installer 2007-12-18 15:49 --------- d---a-w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2007-12-18 15:46 --------- d-----w F:\Programme\Soulseek 2007-12-12 08:18 --------- d--h--w F:\Programme\InstallShield Installation Information 2007-12-09 13:43 --------- d-----w F:\Programme\The Adventure Company 2007-11-29 12:21 --------- d-----w F:\Programme\FM Modifier 2.2 2007-11-28 11:34 --------- d-----w F:\Programme\Winamp 2007-11-27 10:27 --------- d-----w F:\Dokumente und Einstellungen\ace\Anwendungsdaten\Apple Computer 2007-11-27 10:26 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer 2007-11-26 18:48 --------- d-----w F:\Programme\MP3Gain 2007-11-13 18:15 --------- d-----w F:\Programme\Soulseek-Test 2007-11-13 10:25 20,480 ----a-w F:\WINDOWS\system32\drivers\secdrv.sys 2007-11-05 07:42 413,696 ----a-w F:\WINDOWS\system32\wrap_oal.dll 2007-11-05 07:42 110,592 ----a-w F:\WINDOWS\system32\OpenAL32.dll 2007-11-04 12:26 --------- d-----w F:\Programme\THQ 2007-11-01 14:15 --------- d-----w F:\Programme\Aurora Das Letzte Experiment 2007-11-01 13:53 --------- d-----w F:\Programme\OpenAL 2007-11-01 13:51 --------- d-----w F:\Programme\dtp 2007-11-01 13:33 --------- d-----w F:\Programme\RTL_Playtainment 2007-11-01 12:56 --------- d-----w F:\Programme\CENEGA 2007-11-01 11:28 --------- d-----w F:\Programme\ANACONDA 2007-10-31 17:58 --------- d-----w F:\Programme\ArtMoney 2007-10-29 22:42 1,293,312 ------w F:\WINDOWS\system32\quartz.dll 2007-10-29 09:47 --------- d-----w F:\Programme\Hex-Editor MX 2007-10-23 13:11 114,688 ----a-w F:\WINDOWS\system32\wmatimer.dll 2007-10-20 05:01 227,328 ----a-w F:\WINDOWS\system32\wmasf.dll 2007-10-14 16:07 12,366 --sha-w F:\WINDOWS\system32\KGyGaAvL.sys 2007-10-11 14:39 107,888 ----a-w F:\WINDOWS\system32\CmdLineExt.dll 2007-09-27 16:11 297,984 ----a-w F:\WINDOWS\system32\msctf.dll 2007-08-06 09:35 1,800 ----a-w F:\Dokumente und Einstellungen\ace\aseinactive.dat 2007-01-27 10:06 1,800 ----a-w F:\Dokumente und Einstellungen\Administrator\aseinactive.dat 2007-01-26 22:45 14 ----a-w F:\Dokumente und Einstellungen\ace\getfile.dat 2001-11-23 04:08 712,704 ----a-w F:\WINDOWS\inf\OTHER\AUDIO3D.DLL 2006-07-21 12:29 56 --sh--r F:\WINDOWS\system32\9357005A4A.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PeerGuardian"="F:\Programme\PeerGuardian2\pg2.exe" [2005-09-18 17:40] "CCleaner"="F:\Programme\CCleaner\CCleaner.exe" [2007-11-22 17:10] "SpybotSD TeaTimer"="F:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ooccctrl.exe"="F:\Programme\OO Software\CleverCache\ooccctrl.exe" [2007-01-28 15:08] "iTunesHelper"="F:\Programme\iTunes\iTunesHelper.exe" [2007-11-15 13:11] "avgnt"="F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-21 11:01] "Mamutu Guard"="F:\PROGRAMME\MAMUTU\mamutu.exe" [2007-12-13 07:58] "AVG7_CC"="F:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-12-25 14:44] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="F:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57] "AVG7_Run"="F:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-12-25 14:44] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "SynchronousMachineGroupPolicy"= 0 (0x0) "SynchronousUserGroupPolicy"= 0 (0x0) [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Notification Packages REG_MULTI_SZ scecli scecli [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "Cmaudio"=RunDll32 cmicnfg.cpl,CMICtrlWnd "TkBellExe"="F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot R1 fwdrv;Firewall Driver;F:\WINDOWS\system32\drivers\fwdrv.sys [2006-07-18 12:02] R1 khips;Kerio HIPS Driver;F:\WINDOWS\system32\drivers\khips.sys [2006-07-18 12:02] R1 SSHDRV82;SSHDRV82;F:\WINDOWS\System32\drivers\SSHDRV82.sys [2005-06-21 17:33] R1 SSHDRV86;SSHDRV86;F:\WINDOWS\System32\drivers\SSHDRV86.sys [2005-04-21 12:12] R2 Mamutu;Mamutu Service;"F:\Programme\Mamutu\a2service.exe" [2007-12-13 07:58] R3 pgfilter;pgfilter;F:\Programme\PeerGuardian2\pgfilter.sys [2005-09-18 17:02] R3 RMSPPPOE;WAN Miniport (PPP over Ethernet Protocol);F:\WINDOWS\system32\DRIVERS\RMSPPPOE.SYS [2002-10-03 00:09] R3 uscbs109;uscbs109;F:\WINDOWS\system32\DRIVERS\uscbs109.sys [2005-03-21 23:00] R3 uscsc109;uscsc109;F:\WINDOWS\system32\DRIVERS\uscsc109.sys [2005-03-21 23:00] S3 HotSpotFSvc;Hotspot Manager;"F:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe" [2006-12-12 18:53] S3 MEMSWEEP2;MEMSWEEP2;F:\WINDOWS\system32\14.tmp [] S3 MMPSY;MMPSY;F:\DOKUME~1\ace\LOKALE~1\Temp\mmpsy.sys [2007-12-08 15:35] S3 Partizan;Partizan;F:\WINDOWS\system32\drivers\Partizan.sys [2007-12-24 19:28] S3 