hartnäckige Spyware

#0
09.04.2008, 21:19
Member

Beiträge: 16
#1 Hallo.
Durch das Ausführen eines Acitve-X Steuerelements wurde der Virus trotz sofortigen Erkennens von Avira AntiVir übertragen. Von da an erscheint in der rechten unteren Ecke in der Taskleiste ein Symbol, bei welchem in einer Sprechblase angezeigt wird, es wäre Spyware auf dem PC, die Meldung wird verursacht durch ein von mir niemals gesehenes/verwendetes Schein-Anti-Vir Programm, also eine Art Fake-Alarm. Nach mehrfachen Scans mit diversen Programmen +Combofix etc wurden zwar einige Dinge erkannt, aber das Problem nicht gefixt.

Code

Logfile of HijackThis v1.99.1
Scan saved at 20:17:00, on 09.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\STacSV.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\Dit.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Razer\Copperhead\razerhid.exe
C:\WINDOWS\sttray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Razer\Copperhead\razerofa.exe
C:\Programme\MSI\Bluetooth Software\BTTray.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Java\jre1.6.0_03\bin\jucheck.exe
C:\Dokumente und Einstellungen\Fudi\Desktop\AntiVIrZeugs\1_99_1.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7C109800-A5D5-438F-9640-18D17E168B88} - C:\Programme\NetProject\sbmdl.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: Internet Service - {51D81DD5-55B7-497F-95DB-D356429BB54E} - C:\Programme\NetProject\wamdl.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Adobe reader] C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [taskmgra] C:\WINDOWS\system32\taskmgra.com
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [igndlm.exe] C:\Programme\IGN\Download Manager\DLM.exe /windowsstart /startifwork
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\MSI\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.ieservicegate.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.ieservicegate.com/redirect.php (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (CDownloadCtrl Object) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.2.100.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-CH/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117025058968
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {C49134CC-B5EF-458C-A442-E8DFE7B4645F} (YYGInstantPlay Control) - http://www.yoyogames.com/downloads/activex/YoYo.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\STacSV.exe
Uninstall-List

Code

Ad-Aware 2007
Adobe Flash Player 9 ActiveX
Adobe Flash Player ActiveX
Adobe Photoshop Elements 2.0
Adobe Reader 7.0.9 - Deutsch
Age of Conan - Hyborian Adventures
Age of Conan - Hyborian Adventures
ATI - Dienstprogramm zur Deinstallation der Software
ATI AVIVO Codecs
ATI Catalyst Control Center
ATI Display Driver
ATI HYDRAVISION
ATI MCE Transcode
ATI Parental Control & Encoder
ATI Problem Report Wizard
Avira AntiVir PersonalEdition Classic
Azureus
Battlefield 1942
Battlefield 2(TM)
Battlefield Vietnam(TM)
Battleracer
Bluetooth Software
Borland C++Builder 6
C-Media High Definition Audio Driver
Command & Conquer Renegade
Corel Uninstaller
DarkSpace
Desert Conflict v0.16 Beta
Dev-C++ 5 beta 9 release (4.9.9.2)
DivX Content Uploader
DivX Player
DivX Pro
DivX Web Player
DosBox-Starter 1.6
eMule Plus 1.2b
EuropeMapleStory
Free MSN Emoticons Pack 1
Frontlines: Fuel of War Beta
Fury
Game Maker 7.0
GameSpy Arcade
Generic USB CardReader 2.0
Gigabyte Raid Configurer
Google Toolbar for Internet Explorer
Gothic II
Gothic III
GUILD WARS
GuildWars Visions v1.07
GW Team Builder 1.1.2
HijackThis 1.99.1
Hotfix for Windows XP (KB915865)
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows XP (KB893357)
Hotfix für Windows XP (KB914440)
HP Extended Capabilities 5.3
HP Image Zone Express
HP Imaging Device Functions 5.3
HP PSC & OfficeJet 5.3.B
HP Software Update
HP Solution Center & Imaging Support Tools 5.3
ICQ  Toolbar
ICQ 5.1
IGN Download Manager 2.3.2
Intel(R) Management Engine Interface
Intel(R) PRO Network Connections 12.1.12.0
Internet Service
J2SE Runtime Environment 5.0 Update 2
Java 2 Runtime Environment, SE v1.4.2_06
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) SE Runtime Environment 6 Update 1
Joint Operations: Typhoon Rising
LimeWire 4.16.6
Macromedia Shockwave Player
MinGW 5.1.3
mIRC
ModJive
Mozilla Firefox (1.5.0.12)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
Nero Suite
Pack Vista Inspirat 2 1.0
Point of Existence
Point of Existence
PowerDVD
PunkBuster for Joint Operations: Typhoon Rising
PunkBuster für Battlefield Vietnam
QuickTime
Razer Copperhead
REALTEK GbE & FE Ethernet PCI-E NIC Driver
Sandbox
Schadensrechner
Secure Browsing
SigmaTel Audio
Skype™ 3.6
Sony Ericsson Themes Creator 3.17
Star Wars Battlefront II
System Requirements Lab
Tastaturschreiben
TeamSpeak 2 RC2
Updaterollup 1 für Windows XP Media Center Edition 2005 (KB873369)
Ventrilo Client
VentriloMIX
VideoLAN VLC media player 0.8.6c
WarRock
Westwood Shared Internet Components
Windows-Sicherungsprogramm
WinRAR archiver
WORLD IN CONFLICT
WORLD IN CONFLICT - DEMO
World In Conflict Editor
Worms 4 Mayhem
Xfire (remove only)
Xvid 1.1.2 final uninstall
Datfind bat

