Trojanerfund: TR/PSW.LdPinch.rlo

18.05.2008, 21:32

Vizenberger

...neu hier

Beiträge: 5

#1 Hallo,

mein Virenscanner (AntVir) hat zwei Dateien gefunden und in Quarantäne verschoben, die jeweils den Trojaner "TR/PSW.LdPinch.rlo" enthielten. Nach erster Recherche sammelt der Trojaner wohl Passwörter u.ä. Vor kurzem erhielt ich auch eine Spam-Email, die von meiner eigenen E-Mailadresse kam. Könnte das etwas mit dem Trojaner zu tun haben?

Ich bin jedenfalls ziemlich verunsichert. Wie gefährlich ist der Trojaner und kann ich ihn irgendwie wieder aus meinem System entfernen? Ich bin über jeden Hinweis dankbar.

Ich poste nachfolgend diese Logs:
- Combofix
- Hijackthis
- datfind
- uninstall list

Reicht das aus oder braucht ihr noch weitere Infos/Logs, z.B. mein Antivir-Report? Vielen Dank für euren EInsatz schon mal im Voraus!

1. Combofix

ComboFix 08-05-15.3 - Philipp 2008-05-18 20:55:08.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.134 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Philipp\Eigene Dateien\Downloads\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-04-18 bis 2008-05-18 ))))))))))))))))))))))))))))))
.

2008-05-18 20:43 . 2008-05-18 20:43 <DIR> d-------- C:\Programme\CCleaner

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-18 18:53 --------- d-----w C:\Programme\Symantec AntiVirus
2008-05-15 05:06 --------- d-----w C:\Programme\free-downloads.net
2008-05-15 05:06 --------- d-----w C:\Programme\Conduit
2008-05-14 21:33 --------- d-----w C:\Programme\Winamp
2008-03-25 19:40 --------- d-----w C:\Programme\Java
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-21 14:39 --------- d-----w C:\Dokumente und Einstellungen\Helene\Anwendungsdaten\ATI
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2007-06-26 20:25 284 ----a-w C:\Dokumente und Einstellungen\Anna\Anwendungsdaten\ViewerApp.dat
2000-10-23 08:37 122,880 ----a-r C:\WINDOWS\inf\AGFA\Message.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]
"AlcoholAutomount"="C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" [2008-02-22 13:30 217544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2005-04-08 16:52 48752]
"vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2005-04-17 13:30 85184]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 03:12 483328]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"SoundMan"="SOUNDMAN.EXE" [2004-01-09 03:54 65536 C:\WINDOWS\SOUNDMAN.EXE]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 21:24 32768]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-11-01 19:45 196608]
"SsAAD.exe"="C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe" [2006-01-07 02:36 81920]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 17:17 159744]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-17 21:18 262401]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35 90112]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-11-15 00:43 286720]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat Speed Launcher.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2006-03-19 14:29:40 25214]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

S3 sonypvs1;Sony Digital Imaging Video2;C:\WINDOWS\system32\DRIVERS\sonypvs1.sys [2002-10-15 22:41]

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-03-21 16:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-18 20:57:17
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-18 20:58:33
ComboFix-quarantined-files.txt 2008-05-18 18:58:28

8 Verzeichnis(se), 10,142,810,112 Bytes frei
11 Verzeichnis(se), 10,516,525,056 Bytes frei

86 --- E O F --- 2008-05-16 18:22:29

2. Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:06:14, on 18.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Symantec AntiVirus\DoScan.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\Programme\Adobe\Acrobat 7.0\Acrobat\Acrobat.exe
C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Philipp\Eigene Dateien\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1180291500367
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1180291717279
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE9823F3-69FA-49C9-A512-26069E9E3C7B}: NameServer = 62.109.123.6 213.191.92.87
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe

--
End of file - 10122 bytes

3. datfind (letzte Monate)

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist Boot
Volumeseriennummer: 54A5-CCD0