RSPSC;RSPSC;F:\WINDOWS\system32\drivers\rspsc.sys [2007-01-21 17:42] S3 scsiscan;SCSI-Scannertreiber;F:\WINDOWS\system32\DRIVERS\scsiscan.sys [2001-08-17 12:53] S3 TDslMgrService;T-DSL Manager;"F:\Programme\T-DSL Manager\DslMgrSvc.exe" [2006-12-18 17:45] S3 TODslService;T-Online DSL-Manager;"F:\Programme\T-Online\DSL-Manager\TODslSvc.exe" [2006-05-05 16:10] S3 USBAAPL;Apple Mobile USB Driver;F:\WINDOWS\system32\Drivers\usbaapl.sys [2007-10-31 14:09] S3 xlink;XLink Driver (xlink.sys);F:\WINDOWS\system32\Drivers\xlink.sys [2001-01-02 22:53] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ef8d04b7-f31f-11db-8594-806d6172696f}] \Shell\AutoRun\command - H:\autorun.exe *Newly Created Service* - PGFILTER . Inhalt des "geplante Tasks" Ordners "2007-12-21 16:15:00 F:\WINDOWS\Tasks\1-Klick-Wartung.job" - F:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe "2007-12-22 07:23:05 F:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - F:\Programme\Apple Software Update\SoftwareUpdate.exe "2007-12-25 20:57:10 F:\WINDOWS\Tasks\Startup Analyser.job" - F:\Programme\Greatis\RegRunSuite\TrojanAnalyser.exe./start . ************************************************************************** catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-25 22:01:01 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-12-25 22:03:34 - machine was rebooted filelist: ----- Root ----------------------------- Volume in Laufwerk F: hat keine Bezeichnung. Volumeseriennummer: 8C5B-88AC Verzeichnis von F:\ 25.12.2007 22:16 43 filelist.txt 25.12.2007 22:13 704.643.072 pagefile.sys 25.12.2007 22:03 19.007 ComboFix.txt 21.12.2007 21:43 212 Reslog.txt 19.12.2007 17:53 210 boot.ini 19.12.2007 10:10 202 bootini.uns 09.11.2007 19:52 1.425.654 unbenannt.bmp 04.11.2007 12:37 27.630.371 timeshift_01_101807_wmvlowwide.wmv 30 Datei(en) 762.463.108 Bytes 0 Verzeichnis(se), 13.993.553.920 Bytes frei ----- Windows -------------------------- Volume in Laufwerk F: hat keine Bezeichnung. Volumeseriennummer: 8C5B-88AC Verzeichnis von F:\WINDOWS 25.12.2007 22:15 54.156 QTFont.qfn 25.12.2007 22:14 303.279 WindowsUpdate.log 25.12.2007 22:14 157 wiadebug.log 25.12.2007 22:14 50 wiaservc.log 25.12.2007 22:14 2.048 bootstat.dat 25.12.2007 22:12 32.512 SchedLgU.Txt 25.12.2007 21:58 227 system.ini 24.12.2007 22:02 256 adaway.lic 24.12.2007 20:41 (2) winstart.bat 24.12.2007 19:26 1.572 win.ini 24.12.2007 17:57 50 Lic.xxx 23.12.2007 23:14 349 gmer.ini 23.12.2007 22:10 80 gmer_uninstall.cmd 23.12.2007 22:10 585.791 gmer.dll 22.12.2007 20:18 13.377 Partizan.txt 20.12.2007 06:41 1.409 QTFont.for 20.12.2007 06:26 0 vpc32.INI 19.12.2007 18:54 123 rootkitno.ini 28.11.2007 12:29 155 winamp.ini 26.11.2007 21:12 775 cdPlayer.ini 26.11.2007 21:10 116 NeroDigital.ini 154 Datei(en) 17.982.557 Bytes 0 Verzeichnis(se), 13.993.541.632 Bytes frei ----- System --- Volume in Laufwerk F: hat keine Bezeichnung. Volumeseriennummer: 8C5B-88AC ----- System 32 (Achtung: Zeitfenster beachten!) --- Volume in Laufwerk F: hat keine Bezeichnung. Volumeseriennummer: 8C5B-88AC Verzeichnis von F:\WINDOWS\system32 25.12.2007 22:13 374 PARTIZAN.TXT 25.12.2007 22:13 43.941 OODBS.lor 25.12.2007 22:01 62.344 perfc009.dat 25.12.2007 22:01 401.064 perfh009.dat 25.12.2007 22:01 415.470 perfh007.dat 25.12.2007 22:01 74.996 perfc007.dat 25.12.2007 22:01 966.250 PerfStringBackup.INI 25.12.2007 12:38 2.953 CONFIG.NT 24.12.2007 20:41 1.806 AUTOEXEC.NT 24.12.2007 19:28 25.600 Partizan.exe 23.12.2007 19:52 2.645 RootkitReveal.txt 23.12.2007 00:36 2.550 Uninstall.ico 23.12.2007 00:36 1.406 Help.ico 23.12.2007 00:36 30.590 pavas.ico 23.12.2007 00:23 121.336 FNTCACHE.DAT 23.12.2007 00:13 269.926 TZLog.log 21.12.2007 13:57 2.864 winsock.dll 21.12.2007 09:44 2.228 wpa.dbl 19.12.2007 19:03 48.768 S32EVNT1.DLL 18.12.2007 16:58 6.904 vvvwa.ini 18.12.2007 16:58 6.739 vvvwa.ini2 13.12.2007 21:26 156.160 swreg.exe 04.12.2007 01:00 136.704 swsc.exe 02.12.2007 15:00 18.684.536 MRT.exe 14.11.2007 23:43 65.536 QuickTimeVR.qtx 14.11.2007 23:43 49.152 QuickTime.qts 14.11.2007 08:26 450.560 jscript.dll 13.11.2007 12:31 60.416 tzchange.exe 05.11.2007 17:58 260.705 keys.txt 05.11.2007 08:42 413.696 wrap_oal.dll 05.11.2007 08:42 110.592 OpenAL32.dll ----- Prefetch ------------------------- Volume in Laufwerk F: hat keine Bezeichnung. Volumeseriennummer: 8C5B-88AC Verzeichnis von F:\WINDOWS\Prefetch 25.12.2007 22:16 13.698 FIND.EXE-0EC32F1E.pf 25.12.2007 22:16 21.004 CMD.EXE-087B4001.pf 25.12.2007 22:16 31.986 GETPOPUPINFO.EXE-0D9AB107.pf 25.12.2007 22:16 134.940 IPODSERVICE.EXE-233792DA.pf 25.12.2007 22:16 47.296 