.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 5C9A-9D55

Verzeichnis von C:\WINDOWS\system32

09.04.2008 20:10 12'598 wpa.dbl
09.04.2008 13:40 200'936 FNTCACHE.DAT
09.04.2008 13:02 13'312 rkvdr.dll
09.04.2008 12:51 404'424 perfh009.dat
09.04.2008 12:51 76'470 perfc007.dat
09.04.2008 12:51 420'120 perfh007.dat
09.04.2008 12:51 62'948 perfc009.dat
09.04.2008 12:51 975'638 PerfStringBackup.INI
06.04.2008 07:56 19'836'024 MRT.exe
20.03.2008 10:03 1'845'376 win32k.sys
01.03.2008 18:24 3'591'680 mshtml.dll
01.03.2008 14:54 826'368 wininet.dll
01.03.2008 14:54 233'472 webcheck.dll
01.03.2008 14:54 44'544 pngfilt.dll
01.03.2008 14:54 105'984 url.dll
01.03.2008 14:54 1'159'680 urlmon.dll
01.03.2008 14:54 102'912 occache.dll
01.03.2008 14:54 193'024 msrating.dll
01.03.2008 14:54 671'232 mstime.dll
01.03.2008 14:54 478'208 mshtmled.dll
01.03.2008 14:53 52'224 msfeedsbs.dll
01.03.2008 14:53 459'264 msfeeds.dll
01.03.2008 14:53 1'831'424 inetcpl.cpl
01.03.2008 14:53 27'648 jsproxy.dll
01.03.2008 14:53 267'776 iertutil.dll
01.03.2008 14:53 44'544 iernonce.dll
01.03.2008 14:53 6'066'176 ieframe.dll
01.03.2008 14:53 384'512 iedkcs32.dll
01.03.2008 14:53 153'088 ieakeng.dll
01.03.2008 14:53 63'488 icardie.dll
01.03.2008 14:53 383'488 ieapfltr.dll
01.03.2008 14:53 133'120 extmgr.dll
01.03.2008 14:53 230'400 ieaksie.dll
01.03.2008 14:53 214'528 dxtrans.dll
01.03.2008 14:53 347'136 dxtmsft.dll
01.03.2008 14:53 124'928 advpack.dll
29.02.2008 10:54 70'656 ie4uinit.exe
22.02.2008 12:00 13'824 ieudinit.exe
20.02.2008 08:50 282'624 gdi32.dll
20.02.2008 07:33 45'568 dnsrslvr.dll
20.02.2008 07:33 148'992 dnsapi.dll
15.02.2008 07:44 161'792 ieakui.dll
13.02.2008 19:55 4'096 crash
13.02.2008 16:12 12'598 wpa.bak
Seitenanfang Seitenende
09.04.2008, 21:28
Moderator

Beiträge: 7805
#2 Der Report von Combofix waere sehr hilfreich und was hat Antivir wo gefunden.

Achja, stelle antivir bitte so ein: http://board.protecus.de/t23979.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
09.04.2008, 21:38
Member

Themenstarter

Beiträge: 16
#3 das ganze combofix logfile?

Code

ComboFix 08-04-08.10 - Fudi 2008-04-09 19:38:51.2 - NTFSx86 MINIMAL
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.1737 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Fudi\Desktop\ComboFix.exe

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.
TimedOut: progfile.dat

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\Cfx32.lic
C:\WINDOWS\system32\cfx32.ocx

.
(((((((((((((((((((((((   Dateien erstellt von 2008-03-09 bis 2008-04-09  ))))))))))))))))))))))))))))))
.

2008-04-09 19:23 . 2008-04-09 19:23    <DIR>    d--------    C:\Programme\[url="http://www.ccleaner.de"]CCleaner[/url]
2008-04-09 13:19 . 2008-04-09 16:11    <DIR>    d--------    C:\Programme\NetProject
2008-03-29 20:21 . 2008-03-29 20:21    <DIR>    d--------    C:\Programme\LimeWire
2008-03-29 20:21 . 2008-03-29 21:23    <DIR>    d--------    C:\Dokumente und Einstellungen\Fudi\Anwendungsdaten\LimeWire
2008-03-19 19:36 . 2008-03-19 19:36    <DIR>    d--------    C:\Programme\Enterbrain
2008-03-12 22:18 . 2008-03-12 22:18    <DIR>    d--------    C:\WINDOWS\.jagex_cache_32
2008-03-12 19:43 . 2008-03-12 19:50    <DIR>    d--------    C:\Programme\DosBox
2008-03-12 19:43 . 1998-06-24 01:00    209,192    --a------    C:\WINDOWS\system32\TabCtl32.Ocx
2008-03-12 19:38 . 2008-03-12 19:50    <DIR>    d--------    C:\Programme\DOSBox-0.72
2008-03-12 19:31 . 2008-03-12 19:53    <DIR>    d--------    C:\DUNGEON2