Verzeichnis von C:\WINDOWS\system32

18.05.2008 19:50 2.206 wpa.dbl
09.05.2008 23:35 16.863.864 MRT.exe
09.04.2008 20:28 165.912 FNTCACHE.DAT
30.03.2008 18:49 444.528 perfh009.dat
30.03.2008 18:49 72.152 perfc009.dat
30.03.2008 18:49 462.770 perfh007.dat
30.03.2008 18:49 85.704 perfc007.dat
30.03.2008 18:49 1.080.266 PerfStringBackup.INI
25.03.2008 21:40 6.641 jupdate-1.6.0_05-b13.log
25.03.2008 06:51 621.344 mswstr10.dll
25.03.2008 06:51 187.168 msjint40.dll
25.03.2008 06:50 355.104 msxbde40.dll
25.03.2008 06:50 838.432 mswdat10.dll
25.03.2008 06:50 264.992 mstext40.dll
25.03.2008 06:50 559.904 msrepl40.dll
25.03.2008 06:50 322.336 msrd3x40.dll
25.03.2008 06:50 432.928 msrd2x40.dll
25.03.2008 06:50 355.104 mspbde40.dll
25.03.2008 06:50 219.936 msltus40.dll
25.03.2008 06:50 248.608 msjtes40.dll
25.03.2008 06:50 60.192 msjter40.dll
25.03.2008 06:50 355.112 msjetoledb40.dll
25.03.2008 06:50 1.516.568 msjet40.dll
25.03.2008 06:50 326.432 msexcl40.dll
25.03.2008 06:50 518.944 msexch40.dll
20.03.2008 18:06 1.480.232 LegitCheckControl.dll
20.03.2008 10:03 1.845.376 win32k.sys
01.03.2008 18:24 3.591.680 mshtml.dll
01.03.2008 14:54 826.368 wininet.dll
01.03.2008 14:54 233.472 webcheck.dll
01.03.2008 14:54 105.984 url.dll
01.03.2008 14:54 1.159.680 urlmon.dll
01.03.2008 14:54 44.544 pngfilt.dll
01.03.2008 14:54 193.024 msrating.dll
01.03.2008 14:54 671.232 mstime.dll
01.03.2008 14:54 102.912 occache.dll
01.03.2008 14:54 478.208 mshtmled.dll
01.03.2008 14:53 459.264 msfeeds.dll
01.03.2008 14:53 52.224 msfeedsbs.dll
01.03.2008 14:53 27.648 jsproxy.dll
01.03.2008 14:53 1.831.424 inetcpl.cpl
01.03.2008 14:53 44.544 iernonce.dll
01.03.2008 14:53 267.776 iertutil.dll
01.03.2008 14:53 6.066.176 ieframe.dll
01.03.2008 14:53 384.512 iedkcs32.dll
01.03.2008 14:53 230.400 ieaksie.dll
01.03.2008 14:53 214.528 dxtrans.dll
01.03.2008 14:53 63.488 icardie.dll
01.03.2008 14:53 133.120 extmgr.dll
01.03.2008 14:53 383.488 ieapfltr.dll
01.03.2008 14:53 153.088 ieakeng.dll
01.03.2008 14:53 124.928 advpack.dll
01.03.2008 14:53 347.136 dxtmsft.dll
29.02.2008 10:54 70.656 ie4uinit.exe
22.02.2008 12:00 13.824 ieudinit.exe
22.02.2008 03:33 139.264 javaws.exe
22.02.2008 03:33 69.632 javacpl.cpl
22.02.2008 02:23 135.168 javaw.exe
22.02.2008 02:23 135.168 java.exe
20.02.2008 08:50 282.624 gdi32.dll
20.02.2008 07:33 148.992 dnsapi.dll
20.02.2008 07:33 45.568 dnsrslvr.dll
15.02.2008 07:44 161.792 ieakui.dll

Datentr„ger in Laufwerk C: ist Boot
Volumeseriennummer: 54A5-CCD0

Verzeichnis von C:\DOKUME~1\Philipp\LOKALE~1\Temp

18.05.2008 21:08 103.075 datfind.txt
1 Datei(en) 103.075 Bytes
0 Verzeichnis(se), 10.725.380.096 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Boot
Volumeseriennummer: 54A5-CCD0

Verzeichnis von C:\WINDOWS

18.05.2008 21:04 1.647.749 WindowsUpdate.log
18.05.2008 20:57 227 system.ini
18.05.2008 19:49 159 wiadebug.log
18.05.2008 19:49 50 wiaservc.log
18.05.2008 19:48 2.048 bootstat.dat
18.05.2008 16:06 32.570 SchedLgU.Txt
14.05.2008 20:27 54.156 QTFont.qfn
25.02.2008 23:50 116 NeroDigital.ini
09.02.2008 23:43 3.451 unins000.dat
09.02.2008 23:38 691.545 unins000.exe

.
Datentr„ger in Laufwerk C: ist Boot
Volumeseriennummer: 54A5-CCD0

Verzeichnis von C:\WINDOWS\temp

.
.
.
Datentr„ger in Laufwerk C: ist Boot
Volumeseriennummer: 54A5-CCD0

Verzeichnis von C:\WINDOWS\Downloaded Program Files

16.04.2007 22:50 295 muweb.inf
16.04.2007 22:50 293 wuweb.inf
19.03.2006 13:39 65 desktop.ini
02.12.2005 12:55 5.101 swflash.inf
4 Datei(en) 5.754 Bytes
0 Verzeichnis(se), 10.725.376.000 Bytes frei
.
.
.