WUAUCLT.EXE-399A8E72.pf 25.12.2007 22:16 1.523.066 NTOSBOOT-B00DFAAD.pf 25.12.2007 22:11 25.140 KPF4GUI.EXE-00A05EE1.pf 25.12.2007 22:09 131.450 WINRAR.EXE-15760818.pf 25.12.2007 22:09 29.934 VERCLSID.EXE-3667BD89.pf 25.12.2007 22:08 86.296 IEXPLORE.EXE-2CA9778D.pf 25.12.2007 22:07 18.718 NOTEPAD.EXE-336351A9.pf 25.12.2007 22:06 17.360 DUMPREP.EXE-1B46F901.pf 25.12.2007 22:04 17.916 REGEDIT.EXE-1B606482.pf 25.12.2007 22:03 34.838 LISTDLLS.CFEXE-163777B3.pf 25.12.2007 22:03 11.600 NIRCMD.EXE-1F7FED22.pf 25.12.2007 22:03 28.436 CATCHME.CFEXE-0F2A0789.pf 25.12.2007 22:03 21.442 NIRCMD.CFEXE-19FF4781.pf 25.12.2007 22:03 22.064 FINDSTR.EXE-0CA6274B.pf 25.12.2007 22:03 8.370 GREP.CFEXE-20443039.pf 25.12.2007 22:03 30.396 SED.CFEXE-268D7E58.pf 25.12.2007 22:03 30.318 DUMPHIVE.CFEXE-2ED3B134.pf 25.12.2007 22:02 31.054 CSCRIPT.EXE-1C26180C.pf 25.12.2007 22:01 7.770 MTEE.CFEXE-1E067BC7.pf 25.12.2007 22:01 9.584 SWREG.CFEXE-2BF4FFCD.pf 25.12.2007 22:01 37.736 WMIPRVSE.EXE-28F301A9.pf 25.12.2007 22:01 9.412 VFIND.CFEXE-2033727F.pf 25.12.2007 22:01 13.882 SORT.EXE-194AE83C.pf 25.12.2007 21:58 16.100 TEATIMER.EXE-38E505A8.pf 25.12.2007 21:58 52.320 CCleaner.EXE-065E2F3F.pf 25.12.2007 21:58 32.766 PG2.EXE-100DE05D.pf 25.12.2007 21:58 5.484 AVGCC.EXE-062F63C6.pf 25.12.2007 21:58 51.612 OOCCCTRL.EXE-2C669B45.pf 25.12.2007 21:58 63.388 ITUNESHELPER.EXE-08906EB7.pf 25.12.2007 21:58 33.310 MAMUTU.EXE-32AFC12E.pf 25.12.2007 21:58 55.860 AVGNT.EXE-18356F59.pf 25.12.2007 21:58 15.834 REGT.CFEXE-15DB5DAE.pf 25.12.2007 21:54 52.494 ERDNT.EXE-1C370E1D.pf 25.12.2007 21:54 94.246 ERUNT.CFEXE-039977DB.pf 25.12.2007 21:54 4.514 HANDLE.CFEXE-13427ED2.pf 25.12.2007 21:54 12.118 ATTRIB.EXE-39EAFB02.pf 25.12.2007 21:54 48.792 REGSVR32.EXE-25EEFE2F.pf 25.12.2007 21:54 8.604 SWXCACLS.CFEXE-365F7973.pf 25.12.2007 21:53 8.242 SWSC.CFEXE-3B4FE4FE.pf 25.12.2007 21:49 34.822 CIDAEMON.EXE-27AE97A4.pf 25.12.2007 21:48 98.206 EXPLORER.EXE-082F38A9.pf 25.12.2007 21:48 4.262 SF.CFEXE-164B3B2D.pf 25.12.2007 21:48 14.122 SETPATH.CFEXE-034E3D26.pf 25.12.2007 21:47 3.132 MOVEEX.CFEXE-01B74CA8.pf 25.12.2007 21:47 13.338 ROUTE.EXE-371D32DE.pf 25.12.2007 21:47 6.248 CHCP.COM-18156052.pf 25.12.2007 21:46 45.426 COMBOFIX.EXE-33414BA3.pf 25.12.2007 21:44 21.150 HJT.EXE-368680AC.pf 25.12.2007 21:43 19.046 HIJACKTHIS.EXE-39024128.pf 25.12.2007 21:43 16.308 HJTINSTALL.EXE-366EC6A6.pf 25.12.2007 21:38 66.910 WINWORD.EXE-0AEA99D4.pf 25.12.2007 21:34 41.304 FIREFOX.EXE-06B22EE6.pf 25.12.2007 21:11 14.256 RUNDLL32.EXE-451FC2C0.pf 25.12.2007 21:10 87.988 MSIMN.EXE-0B61806C.pf 25.12.2007 20:52 52.630 PSP.EXE-349851F5.pf 25.12.2007 20:48 44.928 REANIMATOR.EXE-129F8F7A.pf 25.12.2007 20:45 19.000 HIJACKTHIS.EXE-2CC4CC46.pf 25.12.2007 20:43 40.204 SPYBOTSD.EXE-1D495A65.pf 25.12.2007 20:25 19.366 WORDPAD.EXE-1EFCC5C1.pf 25.12.2007 19:47 71.562 MSIEXEC.EXE-2F8A8CAE.pf 25.12.2007 19:13 28.266 TASKMGR.EXE-20256C55.pf 25.12.2007 18:09 11.848 MRT.EXE-1B4A8D49.pf 25.12.2007 18:09 9.648 MRTSTUB.EXE-078360D5.pf 25.12.2007 18:09 53.404 WINDOWS-KB890830-V1.36.EXE-28CD2153.pf 25.12.2007 17:20 26.642 ICQLITE.EXE-2AEFACA7.pf 25.12.2007 16:59 44.698 AVGVV.EXE-026D165B.pf 25.12.2007 16:59 25.910 AVGDIAG.EXE-0384146D.pf 25.12.2007 14:47 51.078 AVGWA.DAT-31187633.pf 25.12.2007 14:46 33.630 AVGW.EXE-151CD72B.pf 25.12.2007 14:46 34.666 AVGINET.EXE-06CECD28.pf 25.12.2007 14:45 32.218 AVGWB.DAT-1DE6677F.pf 25.12.2007 14:45 41.658 AVGCC.EXE-2ED1199D.pf 25.12.2007 14:45 10.608 AVGUPSVC.EXE-0DA751F2.pf 25.12.2007 14:45 36.926 AVGEMC.EXE-38E59DAC.pf 25.12.2007 14:45 42.040 AVGAMSVR.EXE-22E996D2.pf 25.12.2007 14:44 53.556 AVGSETUP.EXE-033F4C43.pf 25.12.2007 14:44 57.184 AVG75AVWT_516A1225.EXE-35C25C08.pf 25.12.2007 14:36 87.820 DFRGNTFS.EXE-269967DF.pf 25.12.2007 14:36 21.480 DEFRAG.EXE-273F131E.pf 25.12.2007 14:35 429.146 Layout.ini 25.12.2007 14:05 31.018 MM.EXE-2200B7B9.pf 25.12.2007 14:05 20.448 MMTRI.TMP-098BD929.pf 25.12.2007 14:05 19.420 MMTRI.EXE-0FDC56BF.pf 25.12.2007 13:56 21.988 OBJMON.EXE-263E70BD.pf 25.12.2007 13:55 19.808 IS-5MKSD.TMP-31793725.pf 25.12.2007 13:55 17.830 OBJMONSETUP.EXE-1B1F5FC3.pf 25.12.2007 13:49 43.718 REANIMATOR.EXE-2D2C7A65.pf 25.12.2007 13:40 18.784 _IU14D2N.TMP-27094B83.pf 25.12.2007 13:40 19.914 UNINS000.EXE-190ECE47.pf 25.12.2007 13:15 55.162 RUNDLL32.EXE-49F57934.pf 25.12.2007 13:14 13.164 UNINS000.EXE-2436BDA4.pf 25.12.2007 13:14 15.268 ADAWAY.EXE-293F88C6.pf 25.12.2007 13:14 13.474 UNINS000.EXE-2B26B9AC.pf 25.12.2007 13:13 30.688 SBCSSVC.EXE-1237A9F8.pf 25.12.2007 13:13 52.670 COUNTERSPY.EXE-2C1EF53B.pf 25.12.2007 13:12 23.910 