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-09 17:29    ---------    d-----w    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-04-09 17:00    17,408    ----a-w    C:\WINDOWS\system32\drivers\USBCRFT.SYS
2008-04-09 13:18    ---------    d-----w    C:\Programme\Spybot - Search & Destroy
2008-04-09 11:55    ---------    d---a-w    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-04-09 11:02    13,312    --s-a-w    C:\WINDOWS\system32\rkvdr.dll
2008-03-20 08:03    1,845,376    ----a-w    C:\WINDOWS\system32\win32k.sys
2008-03-05 19:31    ---------    d-----w    C:\Dokumente und Einstellungen\Fudi\Anwendungsdaten\Image Zone Express
2008-03-02 22:20    ---------    d-----w    C:\Dokumente und Einstellungen\Fudi\Anwendungsdaten\mIRC
2008-03-02 18:52    ---------    d-----w    C:\Programme\mIRC
2008-03-02 15:36    ---------    d-----w    C:\Programme\Gemeinsame Dateien\Borland Shared
2008-03-02 15:32    ---------    d-----w    C:\Programme\Borland
2008-03-01 12:54    826,368    ----a-w    C:\WINDOWS\system32\wininet.dll
2008-02-29 19:46    ---------    d-----w    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\media center programs
2008-02-28 18:20    ---------    d-----w    C:\Dokumente und Einstellungen\Fudi\Anwendungsdaten\teamspeak2
2008-02-28 16:23    ---------    d-----w    C:\Programme\Funcom
2008-02-21 18:21    ---------    d-----w    C:\Programme\GW Team Builder
2008-02-20 06:50    282,624    ----a-w    C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33    45,568    ----a-w    C:\WINDOWS\system32\dnsrslvr.dll
2008-02-15 20:01    ---------    d-----w    C:\Dokumente und Einstellungen\Fudi\Anwendungsdaten\Skype
2008-02-15 19:16    ---------    d-----w    C:\Dokumente und Einstellungen\Fudi\Anwendungsdaten\skypePM
2008-02-15 10:37    ---------    d--h--w    C:\Programme\InstallShield Installation Information
2008-02-15 10:21    271,360    ----a-w    C:\WINDOWS\system32\drivers\atksgt.sys
2008-02-15 10:21    18,048    ----a-w    C:\WINDOWS\system32\drivers\lirsgt.sys
2008-02-14 06:37    ---------    d-----w    C:\Dokumente und Einstellungen\Fudi\Anwendungsdaten\Turbine
2008-02-13 22:54    ---------    d-----w    C:\Dokumente und Einstellungen\Fudi\Anwendungsdaten\GetRightToGo
2008-02-13 22:40    ---------    d-----w    C:\Programme\SystemRequirementsLab
2008-02-13 22:31    ---------    d-----w    C:\Programme\LotRO_freeTrial
2008-02-13 21:00    ---------    d-----w    C:\Programme\Intel Desktop Board
2008-02-13 14:13    ---------    d-----w    C:\Programme\SigmaTel
2008-02-13 14:04    ---------    d-----w    C:\Programme\Intel
2008-02-12 21:34    ---------    d-----w    C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-12 16:21    ---------    d-----w    C:\Dokumente und Einstellungen\Martina\Anwendungsdaten\ATI
2008-02-12 15:41    ---------    d-----w    C:\Programme\Realtek
2008-02-12 15:35    315,392    ----a-w    C:\WINDOWS\HideWin.exe
2008-02-12 15:31    ---------    d-----w    C:\Dokumente und Einstellungen\Fudi\Anwendungsdaten\ATI
2008-02-12 15:31    ---------    d-----w    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-02-12 15:24    ---------    d-----w    C:\Programme\Gemeinsame Dateien\ATI Technologies
2008-02-12 15:24    ---------    d-----w    C:\Programme\ATI Technologies
2008-02-12 14:58    15,600    ----a-w    C:\WINDOWS\gdrv.sys
2008-01-05 19:37    32    ----a-w    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2006-05-17 12:18    167,936    ----a-w    C:\Programme\SkypeSetup.exe
2004-07-22 09:51    3,432,656    ----a-w    C:\Programme\ManagedDX.CAB
2004-07-19 21:58    1,156,363    ----a-w    C:\Programme\BDANT.cab
2004-07-19 21:53    976,020    ----a-w    C:\Programme\BDAXP.cab
2004-07-09 13:17    13,265,040    ----a-w    C:\Programme\dxnt.cab
2004-07-09 08:13    703,080    ----a-w    C:\Programme\BDA.cab
2004-07-09 08:13    15,493,481    ----a-w    C:\Programme\DirectX.cab
2004-07-09 03:08    472,576    ----a-w    C:\Programme\dxsetup.exe
2004-07-09 03:08    2,242,560    ----a-w    C:\Programme\dsetup32.dll
2004-07-09 02:03    62,976    ----a-w    C:\Programme\DSETUP.dll
2005-06-02 06:34    8    --sh--r    C:\WINDOWS\system32\2CF0B6DC1D.sys
2005-06-02 06:34    4,704    --sha-w    C:\WINDOWS\system32\KGyGaAvL.sys
.