4. Uninstall list

7-Zip 4.57
Adobe Flash Player Plugin
ATI - Software Uninstall Utility
ATI Catalyst Control Center
ATI Display Driver
Avira AntiVir Personal – Free Antivirus
CCleaner (remove only)
ElsterFormular 2007/2008
Google Earth
HijackThis 2.0.2
Hotfix für Windows Internet Explorer 7 (KB947864)
Java(TM) 6 Update 5
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 3.0 German Language Pack
Microsoft .NET Framework 3.0 German Language Pack
Microsoft .NET Framework 3.0 Service Pack 1
Microsoft Visual C++ 2005 Redistributable
Mozilla Firefox (2.0.0.14)
QuickTime
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows XP (KB937894)
Sicherheitsupdate für Windows XP (KB941568)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB941644)
Sicherheitsupdate für Windows XP (KB941693)
Sicherheitsupdate für Windows XP (KB943055)
Sicherheitsupdate für Windows XP (KB943460)
Sicherheitsupdate für Windows XP (KB943485)
Sicherheitsupdate für Windows XP (KB944653)
Sicherheitsupdate für Windows XP (KB945553)
Sicherheitsupdate für Windows XP (KB946026)
Sicherheitsupdate für Windows XP (KB948590)
Sicherheitsupdate für Windows XP (KB948881)
Sicherheitsupdate für Windows XP (KB950749)
Spybot - Search & Destroy
Spybot - Search & Destroy 1.5.2.20
Update für Windows XP (KB925720)
Update für Windows XP (KB942763)
Windows Imaging Component
Windows Presentation Foundation
Windows Presentation Foundation Language Pack (DEU)
Windows Workflow Foundation DE Language Pack
XML Paper Specification Shared Components Language Pack 1.0

19.05.2008, 00:03

Sabina

Ehrenmitglied

Beiträge: 29434

#2 Hallo Vizenberger

in den logs ist nix auffälliges zu erkennen.
mache bitte einen Onlinescan mit f-secure und einen mit bitdefender + poste beide reports hier
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

19.05.2008, 08:15

Vizenberger

...neu hier

Themenstarter

Beiträge: 5

#3 Hallo Sabina,

ich habe beide Onlinescans durchgeführt, dabei ist kein Befall aufgefallen. Report anbei.

Ich habe die in den Quarantäneordner verschobenenen infizierten Dateien zwischenzeitlich auch bei VirusTotal und virusscan.Jotti prüfen lassen, auch ohne Befund. Was insoweit komisch ist, als letztere Programme beide auch einen Scan von AntiVir anbieten, eben jenem Virusscanner, der auf meinem PC das Virus überhaupt erst gefunden hat. Allerdings hatte ich bei dem ersten Scan, der zum Befund führte, WIndows auch im abgesicherten Modus laufen. Könnte das von Bedeutung sein?

1. F Secure

Scanning Report
Monday, May 19, 2008 00:19:05 - 06:51:40

Computer name: SHUTTLE
Scanning type: Scan system for malware, rootkits
Target: C:\ D:\
Result: 1 malware found
W32/Malware (virus)

* D:\ANSTOSS 3\UNINSTALL.EXE (Submitted)

Statistics
Scanned:

* Files: 42561
* System: 3859
* Not scanned: 9

Actions:

* Disinfected: 0
* Renamed: 0
* Deleted: 0
* None: 1
* Submitted: 1

Files not scanned:

* C:\HIBERFIL.SYS
* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SYSTEM32\CONFIG\SAM
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
* C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{62392EFF-B543-4D5D-A9B1-20603E1464FA}.BIN

Options
Scanning engines:

* F-Secure USS: 2.30.0
* F-Secure Hydra: 2.8.8110, 2008-05-18
* F-Secure AVP: 7.0.171, 2008-05-18
* F-Secure Pegasus: 1.20.0, 2008-04-15
* F-Secure Blacklight: 1.0.68

Scanning options:

* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
* Use Advanced heuristics

2. BitDefender

BitDefender Online Scanner - Real Time Virus Report

Generated at: Mon, May 19, 2008 - 07:48:29

Scan Info

Scanned Files

263691
Infected Files

0 Virus Detected

No virus found.

19.05.2008, 10:26

Sabina

Ehrenmitglied

Beiträge: 29434

#4 Hallo,
ich kenne die Dateien nicht, du hast nur die Bezeichnung(Namen) geschrieben - komisch ist es schon, dass Antivirus löscht und dann bei virustotal nichts anzeigt.
kennst du noch den Pfad + Datei ? poste sie hier, bitte.
__________
MfG Sabina

rund um die PC-Sicherheit

19.05.2008, 22:45

Vizenberger

...neu hier

Themenstarter

Beiträge: 5

#5 Hallo,
die Dateien habe ich aus dem Quarantäneordner von AntiVir hochgeladen. Die Dateinamen waren recht kryptisch und wahrscheinlich von AntiVir generiert. Meinst du Pfad und Dateinamen der Dateien im Quaratäneordner?

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED

Dateien: 48985c55.qua und 48665c3a.qua

19.05.2008, 23:39

Sabina

Ehrenmitglied

Beiträge: 29434

#6 ja, damit kann man nix mehr anfangen.
Nun, Antivirus hat gelöscht, andere Virenscanner haben nichts mehr gefunden, damit kannst du wohl aufatmen

__________
MfG Sabina

rund um die PC-Sicherheit

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1