SAVPROGRESS.EXE-1028BDF7.pf 25.12.2007 13:12 45.880 SAVMAIN.EXE-295C72AE.pf 25.12.2007 13:12 16.550 RUNONCE.EXE-2803F297.pf 25.12.2007 13:12 16.772 GRPCONV.EXE-111CD845.pf 25.12.2007 13:12 22.320 RUNDLL32.EXE-2AA5ED5C.pf 25.12.2007 13:09 29.710 RUNDLL32.EXE-127AA482.pf 25.12.2007 13:09 25.594 RUNDLL32.EXE-383821E4.pf 25.12.2007 13:03 18.370 SBCSTRAY.EXE-17DF728D.pf 25.12.2007 13:03 37.862 SBWSC.EXE-37CEE674.pf 25.12.2007 12:48 47.814 UPDATE.EXE-3A80F1D2.pf 25.12.2007 12:48 19.706 PREUPD.EXE-18CBCD87.pf 25.12.2007 12:48 43.946 ALMON.EXE-343B0CDC.pf 25.12.2007 10:00 56.006 ASHDISP.EXE-0B874892.pf 25.12.2007 09:59 10.578 WDFMGR.EXE-2CF4013B.pf 25.12.2007 09:59 19.138 SVCHOST.EXE-3530F672.pf 25.12.2007 09:59 52.542 ALSVC.EXE-1BAD42EA.pf 25.12.2007 09:33 73.496 ALUPDATE.EXE-07285CF1.pf 25.12.2007 09:33 48.652 SAVADMINSERVICE.EXE-33A6968B.pf 25.12.2007 09:33 66.386 SAVSERVICE.EXE-16C8C2B7.pf 25.12.2007 09:27 47.896 RUNDLL32.EXE-143F3DC9.pf 25.12.2007 09:25 23.434 SETUP.OVR-10EB9DE2.pf 25.12.2007 09:25 94.044 AVAST.SETUP-2B043760.pf 25.12.2007 09:24 21.848 SETUP.EXE-370BD98B.pf 25.12.2007 09:23 35.712 SAVW70SASFX.EXE-0F832D3B.pf 25.12.2007 06:02 22.984 RASAUTOU.EXE-18B88A68.pf 24.12.2007 22:12 15.022 REGEDIT.COM-08A42FB8.pf 24.12.2007 19:11 18.514 MWAVL.EXE-21A642C9.pf 24.12.2007 19:11 82.984 MWAV.EXE-3424B138.pf 22.12.2007 19:38 30.898 UNHACKME.EXE-104BF885.pf 21.12.2007 20:33 18.762 UNHACKME.EXE-217E2011.pf 21.12.2007 17:52 18.528 UNHACKME.EXE-1E1AAFB7.pf 130 Datei(en) 6.317.236 Bytes 0 Verzeichnis(se), 13.993.410.560 Bytes frei ----- Tasks ---------------------------- Volume in Laufwerk F: hat keine Bezeichnung. Volumeseriennummer: 8C5B-88AC Verzeichnis von F:\WINDOWS\tasks 25.12.2007 22:14 336 Startup Analyser.job 25.12.2007 22:14 6 SA.DAT 22.12.2007 08:23 276 AppleSoftwareUpdate.job 21.12.2007 17:15 392 1-Klick-Wartung.job 18.08.2001 13:00 65 desktop.ini 5 Datei(en) 1.075 Bytes 0 Verzeichnis(se), 13.993.414.656 Bytes frei ----- Windows/Temp ----------------------- Volume in Laufwerk F: hat keine Bezeichnung. Volumeseriennummer: 8C5B-88AC Verzeichnis von F:\WINDOWS\Temp ----- Temp ----------------------------- Volume in Laufwerk F: hat keine Bezeichnung. Volumeseriennummer: 8C5B-88AC Verzeichnis von F:\DOKUME~1\ace\LOKALE~1\Temp |
|
|
||
26.12.2007, 11:08
Member
Beiträge: 3716 |
#4
hi, stell antivir so ein:
http://board.protecus.de/t23979.htm zusätzlich masterbootsektoren durchsuchen on - rootkitsuche on update antivir lasse einen scann über alle deine festplatten laufen. achtung!!! wenn eine meldung appl/mirc.cmd oder änlich auftaucht, bitte ignorieren, handelt sihc um combofix. sonst alles in quarantäne log posten |
|
|
||
26.12.2007, 14:11
...neu hier
Themenstarter Beiträge: 9 |
#5
hier mein antivirlog:
AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Mittwoch, 26. Dezember 2007 11:14 Es wird nach 992122 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: SYSTEM Computername: ACE-0IW8LPQDDC9 Versionsinformationen: BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 13:16:24 AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 15:48:28 LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 15:32:43 LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 15:49:04 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15 ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14.12.2007 10:01:21 ANTIVIR2.VDF : 7.0.1.96 2048 Bytes 14.12.2007 10:01:21 ANTIVIR3.VDF : 7.0.1.154 279040 Bytes 25.12.2007 10:12:15 AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 21.12.2007 10:01:22 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 10:36:23 AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 07:16:50 AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24 AVPACK32.DLL : 7.6.0.2 360488 Bytes 21.12.2007 10:01:22 AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 07:17:02 AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 12:26:28 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 07:10:14 NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 11:09:03 RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.08.2007 12:37:51 RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 12:50:28 SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 09:37:21 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: f:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: K:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: ein Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Mittwoch, 26. Dezember 2007 11:14 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '87306' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'kpf4gui.