------- Sigcheck -------

2007-06-13 15:21  978944  01a48faef0ffc2e6a0763de98f5ba4a6    C:\WINDOWS\explorer.exe
2007-06-13 15:10  1036288  331ed93570baf3cfe30340298762cd56    C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2004-08-10 14:00  1035264  22fe1be02eadde1632e478e4125639e0    C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2007-06-13 15:21  978944  01a48faef0ffc2e6a0763de98f5ba4a6    C:\WINDOWS\system32\dllcache\explorer.exe
.
((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7C109800-A5D5-438F-9640-18D17E168B88}]
2008-04-09 13:52    10240    --a------    C:\Programme\NetProject\sbmdl.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{51D81DD5-55B7-497F-95DB-D356429BB54E}"= "C:\Programme\NetProject\wamdl.dll" [2008-04-09 13:19 86528]

[HKEY_CLASSES_ROOT\clsid\{51d81dd5-55b7-497f-95db-d356429bb54e}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{51D81DD5-55B7-497F-95DB-D356429BB54E}"= C:\Programme\NetProject\wamdl.dll [2008-04-09 13:19 86528]

[HKEY_CLASSES_ROOT\clsid\{51d81dd5-55b7-497f-95db-d356429bb54e}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 14:00 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-18 12:59 68856]
"igndlm.exe"="C:\Programme\IGN\Download Manager\DLM.exe" [2007-03-05 13:57 1103480]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04 1415824]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2004-08-10 04:04 59392]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" []
"Dit"="Dit.exe" [2004-07-20 18:18 90112 C:\WINDOWS\Dit.exe]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24 32768]
"Adobe reader"="C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" [2005-09-23 23:05 29696]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2004-06-03 10:50 204800]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-12 00:12 49152]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-08-24 11:23 155648]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-17 13:22 249896]
"taskmgra"="C:\WINDOWS\system32\taskmgra.com" [ ]
"razer"="C:\Programme\Razer\Copperhead\razerhid.exe" [2005-10-08 17:27 155648]
"JMB36X IDE Setup"="C:\WINDOWS\JM\JMInsIDE.exe" [2006-10-30 14:44 36864]
"36X Raid Configurer"="C:\WINDOWS\system32\JMRaidSetup.exe" [2007-02-06 14:08 1953792]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 13:35 90112]
"SigmatelSysTrayApp"="sttray.exe" [2007-09-26 10:33 303104 C:\WINDOWS\sttray.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 14:00 15360]

C:\Dokumente und Einstellungen\Fudi\Startmen\Programme\Autostart\
RocketDock.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-19 00:05:02 630784]
TransBar.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-06-01 21:41:18 65536]
UberIcon.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-05-21 09:43:08 180224]
Y'z Shadow.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-05-21 09:43:14 155648]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-02-15 19:17:29 110592]
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26 29696]
BTTray.lnk - C:\Programme\MSI\Bluetooth Software\BTTray.exe [2004-03-31 17:13:32 507965]
Corel MEDIA FOLDERS INDEXER 8.LNK - C:\Corel\Graphics8\Programs\MFIndexer.exe [2006-03-15 14:18:39 83456]
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-12 00:23:26 282624]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{65bbf06c-ea06-4818-92a3-f3550d0e1004}"= C:\WINDOWS\system32\rkvdr.dll [2008-04-09 13:02 13312]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\explorer]
--a------ 2007-11-15 22:41 4684 C:\WINDOWS\system32\explori.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSKAGENTEXE]
C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-07-18 12:59 68856 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\Xfire\\Xfire.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\Sierra Entertainment\\WORLD IN CONFLICT - DEMO\\wic.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\GameSpy Arcade\\Aphex.exe"=
"C:\\Westwood\\Renegade\\Game2.exe"=
"C:\\Programme\\Sierra Entertainment\\WORLD IN CONFLICT\\wic.exe"=
"C:\\Programme\\Sierra Entertainment\\WORLD IN CONFLICT\\wic_online.exe"=
"C:\\Programme\\Sierra Entertainment\\WORLD IN CONFLICT\\wic_ds.exe"=
"C:\\WINDOWS\\system32\\mmc.exe"=
"C:\\Programme\\EA GAMES\\Battlefield 1942\\BF1942.exe"=
"C:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"C:\\Programme\\THQ\\Frontlines-Fuel of War Beta\\Binaries\\FFOW-Beta.exe"=
"C:\\Dokumente und Einstellungen\\Fudi\\Eigene Dateien\\downloads\\gm\\StickOnline.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\YoYoGames\\yoyo70.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\WINDOWS\\system32\\rundll32.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"D:\\Programme\\Fury\\Binaries\\Fury.exe"=
"D:\\Programme\\Fury\\Binaries\\DiamondWare\\dwTVC.exe"=
"C:\\Programme\\mIRC\\mirc.exe"=

S1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2007-09-14 17:38]
S3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-02-23 12:57]
S3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2003-06-05 08:04]
S3 CardReaderFilter;Card Reader Filter;C:\WINDOWS\system32\Drivers\USBCRFT.SYS [2008-04-09 19:00]
S3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys []
S3 gdrv;gdrv;C:\WINDOWS\gdrv.sys [2008-02-12 16:58]
S3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2003-06-12 08:47]
S3 PRISM_A00;CREATIX 802.11g Driver;C:\WINDOWS\system32\DRIVERS\PRISMA00.sys [2004-01-16 10:31]
S3 Razerlow;Razer Copperhead Driver;C:\WINDOWS\system32\Drivers\Razerlow.sys [2005-08-12 11:11]
S3 XDva007;XDva007;C:\WINDOWS\system32\XDva007.sys []