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'pg2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgcc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mamutu.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ooccctrl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'kpf4gui.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ooccag.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'oodag.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'a2service.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'kpf4ss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgemc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgupsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgamsvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '37' Prozesse mit '37' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [HINWEIS] Es wurde kein Virus gefunden! Masterbootsektor HD1 [HINWEIS] Es wurde kein Virus gefunden! Masterbootsektor HD2 [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'F:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'J:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'K:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '31' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\proggies\Zealot.-.All.Video.Splitter.v1.2.6-UCF.rar [0] Archivtyp: RAR --> keygen.All.Video.Splitter.v1.2.6.rar [1] Archivtyp: RAR --> keygen.exe [FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/FSG). Bitte verifizieren Sie den Ursprung dieser Datei. [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47d32dca.qua' verschoben! C:\proggies\Zealot.-.All.Video.Splitter.v1.2.6-UCF\keygen.All.Video.Splitter.v1.2.6.rar [0] Archivtyp: RAR --> keygen.exe [FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/FSG). Bitte verifizieren Sie den Ursprung dieser Datei. [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47eb2e0a.qua' verschoben! Beginne mit der Suche in 'F:\' F:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! F:\Dokumente und Einstellungen\ace\Desktop\ComboFix.exe [0] Archivtyp: RAR SFX (self extracting) --> nircmd.exe [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.3 --> nircmd.cfexe [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.3 [WARNUNG] Die Datei wurde ignoriert. F:\Programme\ArtMoney\artmoney.dll [FUND] Enthält Erkennungsmuster des SPR/HookDLL.B-Programmes [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e636ed.qua' verschoben! F:\System Volume Information\_restore{374BC271-FCAB-47B2-AEAB-2D769436A01E}\RP2\A0000058.exe [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47a24131.qua' verschoben! F:\System Volume Information\_restore{374BC271-FCAB-47B2-AEAB-2D769436A01E}\RP2\A0000101.dll [FUND] Enthält Erkennungsmuster des SPR/HookDLL.B-Programmes [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47a2413a.qua' verschoben! F:\WINDOWS\system32\DRIVERS\atapi.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! F:\WINDOWS\system32\DRIVERS\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'J:\' <Volume> Beginne mit der Suche in 'K:\' <SICHERUNG> Ende des Suchlaufs: Mittwoch, 26. Dezember 2007 13:48 Benötigte Zeit: 2:34:29 min Der Suchlauf wurde vollständig durchgeführt. 14711 Verzeichnisse wurden überprüft 403850 Dateien wurden geprüft 7 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 5 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 3 Dateien konnten nicht durchsucht werden 403843 Dateien ohne Befall 2328 Archive wurden durchsucht 4 Warnungen 72 Hinweise 87306 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden |
|
|
||
26.12.2007, 14:22
Member
Beiträge: 3716 |
#6
hi, erstelle bitte einen neuen ordner namens böse
gehe nun in die antivir quarantäne und wähle diese datei [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47d32dca.qua' verschoben! bitte dann wiederherstellen in auswählen und hier hochladen: http://www.virustotal.com/en/indexf.html bitte das ergebniss mit tabellenkopf und additional information posten. diese datei musst du wieder herstellen: F:\Programme\ArtMoney\artmoney.dll [FUND] Enthält Erkennungsmuster des SPR/HookDLL.B-Programmes [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e636ed.qua' verschoben! brauchst du sicher wieder... bitte in quarantäne gehen wiederherstellen wählen. du kannst den ordner bzw. die datei als ausnahme auswählen in dem du unter konfiguration auf guard und ausname gehst und sie einträgst, und in der suche musst du das selbe machen.. nach dem posten der ergebnisse machen wir rootkitscans aber dazu gleich mehr |
|
|
||
26.12.2007, 15:27
...neu hier
Themenstarter Beiträge: 9 |
#7
Datei Zealot.-.All.Video.Splitter.v1.2. empfangen 2007.12.26 15:15:14 (CET)Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.26.10 2007.12.26 - AntiVir 7.6.0.46 2007.12.26 - Authentium 4.93.8 2007.12.26 - Avast 4.7.1098.0 2007.12.26 - AVG 7.5.0.516 2007.12.25 - BitDefender 7.2 2007.12.26 - CAT-QuickHeal 9.00 2007.12.25 (Suspicious) - DNAScan ClamAV 0.91.2 2007.12.26 - DrWeb 4.44.0.09170 2007.12.26 - eSafe 7.0.15.0 2007.12.25 suspicious Trojan/Worm eTrust-Vet 31.3.5400 2007.12.24 - Ewido 4.0 2007.12.26 - FileAdvisor 1 2007.12.26 - Fortinet 3.14.0.0 2007.12.26 PossibleThreat F-Prot 4.4.2.54 2007.12.25 - F-Secure 6.70.13030.0 2007.12.26 - Ikarus T3.1.1.15 2007.12.26 Win32.SuspectCrc Kaspersky 7.0.0.125 2007.12.26 - McAfee 5192 2007.12.24 - Microsoft 1.3109 2007.12.26 - NOD32v2 2747 2007.12.25 - Norman 5.80.02 2007.12.26 - Panda 9.0.0.4 2007.12.25 Suspicious file Prevx1 V2 2007.12.26 - Rising 20.24.21.00 2007.12.26 - Sophos 4.24.0 2007.12.26 Mal/Packer Sunbelt 2.2.907.0 2007.12.21 - Symantec 10 2007.12.26 - TheHacker 6.2.9.168 2007.12.22 - VBA32 3.12.2.5 2007.12.26 - VirusBuster 4.3.26:9 2007.12.26 Packed/FSG Webwasher-Gateway 6.6.2 2007.12.26 Packer.FSG weitere Informationen File size: 2110115 bytes MD5: 03b1de5ca9dfcecd337f6fba251b3b50 SHA1: 87844d756cb81f62088847f5adb42d84a2f48bbf PEiD: - packers: FSG |
|
|
||
26.12.2007, 16:14
Member
Beiträge: 3716 |
#8
hi, würdest du die datei bitte an avira senden:
http://analysis.avira.com/samples/index.php bitte die antwort von avira hier posten und die datei so lang wiededr der quarantäne hinzufügen |
|
|
||
26.12.2007, 16:16
Member
Beiträge: 3716 |
#9
weiterhin führe diese rootkitscans aus:
http://www.hijackthis-forum.de/showthread.php?t=20219 chatchme: http://www.hijackthis-forum.de/showthread.php?t=26821 bitte poste alle logs |
|
|
||
27.12.2007, 01:29
...neu hier
Themenstarter Beiträge: 9 |
#10
Von Antivir hab ich noch keine Antwort erhalten, bei AVG Antirootkit, Bitdefender Antirootkit und
Panda Antirootkit hatte ich leider nicht die Möglichkeit ein Log-File zu speichern, die haben aber nichts gefunden. Ich hab die restlichen Logfiles in ein einer textdatei angehangen da sie zu lang für den Post waren EDIT: hab nun eine antwort von Antivir bekommen Sehr geehrte Dame, sehr geehrter Herr, Vielen Dank für Ihre Email an Avira's Virenlabor. Auftragsnummer: INC00109821. Wir haben folgende Archivdateien empfangen: Datei ID Dateiname Größe (Byte) Ergebnis 3606694 Zealot.-.All.Vide...CF.rar 2.01 MB OK Eine Auflistung der Dateien und Ergebnisse, die in Archiven enthalten waren, sind im folgenden aufgeführt: Datei ID Dateiname Größe (Byte) Ergebnis 3606695 file_id.diz 564 Byte CLEAN 3606696 allsplitter.exe 2.01 MB CLEAN 3606697 ucf10yrs.nfo 6.65 KB CLEAN 3606698 Zealotsoft.All.Vi....6.txt 777 Byte CLEAN 3606699 keygen.exe 38.22 KB FALSE POSITIVE Anhang: logs.txt Dieser Beitrag wurde am 28.12.2007 um 20:17 Uhr von gecko2004 editiert.
|
|
|
||
29.12.2007, 10:43
Ehrenmitglied
Beiträge: 6028 |
#11
Entferne auf C:\ Qoobox-->Papierkorb leeren
Du benutzt neben Antivir auch noch AVG,Eins zuviel Du hast neben diese 2 auch noch eScan und Rootkitscanner drauf Saubere dein Rechner von al diesen scanner Spybot S&D TeaTimer Bitte den TeaTimer von Spybot S & D deaktivieren: C:\Programme\Spybot - Search & Destroy\TeaTimer.exe abstellen! Starte dazu Spybot S&D, deaktiviere den "Resident "TeaTimer". Klicke auf "Advanced mode" > "JA" > "Tools" -Menu > klicke auf "Resident" > das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller Systemeinstellungen) > "exit". (der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!) Download ResetTeaTimer zum Desktop Doppelklik ResetTeaTimer Wenn dein Rechner wieder sauber ist kannst du TeaTimer wieder einschalten! CombiFix entfernen Start > Ausführen>Kopiere rein Combofix /U OK Ewido Micro Scanne mit Ewido Micro Danach wähle remove infections __________ MfG Argus |
|
|
||
29.12.2007, 13:31
Ehrenmitglied
Beiträge: 1441 |
#12
Hallo gecko2004
das hier gehoert zum Vundo-Virus, sollte geloescht werden: Verzeichnis von F:\WINDOWS\system32 18.12.2007 16:58 6.904 vvvwa.ini 18.12.2007 16:58 6.739 vvvwa.ini2 am besten, den Vundofix anwenden: http://www.virus-protect.org/artikel/tools/vundofixx.html wenn das erledigt ist, scanne mit sophos im normalmodus. http://www.virus-protect.org/artikel/tools/sdfix.html du kannst auch sdfix im abgesicherten modus anwenden + das Log hier posten Gruss Pinguin __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