.
**************************************************************************

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-09 19:42:16
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-09 19:43:34
ComboFix-quarantined-files.txt  2008-04-09 17:43:24
ComboFix2.txt  2007-09-13 11:40:46
              23 Verzeichnis(se), 16,002,297,856 Bytes frei
              26 Verzeichnis(se), 16,001,499,136 Bytes frei
.
2008-04-09 11:02:59    --- E O F ---  
AntiVir

Zitat

In der Datei 'C:\Dokumente und Einstellungen\Fudi\Lokale Einstellungen\Temp\zfe3.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Zlob.ABMP.17' [TR/Dldr.Zlob.ABMP.17] gefunden.
Ausgeführte Aktion: Datei löschen
Seitenanfang Seitenende
09.04.2008, 22:23
Moderator

Beiträge: 7805
#4 Nutze bitte die Smitfraudfix Reinigung: http://siri.urz.free.fr/Fix/SmitfraudFix_De.php

Danach erstelle mit Hijackthis 2.02 ein Report, fixe den dort auftauchenden O22 Eintrag mit dem Dateinamen rkvdr.dll und starte neu.

Danach mit Hijackthis 2.02 ein neuen Report erstellen und posten. Den Rest gibts morgen
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
10.04.2008, 11:09
Member

Themenstarter

Beiträge: 16
#5 Ich konnte den 022-Eintrag nicht finden, aber nach der Smitfraudfix-Reinigung erscheint zumindest dieses fake Symbol von wegen Anti-Virus in der Taskleiste nicht mehr.
Seitenanfang Seitenende
10.04.2008, 11:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 dann wende noch mal Combofix an + poste das neue Log
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.04.2008, 15:21
Member

Themenstarter

Beiträge: 16
#7

Code

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:06:21, on 11.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Adobe reader] C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [taskmgra] C:\WINDOWS\system32\taskmgra.com
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [igndlm.exe] C:\Programme\IGN\Download Manager\DLM.exe /windowsstart /startifwork
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\MSI\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (CDownloadCtrl Object) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.2.100.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-CH/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117025058968
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {C49134CC-B5EF-458C-A442-E8DFE7B4645F} (YYGInstantPlay Control) - http://www.yoyogames.com/downloads/activex/YoYo.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\STacSV.exe

--
End of file - 8418 bytes
Seitenanfang Seitenende
12.04.2008, 01:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo,

««
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag

Zitat

O4 - HKLM\..\Run: [taskmgra] C:\WINDOWS\system32\taskmgra.com
und wähle fix checked. + starte den Rechner neu.

«
wende Windowsscan an + poste den report
http://virus-protect.org/artikel/tools/windowsscan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.04.2008, 17:20
Member

Themenstarter

Beiträge: 16
#9

Code

Die 30 neuesten Dateien im Ordner Windows: 

***** ***** ***** ***** *****  
***** Scanning C:\WINDOWS *****  
***** ***** ***** ***** *****  

12.04.2008 WindowsUpdate.log 17 18:1'233'684  
12.04.2008 0.log 17 17:0  
12.04.2008 wiadebug.log 17 17:159  
12.04.2008 wiaservc.log 17 17:50  
12.04.2008 bootstat.dat 17 17:2'048  
12.04.2008 SchedLgU.Txt 17 16:32'618  
12.04.2008 KB925720.log 17 14:5'772  
11.04.2008 MedCtrOC.log 22 34:860  
11.04.2008 ehOCGen.log 22 34:676  
11.04.2008 iis6.log 22 34:13'557  
11.04.2008 tsoc.log 22 34:5'642  
11.04.2008 imsins.log 22 34:1'374  
11.04.2008 comsetup.log 22 34:4'190  
11.04.2008 ocmsn.log 22 34:684  
11.04.2008 ntdtcsetup.log 22 34:2'530  
11.04.2008 tabletoc.log 22 34:622  
11.04.2008 ocgen.log 22 34:5'832  
11.04.2008 plusoc.log 22 34:1'378  
11.04.2008 netfxocm.log 22 34:2'166  
11.04.2008 msgsocm.log 22 34:618  
11.04.2008 FaxSetup.log 22 34:12'318  
11.04.2008 msmqinst.log 22 34:3'782  
11.04.2008 imsins.BAK 22 31:1'374  
11.04.2008 setupact.log 15 02:360  
11.04.2008 ntbtlog.txt 14 58:525'030  
11.04.2008 PSEXESVC.EXE 14 58:53'248  
11.04.2008 system.ini 14 57:227  


Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****  
***** Scanning C:\WINDOWS\system32 *****  
***** ***** ***** ***** *****  