29.12.2007, 16:30
...neu hier
Themenstarter Beiträge: 9 |
#13
@ Arnold
Hab alles so gemacht wie du es geschrieben hast, ewido hat aber nichts gefunden. @pinguin Vundofix hat merkwürdigerweise nichts gefunden, hab die Dateien von Hand gelöscht, interessant war, das der Haken bei geschütze Systemdateien ausblenden wieder gesetzt war, und ich hab das garantiert nicht so eingestellt.. hab sdfix im abgesicherten modus laufen lassen hier mal das log: SDFix: Version 1.120 Run by ace on 29.12.2007 at 15:48 Microsoft Windows XP [Version 5.1.2600] Running From: F:\SDFix Safe Mode: Checking Services: Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting... Normal Mode: Checking Files: Trojan Files Found: F:\WINDOWS\system32\TFTP1652 - Deleted F:\WINDOWS\system32\TFTP1720 - Deleted F:\WINDOWS\system32\TFTP1868 - Deleted F:\WINDOWS\system32\TFTP3808 - Deleted Removing Temp Files... ADS Check: F:\WINDOWS No streams found. F:\WINDOWS\system32 No streams found. F:\WINDOWS\system32\svchost.exe No streams found. F:\WINDOWS\system32\ntoskrnl.exe No streams found. Final Check: catchme 0.3.1333.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-29 16:01:15 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... IPC error: 2 Das System kann die angegebene Datei nicht finden. scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg] "s1"=dword:fd81d653 "s2"=dword:637e5eec "h0"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:74,85,c1,63,de,60,4f,f9,a2,44,b1,e7,ed,c4,cf,e0,55,08,f7,2e,cd,.. "p0"="F:\Programme\DAEMON Tools\" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "khjeh"=hex:b8,e5,16,cb,52,87,84,1b,88,a0,66,7e,b5,73,3f,4d,95,58,6d,45,25,.. "a0"=hex:20,01,00,00,93,05,71,98,38,a5,65,d2,4f,18,f0,e6,a5,a8,84,9f,15,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:62,46,7d,b5,0f,be,d8,d9,e1,50,7d,28,3a,85,48,60,06,b8,1f,54,57,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41] "khjeh"=hex:40,e7,31,15,83,1a,de,46,23,b5,ac,39,ee,3f,92,05,dd,09,f1,2f,34,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:6e,fc,27,e8,aa,ed,ba,6a,31,c4,55,09,37,a1,ea,ca,03,2d,20,0f,1c,.. "p0"="F:\Programme\DAEMON Tools\" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,8f,3e,c3,29,74,8a,f0,29,e3,61,78,f6,f1,e2,cc,35,d1,.. "khjeh"=hex:27,6e,95,0b,3e,fd,b9,48,11,98,91,05,9f,a2,02,6c,aa,f1,40,c1,7a,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:6d,a4,94,5a,bc,d4,83,a0,6d,04,2b,5a,f5,0a,b9,39,75,10,b9,14,1c,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:6e,fc,27,e8,aa,ed,ba,6a,31,c4,55,09,37,a1,ea,ca,03,2d,20,0f,1c,.. "p0"="F:\Programme\DAEMON Tools\" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,8f,3e,c3,29,74,8a,f0,29,e3,61,78,f6,f1,e2,cc,35,d1,.. "khjeh"=hex:27,6e,95,0b,3e,fd,b9,48,11,98,91,05,9f,a2,02,6c,aa,f1,40,c1,7a,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:6d,a4,94,5a,bc,d4,83,a0,6d,04,2b,5a,f5,0a,b9,39,75,10,b9,14,1c,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:6e,fc,27,e8,aa,ed,ba,6a,31,c4,55,09,37,a1,ea,ca,03,2d,20,0f,1c,.. "p0"="F:\Programme\DAEMON Tools\" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,8f,3e,c3,29,74,8a,f0,29,e3,61,78,f6,f1,e2,cc,35,d1,.. "khjeh"=hex:27,6e,95,0b,3e,fd,b9,48,11,98,91,05,9f,a2,02,6c,aa,f1,40,c1,7a,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:6d,a4,94,5a,bc,d4,83,a0,6d,04,2b,5a,f5,0a,b9,39,75,10,b9,14,1c,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:74,85,c1,63,de,60,4f,f9,a2,44,b1,e7,ed,c4,cf,e0,55,08,f7,2e,cd,.. "p0"="F:\Programme\DAEMON Tools\" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "khjeh"=hex:b8,e5,16,cb,52,87,84,1b,88,a0,66,7e,b5,73,3f,4d,95,58,6d,45,25,.. "a0"=hex:20,01,00,00,93,05,71,98,38,a5,65,d2,4f,18,f0,e6,a5,a8,84,9f,15,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:62,46,7d,b5,0f,be,d8,d9,e1,50,7d,28,3a,85,48,60,06,b8,1f,54,57,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41] "khjeh"=hex:40,e7,31,15,83,1a,de,46,23,b5,ac,39,ee,3f,92,05,dd,09,f1,2f,34,.. scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] Remaining Files: --------------- File Backups: - F:\SDFix\backups\backups.zip Files with Hidden Attributes: Fri 21 Jul 2006 56 ..SHR --- "F:\WINDOWS\system32\9357005A4A.sys" Sun 14 Oct 2007 12,366 A.SH. --- "F:\WINDOWS\system32\KGyGaAvL.sys" Sat 21 Jun 2003 377,344 A..H. --- "F:\Programme\Smart Projects\IsoBuster\Help\AHlp.exe" Finished! |
|
|
||
29.12.2007, 17:56
Ehrenmitglied
Beiträge: 1441 |
#14
das System ist/war voll kompromitiert... siehe die FTP-Server, die sich im System eingenistet hatten - und vollen Zugriff drauf hatten....