12.04.2008 wpa.dbl 17 17:12'598  
11.04.2008 FNTCACHE.DAT 22 54:204'120  
11.04.2008 perfh009.dat 22 48:486'428  
11.04.2008 perfh007.dat 22 48:514'742  
11.04.2008 perfc007.dat 22 48:107'896  
11.04.2008 perfc009.dat 22 48:88'370  
11.04.2008 PerfStringBackup.INI 22 48:1'068'342  
11.04.2008 tmp.reg 15 01:3'378  
11.04.2008 tmp.txt 15 01:0  
06.04.2008 MRT.exe 07 56:19'836'024  
20.03.2008 win32k.sys 10 03:1'845'376  
01.03.2008 mshtml.dll 18 24:3'591'680  
01.03.2008 webcheck.dll 14 54:233'472  
01.03.2008 wininet.dll 14 54:826'368  
01.03.2008 urlmon.dll 14 54:1'159'680  
01.03.2008 url.dll 14 54:105'984  
01.03.2008 pngfilt.dll 14 54:44'544  
01.03.2008 msrating.dll 14 54:193'024  
01.03.2008 mstime.dll 14 54:671'232  
01.03.2008 occache.dll 14 54:102'912  
01.03.2008 mshtmled.dll 14 54:478'208  
01.03.2008 msfeeds.dll 14 53:459'264  
01.03.2008 msfeedsbs.dll 14 53:52'224  
01.03.2008 jsproxy.dll 14 53:27'648  
01.03.2008 inetcpl.cpl 14 53:1'831'424  
01.03.2008 iertutil.dll 14 53:267'776  
01.03.2008 iernonce.dll 14 53:44'544  
01.03.2008 ieframe.dll 14 53:6'066'176  
01.03.2008 iedkcs32.dll 14 53:384'512  
01.03.2008 ieaksie.dll 14 53:230'400  
01.03.2008 icardie.dll 14 53:63'488  
01.03.2008 ieakeng.dll 14 53:153'088  
01.03.2008 extmgr.dll 14 53:133'120  
01.03.2008 dxtrans.dll 14 53:214'528  
01.03.2008 ieapfltr.dll 14 53:383'488  
01.03.2008 dxtmsft.dll 14 53:347'136  
01.03.2008 advpack.dll 14 53:124'928  
29.02.2008 ie4uinit.exe 10 54:70'656  
22.02.2008 ieudinit.exe 12 00:13'824  
20.02.2008 gdi32.dll 08 50:282'624  
20.02.2008 dnsapi.dll 07 33:148'992  
20.02.2008 dnsrslvr.dll 07 33:45'568  
15.02.2008 ieakui.dll 07 44:161'792  
13.02.2008 crash 19 55:4'096  
13.02.2008 wpa.bak 16 12:12'598  
05.01.2008 jupdate-1.6.0_03-b05.log 21 46:5'686  
01.01.2008 PnkBstrB.exe 22 56:107'832  


***** ***** ***** ***** *****  
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****  
***** ***** ***** ***** *****  

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
#      102.54.94.97     rhino.acme.com          # Quellserver
#       38.25.63.10     x.acme.com              # x-Clienthost

127.0.0.1       localhost



***** ***** ***** ***** *****  
***** Scanning Processe *****  
***** ***** ***** ***** *****  


Abbildname                  PID Sitzungsname      Sitz.-Nr. Speichernutzung
========================= ===== ================ ========== ===============
System Idle Process           0 Console                   0            28 K
System                        4 Console                   0           236 K
smss.exe                    420 Console                   0           388 K
csrss.exe                   480 Console                   0         4'580 K
winlogon.exe                508 Console                   0         4'060 K
services.exe                556 Console                   0         4'436 K
lsass.exe                   568 Console                   0         6'868 K
ati2evxx.exe                732 Console                   0         3'500 K
svchost.exe                 748 Console                   0         5'288 K
svchost.exe                 800 Console                   0         4'748 K
svchost.exe                 884 Console                   0        27'288 K
svchost.exe                 952 Console                   0         3'484 K
svchost.exe                1028 Console                   0         6'936 K
ati2evxx.exe               1108 Console                   0         3'964 K
spoolsv.exe                1240 Console                   0         7'840 K
explorer.exe               1632 Console                   0        31'884 K
ehtray.exe                 1744 Console                   0           684 K
Dit.exe                    1752 Console                   0         3'396 K
PDVDServ.exe               1760 Console                   0         3'304 K
reader_sl.exe              1768 Console                   0         2'844 K
jusched.exe                1784 Console                   0         2'304 K
point32.exe                1792 Console                   0         5'048 K
hpwuSchd2.exe              1800 Console                   0         2'392 K
ICQLite.exe                1808 Console                   0        27'720 K
qttask.exe                 1816 Console                   0         2'520 K
avgnt.exe                  1824 Console                   0         1'124 K
razerhid.exe               1832 Console                   0         4'732 K
sttray.exe                 1864 Console                   0         7'320 K
ctfmon.exe                 1872 Console                   0         3'548 K
GoogleToolbarNotifier.exe  1880 Console                   0         1'324 K
BTTray.exe                 1928 Console                   0         4'520 K
MFIndexer.exe              1952 Console                   0         3'584 K
hpqtra08.exe               1960 Console                   0         8'712 K
RocketDock.exe             1968 Console                   0         6'772 K
MOM.exe                    1984 Console                   0         3'092 K
UberIcon Manager.exe       1992 Console                   0         2'896 K
YzShadow.exe               2000 Console                   0         6'964 K
CCC.exe                     384 Console                   0         5'336 K
aawservice.exe              864 Console                   0        22'280 K
sched.exe                   904 Console                   0         4'460 K
avguard.exe                 912 Console                   0        13'284 K
btwdins.exe                1016 Console                   0         1'784 K
mscorsvw.exe               1044 Console                   0         2'808 K
ehRecvr.exe                1124 Console                   0         4'272 K
ehSched.exe                1160 Console                   0         4'716 K
LSSrvc.exe                 1312 Console                   0         1'488 K
MDM.EXE                     988 Console                   0         3'272 K
sqlservr.exe               1528 Console                   0           860 K
hpqste08.exe               2096 Console                   0        14'116 K
PnkBstrA.exe               2152 Console                   0         2'492 K
sqlwriter.exe              2252 Console                   0         3'528 K
stacsv.exe                 2280 Console                   0         3'996 K
svchost.exe                2308 Console                   0         4'248 K
dllhost.exe                2988 Console                   0         6'256 K
razerofa.exe               3060 Console                   0         2'528 K
wmiprvse.exe               3080 Console                   0         7'052 K
alg.exe                    3152 Console                   0         3'572 K
ehmsas.exe                 3920 Console                   0         3'200 K
svchost.exe                1284 Console                   0         3'500 K
hprblog.exe                2248 Console                   0         3'184 K
firefox.exe                3116 Console                   0        40'644 K
wuauclt.exe                3428 Console                   0        14'836 K
wuauclt.exe                3728 Console                   0         4'184 K
WinRAR.exe                 3808 Console                   0         9'964 K
cmd.exe                    4080 Console                   0         1'888 K
tasklist.exe               3540 Console                   0         4'756 K