scanne mit Sophos (im normalmodus) und poste den report http://www.virus-protect.org/artikel/tools/sdfix.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
29.12.2007, 22:35
...neu hier
Themenstarter Beiträge: 9 |
#15
Sophos Scan:
Sophos Anti-Virus Version 4.25.0 [Win32/Intel] Virus data version 4.25E, January 2008 Includes detection for 332156 viruses, trojans and worms Copyright (c) 1989-2008 Sophos Plc, www.sophos.com System time 20:56:29, System date 29 December 2007 Command line qualifiers are: -f -nb --stop-scan IDE directory is: F:\SDFix\IDE Using IDE file revkey-a.ide Using IDE file cargar-a.ide Using IDE file startp-w.ide Using IDE file autoru-y.ide Using IDE file ldpin-rg.ide Using IDE file killa-ed.ide Using IDE file sillyp-a.ide Using IDE file agen-gis.ide Using IDE file patch-c.ide Using IDE file dloa-bgi.ide Using IDE file mailb-ci.ide Using IDE file silly-bp.ide Using IDE file ppntdr-a.ide Using IDE file agen-giq.ide Using IDE file rbot-gvk.ide Using IDE file goopo-a.ide Using IDE file ambler-a.ide Using IDE file spy-ad.ide Using IDE file dload-ab.ide Using IDE file bank-ejw.ide Using IDE file sdbo-djc.ide Using IDE file rbot-gvm.ide Using IDE file agen-gia.ide Using IDE file poison-n.ide Using IDE file torpi-by.ide Using IDE file cekar-e.ide Using IDE file nutpea-a.ide Using IDE file rbot-gvl.ide Using IDE file access-a.ide Using IDE file psyme-fx.ide Using IDE file drpr-gen.ide Using IDE file agen-ghn.ide Using IDE file dloa-bfz.ide Using IDE file delf-ezi.ide Using IDE file agen-ght.ide Using IDE file zlob-fam.ide Using IDE file bckd-qkk.ide Using IDE file votera-a.ide Using IDE file banlo-et.ide Using IDE file agen-gil.ide Using IDE file sdbo-dje.ide Using IDE file autoru-s.ide Using IDE file dwnl-gzh.ide Using IDE file banco-ak.ide Using IDE file trats-a.ide Using IDE file smit-a.ide Using IDE file jetdro-a.ide Using IDE file dropp-sr.ide Using IDE file delf-ezc.ide Using IDE file autoru-x.ide Using IDE file autoru-t.ide Using IDE file sohan-ap.ide Using IDE file tagbot-a.ide Using IDE file zlob-ago.ide Using IDE file mabeza-b.ide Using IDE file agen-ghm.ide Using IDE file zlob-agj.ide Using IDE file hupig-sv.ide Using IDE file wiepaz-a.ide Using IDE file psyme-gb.ide Using IDE file blehs-a.ide Using IDE file zbot-b.ide Using IDE file mypi-fam.ide Using IDE file silly-tl.ide Using IDE file psyme-gc.ide Using IDE file silly-tt.ide Using IDE file tanto-g.ide Using IDE file banlo-eu.ide Using IDE file atax-a.ide Using IDE file strat-tl.ide Using IDE file looke-eb.ide Using IDE file agen-giu.ide Using IDE file pws-apl.ide Using IDE file agen-giv.ide Using IDE file spybo-of.ide Using IDE file feebs-bz.ide Using IDE file buzzit-b.ide Using IDE file agen-giy.ide Using IDE file proxy-ib.ide Using IDE file ymworm-a.ide Using IDE file framer-b.ide Using IDE file bankd-dc.ide Using IDE file rbot-gvo.ide Using IDE file ircbo-zm.ide Using IDE file etap-a.ide Using IDE file dloa-bgr.ide Using IDE file conho-al.ide Using IDE file agen-gjg.ide Using IDE file dwnl-gzs.ide Using IDE file silly-bq.ide Using IDE file agen-gjl.ide Using IDE file tibspk-b.ide Using IDE file drop-d.ide Using IDE file kenfa-a.ide Using IDE file bdoo-aiy.ide Using IDE file agen-gjq.ide Using IDE file linea-cu.ide Using IDE file agen-gjr.ide Using IDE file dloa-bgs.ide Using IDE file agen-gju.ide Using IDE file mutrk-a.ide Using IDE file linea-cv.ide Using IDE file bancb-qr.ide Using IDE file ranck-fs.ide Using IDE file bdoo-ajb.ide Using IDE file agen-ghf.ide Using IDE file hupig-sx.ide Using IDE file cimuz-cs.ide Using IDE file nmism-a.ide Using IDE file dorf-aj.ide Using IDE file vbdrop-e.ide Using IDE file vb-dyd.ide Using IDE file tibs-tv.ide Using IDE file dorf-ak.ide Using IDE file dload-ae.ide Using IDE file bbdos-a.ide Using IDE file virtin-a.ide Using IDE file dload-af.ide Using IDE file dload-ag.ide Using IDE file vb-dye.ide Using IDE file dorf-am.ide Using IDE file autor-ad.ide Using IDE file onlin-ag.ide Using IDE file agen-gkh.ide Using IDE file hoxi-b.ide Using IDE file bank-ekh.ide Using IDE file vb-dyf.ide Using IDE file drop-e.ide Full Scanning Could not open F:\WINDOWS\system32\DRIVERS\sptd.sys 4 boot sectors swept. 49983 files swept in 1 hour, 15 minutes and 15 seconds. 1 error was encountered. No viruses were discovered. Ending Sophos Anti-Virus. |
|
|
||
ich hab seit letzter Woche ein Problem mit möglichem Malware-Befall. Mein Bruder hat eine wohl gehackte Internetseite aufgerufen,
wurde umgeleitet und auf einmal meldete die Firewall einen Eindringsversuch und danach hatte ich eine Tempbroit.exe auf meinem
Rechner. Hab danach gegoogelt und gelesen das Regrun das Teil wohl problemlos entfernt, hat es dann auch, aber leider hat es noch etwas
gefunden: screenshot1Das Programm kann es aber nicht löschen, da die Datei anscheinend schon gelöscht ist oder aber von einem Rootkit
versteckt wird. Die angegebenen Einträge gibt es bei mir nicht auf dem Rechner. Aber irgendwo her muss Regrun diesen Eintrag ja herhaben.
Ich hab nur einnen unbenannten vxd-driver als Bezug screenshot2 , krieg aber keine näheren Angaben. Entfernen läßt sich dieser Treiber
auch nicht. (Unbekannter Fehler), ich hab jetzt so ziemlich alle online-scanner drüberlaufen lassen, aber nichts gefunden.
Der Rechner läuft eigentlich normal, bis auf das merkwürdigerweise die Internetexplorersicherheitsbestimmungen auf minimal heruntergestellt
wurden. Das klingt vielleicht jetzt ein bischen Paranoid, aber irgendwas stimmt da nicht. Ich hoffe mir kann da jemand weiterhelfen.