Microsoft Windows XP [Version 5.1.2600]


http://www.paules-pc-forum.de  
***** Malware Team *****  


***** Ende des Scans 12.04.2008 um 17:19:14.65 ***  



Seitenanfang Seitenende
12.04.2008, 18:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 «
wende cleaner an
http://www.ccleaner.de/?protecus.de

«
scanne mit Malwarebytes, lasse alles gefundene entfernen + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.04.2008, 11:54
Member

Themenstarter

Beiträge: 16
#11

Code

Malwarebytes' Anti-Malware 1.11
Datenbank Version: 623

Scan Art: Komplett Scan (C:\|D:\|E:\|)
Objekte gescannt: 173933
Scan Dauer: 1 hour(s), 59 minute(s), 4 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{daed9266-8c28-4c1c-8b58-5c66eff1d302} (Search.Hijack) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\videoPl.chl (Trojan.Zlob) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{51d81dd5-55b7-497f-95db-d356429bb54e} (Trojan.Zlob) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{95BC0CB6-40F6-4613-88B2-16B5B13C8225}\RP194\A0093278.exe (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{95BC0CB6-40F6-4613-88B2-16B5B13C8225}\RP194\A0093542.dll (Trojan.Zlob) -> Quarantined and deleted successfully.
Seitenanfang Seitenende
14.04.2008, 12:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Hallo,

wende datfindbat an - poste alle Dateien bis November 2007 (sind nach Datum geordnet)
http://virus-protect.org/datfindbat.html

(ich suche: C:\WINDOWS\system32\taskmgra.com )
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.04.2008, 12:16
Member

Themenstarter

Beiträge: 16
#13 Dazu wird kein safe-mode oder das Schliessen aller Programme benötigt, oder?

Code

. 
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 5C9A-9D55

Verzeichnis von C:\WINDOWS\system32

14.04.2008  11:52            12'598 wpa.dbl
11.04.2008  22:54           204'120 FNTCACHE.DAT
11.04.2008  22:48           486'428 perfh009.dat
11.04.2008  22:48           107'896 perfc007.dat
11.04.2008  22:48            88'370 perfc009.dat
11.04.2008  22:48           514'742 perfh007.dat
11.04.2008  22:48         1'068'342 PerfStringBackup.INI
11.04.2008  15:01             3'378 tmp.reg
11.04.2008  15:01                 0 tmp.txt
06.04.2008  07:56        19'836'024 MRT.exe
20.03.2008  10:03         1'845'376 win32k.sys
05.03.2008  16:03           479'752 XAudio2_0.dll
05.03.2008  16:03           238'088 xactengine3_0.dll
05.03.2008  16:00            25'608 X3DAudio1_3.dll
05.03.2008  15:56         3'786'760 D3DX9_37.dll
05.03.2008  15:56         1'420'824 D3DCompiler_37.dll
05.03.2008  15:56         3'952'144 D3DX9d_37.dll
01.03.2008  18:24         3'591'680 mshtml.dll
01.03.2008  14:54           233'472 webcheck.dll
01.03.2008  14:54           826'368 wininet.dll
01.03.2008  14:54           105'984 url.dll
01.03.2008  14:54            44'544 pngfilt.dll
01.03.2008  14:54         1'159'680 urlmon.dll
01.03.2008  14:54           193'024 msrating.dll
01.03.2008  14:54           102'912 occache.dll
01.03.2008  14:54           671'232 mstime.dll
01.03.2008  14:54           478'208 mshtmled.dll
01.03.2008  14:53           459'264 msfeeds.dll
01.03.2008  14:53            52'224 msfeedsbs.dll
01.03.2008  14:53         1'831'424 inetcpl.cpl
01.03.2008  14:53            27'648 jsproxy.dll
01.03.2008  14:53            44'544 iernonce.dll
01.03.2008  14:53           267'776 iertutil.dll
01.03.2008  14:53         6'066'176 ieframe.dll
01.03.2008  14:53           384'512 iedkcs32.dll
01.03.2008  14:53           230'400 ieaksie.dll
01.03.2008  14:53            63'488 icardie.dll
01.03.2008  14:53           133'120 extmgr.dll
01.03.2008  14:53           383'488 ieapfltr.dll
01.03.2008  14:53           214'528 dxtrans.dll
01.03.2008  14:53           153'088 ieakeng.dll
01.03.2008  14:53           347'136 dxtmsft.dll
01.03.2008  14:53           124'928 advpack.dll
29.02.2008  10:54            70'656 ie4uinit.exe
22.02.2008  12:00            13'824 ieudinit.exe
20.02.2008  08:50           282'624 gdi32.dll
20.02.2008  07:33           148'992 dnsapi.dll
20.02.2008  07:33            45'568 dnsrslvr.dll
15.02.2008  07:44           161'792 ieakui.dll
13.02.2008  19:55             4'096 crash
13.02.2008  16:12            12'598 wpa.bak
05.02.2008  23:07           462'864 d3dx10_37.dll
05.02.2008  23:06           359'624 dinput8d.dll
05.02.2008  23:06         3'799'400 d3dx9d_33.dll
05.02.2008  23:06           349'416 d3dref9.dll
05.02.2008  23:06           506'384 D3DX10d_37.dll
05.02.2008  23:06         3'087'208 d3d9d.dll
05.01.2008  21:46             5'686 jupdate-1.6.0_03-b05.log
01.01.2008  22:56           107'832 PnkBstrB.exe
12.12.2007  22:55           387'268 TZLog.log
04.12.2007  20:40           550'912 oleaut32.dll
21.11.2007  18:09           219'648 uxtheme.dll
15.11.2007  22:41             4'684 explori.exe
15.11.2007  22:41                 0 atualizado.log
15.11.2007  22:41                 0 uol.log
13.11.2007  13:31            60'416 tzchange.exe
07.11.2007  11:27           729'600 lsasrv.dll
Seitenanfang Seitenende
14.04.2008, 14:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 das schaut nach einem Banker-Virus (PSW.Banker ) aus, auch die dazugehörige portugiesische (brasilianische) Logdatei passt dazu: atualizado.log
Klaut Passworte ..und Bankdaten bei Onlinebanking ;)

Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\explori.exe


Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.04.2008, 17:16
Member

Themenstarter

Beiträge: 16
#15 Zum Glück betreibe ich kein Onlinebanking, sucht dieser virus alle passwörter raus, oder interessieren ihn nur die "geldbringenden" Daten?

Zitat

Die Datei wurde bereits analysiert:
MD5: d37fbaa66018bc363819ddf8a49c1468
Datum 2008.04.07 23:51:17 (CET) [>6D]
Ergebnisse 0/32
Permalink: analisis/ec4a960ede6e34c2d42a3f1c29f583bf

Code

Datei explori.exe empfangen 2008.04.14 14:27:09 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 42 und 60 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:    
    
Antivirus     Version     letzte aktualisierung     Ergebnis
AhnLab-V3    2008.4.12.0    2008.04.14    -
AntiVir    7.6.0.85    2008.04.14    -
Authentium    4.93.8    2008.04.13    -
Avast    4.8.1169.0    2008.04.14    -
AVG    7.5.0.516    2008.04.14    -
BitDefender    7.2    2008.04.14    -
CAT-QuickHeal    9.50    2008.04.12    -
ClamAV    0.92.1    2008.04.14    -
DrWeb    4.44.0.09170    2008.04.14    -
eSafe    7.0.15.0    2008.04.09    -
eTrust-Vet    31.3.5697    2008.04.14    -
Ewido    4.0    2008.04.14    -
F-Prot    4.4.2.54    2008.04.14    -
F-Secure    6.70.13260.0    2008.04.14    -
FileAdvisor    1    2008.04.14    -
Fortinet    3.14.0.0    2008.04.14    -
Ikarus    T3.1.1.26    2008.04.14    -
Kaspersky    7.0.0.125    2008.04.14    -
McAfee    5272    2008.04.11    -
Microsoft    1.3408    2008.04.14    -
NOD32v2    3024    2008.04.14    -
Norman    5.80.02    2008.04.12    -
Panda    9.0.0.4    2008.04.13    -
Prevx1    V2    2008.04.14    -
Rising    20.39.62.00    2008.04.13    -
Sophos    4.28.0    2008.04.14    -
Sunbelt    3.0.1041.0    2008.04.12    -
Symantec    10    2008.04.14    -
TheHacker    6.2.92.276    2008.04.12    -
VBA32    3.12.6.4    2008.04.14    -
VirusBuster    4.3.26:9    2008.04.13    -
Webwasher-Gateway    6.6.2    2008.04.14    -
weitere Informationen
File size: 4684 bytes
MD5...: d37fbaa66018bc363819ddf8a49c1468
SHA1..: eb159629afb6f26d860d1650a63f328c26b118f0
SHA256: 6c57761db211acea49459b9e26742521119f76674217ca4bfa29b8e4faff45e0
SHA512: c5cce4bafb9fd6daf0458e4302d33042e15708a9ddf5ed268baf316e694b521a
df3a5991ef0cb53e1871613f83077d0f8b837694b545b2ecaffeffa7b579e83b
PEiD..: -
PEInfo: -
Ausserdem kam Antivir zwischendurch mit der Meldung, er hätte was gefunden:
SPR/Fake.Vir.A.1757
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »