Trojaner auf dem Rechner

#0
22.10.2008, 16:52
Member

Beiträge: 44
#1 Hallo ihr lieben, heute muss ich euch mal wieder in Anspruch nehmen

Der Rechner meines Dads meldete beim Starten folgendes

Eindringender Prozess : ../system32/winlogon.exe

in

../system32/wgatray.exe

Ich bin die im Forum stehende Liste durchgegangen und bitte euch nun um Hilfe (da ich leider in den bestehenden Threads nur Bahnhof verstehe)

Malware hat im Suchlauf 2 Trojaner gefunden mm2048.dat und mm256.dat (ordner sh Reinigungslog)





Zitat

Malwarebytes' Anti-Malware 1.29
Datenbank Version: 1276
Windows 5.1.2600 Service Pack 2

22.10.2008 13:11:10
mbam-log-2008-10-22 (13-11-10).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 183042
Laufzeit: 1 hour(s), 24 minute(s), 13 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\***\Cookies\MM2048.DAT (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Cookies\MM2048.DAT (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Besitzer\Cookies\MM2048.DAT (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Cookies\MM256.DAT (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Cookies\MM256.DAT (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Besitzer\Cookies\MM256.DAT (Trojan.Agent) -> Quarantined and deleted successfully.
combofix-logfile



Zitat

ComboFix 08-10-21.02 - *** 2008-10-22 15:20:23.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.62 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

((((((((((((((((((((((( Dateien erstellt von 2008-09-22 bis 2008-10-22 ))))))))))))))))))))))))))))))
.

2008-10-22 08:47 . 2008-10-22 08:47 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-22 08:47 . 2008-10-22 08:47 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2008-10-22 08:47 . 2008-10-22 08:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2008-10-22 08:47 . 2008-10-16 20:25 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-22 08:47 . 2008-10-16 20:25 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-05 19:54 . 2008-10-05 19:54 96,976 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-10-05 19:54 . 2008-10-05 19:54 87,855 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-10-05 19:51 . 2008-10-05 19:51 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-10-05 19:51 . 2008-10-22 11:18 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Kaspersky Lab
2008-10-05 19:51 . 2008-10-22 15:45 6,657,312 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-10-05 19:51 . 2008-10-22 15:38 91,232 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-10-05 19:51 . 2008-10-22 15:44 40,480 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-10-05 19:51 . 2008-10-22 15:38 5,840 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-10-05 19:48 . 2008-10-05 19:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Kaspersky Lab Setup Files
2008-09-29 16:43 . 2008-09-29 16:43 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ArcSoft
2008-09-28 22:30 . 2008-09-29 16:44 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Canon
2008-09-28 22:30 . 2008-10-20 19:52 10,593 --a------ C:\WINDOWS\CSTBox.INI
2008-09-28 22:26 . 2008-09-28 22:26 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\NewSoft
2008-09-28 18:45 . 2001-08-23 18:58 2,592,768 --a------ C:\WINDOWS\system32\ippiw711.dll
2008-09-28 18:45 . 2001-08-23 18:58 1,589,248 --a------ C:\WINDOWS\system32\ippsw711.dll
2008-09-28 18:45 . 2001-08-23 18:58 466,944 --a------ C:\WINDOWS\system32\ippcvw711.dll
2008-09-28 18:45 . 2001-08-23 18:58 266,240 --a------ C:\WINDOWS\system32\ippsrw711.dll
2008-09-28 18:45 . 2001-08-23 18:58 225,280 --a------ C:\WINDOWS\system32\ippi11.dll
2008-09-28 18:45 . 2001-08-23 18:58 176,128 --a------ C:\WINDOWS\system32\ipps11.dll
2008-09-28 18:45 . 2001-08-23 18:58 159,744 --a------ C:\WINDOWS\system32\ippjw711.dll
2008-09-28 18:45 . 2008-09-28 18:45 151,566 --a------ C:\WINDOWS\system32\UninstIPP.isu
2008-09-28 18:45 . 2001-08-23 18:58 94,208 --a------ C:\WINDOWS\system32\ippcv11.dll
2008-09-28 18:45 . 2001-08-23 18:58 77,824 --a------ C:\WINDOWS\system32\ippsr11.dll
2008-09-28 18:45 . 2001-08-23 18:58 65,536 --a------ C:\WINDOWS\system32\ippj11.dll
2008-09-28 18:45 . 2001-03-10 17:56 40,960 --a------ C:\WINDOWS\system32\IPPCPUID.DLL
2008-09-28 18:44 . 2005-06-01 00:28 9,606 --a------ C:\WINDOWS\system32\NEWSOFT
2008-09-28 18:43 . 1997-10-14 05:19 11,776 --a------ C:\WINDOWS\system32\pmsbfn32.dll
2008-09-28 18:43 . 2008-09-28 18:44 264 --a------ C:\WINDOWS\setup.iss
2008-09-28 18:40 . 2008-09-28 18:43 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PDFView
2008-09-28 18:39 . 2008-09-28 18:39 <DIR> d-------- C:\WINDOWS\system32\Color
2008-09-28 18:39 . 2008-09-28 18:39 <DIR> d-------- C:\Programme\NewSoft
2008-09-28 18:38 . 2008-09-28 18:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\InstallShield
2008-09-28 18:38 . 2008-09-28 18:38 408 --a------ C:\WINDOWS\MAXLINK.INI
2008-09-28 18:37 . 2008-09-28 18:37 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ScanSoft
2008-09-28 18:36 . 2008-09-28 18:36 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ScanSoft Shared
2008-09-28 18:36 . 2008-09-28 18:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\ScanSoft
2008-09-28 18:35 . 2008-09-28 18:35 <DIR> d-------- C:\Programme\ScanSoft
2008-09-28 18:32 . 1995-07-31 13:44 212,480 --a------ C:\WINDOWS\PCDLIB32.DLL
2008-09-28 18:30 . 2008-09-28 18:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\CANON
2008-09-28 18:28 . 2008-09-28 18:28 <DIR> d--h----- C:\WINDOWS\system32\CanonIJ Uninstaller Information
2008-09-28 18:28 . 2008-09-28 18:28 <DIR> d--h----- C:\Programme\CanonBJ
2008-09-28 18:28 . 2006-07-20 17:51 1,298,432 --a------ C:\WINDOWS\system32\CNQC4803.DLL
2008-09-28 18:28 . 2007-08-09 13:17 229,376 --a------ C:\WINDOWS\system32\CNQL4803.DLL
2008-09-28 18:28 . 2006-06-29 16:29 106,496 --a------ C:\WINDOWS\system32\cnqo4803.dll
2008-09-28 18:28 . 2006-07-20 17:51 57,344 --a------ C:\WINDOWS\system32\CNQI4803.DLL

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-16 16:08 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-10-16 16:06 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
2008-10-10 19:39 --------- d-----w C:\Programme\Classic PhoneTools
2008-10-09 18:29 44,942 ----a-w C:\Dokumente und Einstellungen\***\Anwendungsdaten\wklnhst.dat
2008-10-05 10:23 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-10-01 18:50 --------- d-----w C:\Programme\Gemeinsame Dateien\Scanner
2008-09-28 16:42 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-28 16:36 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-09-28 16:32 --------- d-----w C:\Programme\ArcSoft
2008-09-28 16:29 --------- d-----w C:\Programme\Canon
2008-08-20 05:33 673,280 ----a-w C:\WINDOWS\system32\wininet.dll
2005-12-16 18:56 103,608 ----a-w C:\Dokumente und Einstellungen\***\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2002-02-08 09:19 28,160 --sha-w C:\Programme\Thumbs.db
1996-09-19 14:16 13,030 ----a-r C:\Programme\Gemeinsame Dateien\PDOXUSRS.NET
1995-11-03 05:00 236,734 ----a-r C:\Programme\Gemeinsame Dateien\PXENGWIN.DLL
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"WebWasher"="C:\Programme\WebWasher\wwasher.exe" [2005-02-02 872504]
"YAAC"="C:\Programme\Tools&More\YAAC\YAAC.exe" [2004-10-25 327680]
"NvMediaCenter"="NvMCTray.dll" [2003-07-28 C:\WINDOWS\system32\nvmctray.dll]
"NVIEW"="nview.dll" [2003-07-28 C:\WINDOWS\system32\nview.dll]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2003-07-28 4841472]
"EPSON Stylus C84 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE" [2003-05-27 99840]
"0190 Warner"="C:\PROGRA~1\0190WA~1\WARN0190.EXE" [2004-08-25 13:00 538112]
"Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
"FileAgent"="C:\Programme\FileCenter\Main\FileAgent.exe" [2006-12-20 1912832]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 185896]
"OpwareSE4"="C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" [2006-10-11 75304]
"WrtMon.exe"="C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe" [2006-09-20 20480]
"ScanSoft OmniPage SE 4.0-reminder"="C:\Programme\ScanSoft\OmniPageSE4.0\Ereg\Ereg.exe" [2006-09-26 1414696]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe" [2008-05-01 221184]
"C-Media Mixer"="Mixer.exe" [2002-10-15 C:\WINDOWS\mixer.exe]
"nwiz"="nwiz.exe" [2003-07-28 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]

C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmen\Programme\Autostart\
EPSON Status Monitor 3 Environment Check 2.lnk - C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE [2005-01-21 128000]
Erinnerungen in Microsoft Works-Kalender.lnk - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe [2004-07-12 15360]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
Ulead Photo Express SE Calendar Checker.lnk - C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe [2003-05-30 61440]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
--a------ 2001-08-06 20:03 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\mmc.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=

.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-CmUsbAudio - cmcnfg2.cpl


.
------- Zusätzlicher Suchlauf -------
.
R0 -: HKCU-Main,Start Page = about:blank
R0 -: HKLM-Main,Start Page = hxxp://www.msn.de/
R0 -: HKLM-Main,Window Title = Microsoft Internet Explorer
R1 -: HKCU-Internet Connection Wizard,ShellNext = iexplore
O8 -: Easy-WebPrint - Drucken - C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 -: Easy-WebPrint - Schnelldruck - C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 -: Easy-WebPrint - Vorschau - C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 -: Easy-WebPrint - Zu Druckliste hinzufügen - C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 -: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-22 15:40:51
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\C:\DOKUME~1\***\LOKALE~1\Temp\mc22.tmp"
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\netdde.exe
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\WINDOWS\system32\clipsrv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtProc.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-22 15:58:40 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-22 13:56:49

Vor Suchlauf: 29 Verzeichnis(se), 18.525.560.832 Bytes frei
Nach Suchlauf: 29 Verzeichnis(se), 19,066,798,080 Bytes frei

164 --- E O F --- 2008-10-20 17:59:37
hijack logfile



Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:13:38, on 22.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\WINDOWS\system32\clipsrv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\FileCenter\Main\FileAgent.exe
C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WebWasher\wwasher.exe
C:\Programme\Tools&More\YAAC\YAAC.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtProc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\FileCenter\Main\FcSAO.exe
C:\Dokumente und Einstellungen\***\Desktop\HJT.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [FileAgent] C:\Programme\FileCenter\Main\FileAgent.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [WrtMon.exe] C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe
O4 - HKLM\..\Run: [ScanSoft OmniPage SE 4.0-reminder] "C:\Programme\ScanSoft\OmniPageSE4.0\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\ScanSoft\OmniPageSE4.0\Ereg\ereg.ini"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [WebWasher] C:\Programme\WebWasher\wwasher.exe
O4 - HKCU\..\Run: [YAAC] C:\Programme\Tools&More\YAAC\YAAC.exe /AUTOSTART
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\SCIEPlgn.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: Kaspersky Security Suite CBE (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: WPEServ - soft Xpansion - C:\Programme\Gemeinsame Dateien\WPE\wpeserv.exe

--
End of file - 7115 bytes
und der logfile - datfind

Zitat

Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A062-6B94

Verzeichnis von c:\

22.10.2008 16:27 0 dirdat.txt
22.10.2008 15:58 11.830 ComboFix.txt
22.10.2008 15:39 402.653.184 pagefile.sys


Verzeichnis von C:\WINDOWS\system32

22.10.2008 11:20 2.206 wpa.dbl
07.10.2008 12:19 16.721.856 MRT.exe
28.09.2008 18:45 151.566 UninstIPP.isu
20.08.2008 07:33 3.088.384 mshtml.dll
20.08.2008 07:33 621.056 urlmon.dll
20.08.2008 07:33 1.024.000 browseui.dll
20.08.2008 07:33 16.384 jsproxy.dll
20.08.2008 07:33 474.624 shlwapi.dll
20.08.2008 07:33 449.024 mshtmled.dll
20.08.2008 07:33 673.280 wininet.dll
20.08.2008 07:33 1.499.136 shdocvw.dll
20.08.2008 07:33 532.480 mstime.dll
20.08.2008 07:33 39.424 pngfilt.dll
20.08.2008 07:33 146.432 msrating.dll
20.08.2008 07:33 96.768 inseng.dll
20.08.2008 07:33 251.904 iepeers.dll
20.08.2008 07:33 205.312 dxtrans.dll
20.08.2008 07:33 357.888 dxtmsft.dll
20.08.2008 07:33 55.808 extmgr.dll
20.08.2008 07:33 1.056.256 danim.dll
20.08.2008 07:33 152.064 cdfview.dll
19.08.2008 15:21 374.272 xpsp3res.dll
14.08.2008 23:22 608.968 TZLog.log


Verzeichnis von C:\WINDOWS

22.10.2008 15:45 1.474.906 WindowsUpdate.log
22.10.2008 15:43 0 0.log
22.10.2008 15:40 159 wiadebug.log
22.10.2008 15:40 311 system.ini
22.10.2008 15:39 50 wiaservc.log
22.10.2008 15:39 2.048 bootstat.dat
22.10.2008 15:18 32.576 SchedLgU.Txt
22.10.2008 11:21 142.326 setupact.log
22.10.2008 11:21 0 setuperr.log
22.10.2008 08:31 172.551 iis6.log
22.10.2008 08:31 377.249 comsetup.log
22.10.2008 08:31 231.181 ntdtcsetup.log
22.10.2008 08:31 435.317 tsoc.log
22.10.2008 08:31 1.943 imsins.log
22.10.2008 08:31 62.315 ocmsn.log
22.10.2008 08:31 568.503 ocgen.log
22.10.2008 08:31 56.889 msgsocm.log
22.10.2008 08:31 1.101.757 FaxSetup.log
22.10.2008 08:31 673.578 setupapi.log
20.10.2008 22:23 14.498 ModemLog_Smart Link 56K Voice Modem.txt
20.10.2008 19:59 1.393 imsins.BAK
20.10.2008 19:59 25.456 KB956390.log
20.10.2008 19:58 55.655 updspapi.log
20.10.2008 19:52 933 win.ini
20.10.2008 19:52 10.593 CSTBox.INI
17.10.2008 19:41 88.996 ModemLog_V9X HAM 1394V.txt
10.10.2008 21:39 20 InfModM.ini
09.10.2008 21:56 941 ulead32.ini
28.09.2008 18:44 264 setup.iss
28.09.2008 18:38 408 MAXLINK.INI
22.09.2008 22:55 9.082 KB938464.log
30.08.2008 12:51 41.698 KB953838.log
14.08.2008 23:23 17.845 KB952954.log
14.08.2008 23:23 10.613 KB946648.log
14.08.2008 23:22 9.079 KB953839.log
14.08.2008 23:22 17.811 KB950974.log
14.08.2008 23:22 30.714 KB951072-v2.log
14.08.2008 23:22 10.095 KB952287.log
14.08.2008 23:21 10.131 KB951066.log
08.08.2008 19:46 45.972 KB951748.log


Verzeichnis von C:\DOKUME~1\<***\LOKALE~1\Temp

22.10.2008 16:09 0 SQL.LOG
22.10.2008 16:09 262.144 ILIST-6E36D60E.tmp
22.10.2008 16:09 262.144 ICACHE-19EE2C4D.tmp
22.10.2008 15:40 16.384 ~DFBEF9.tmp
es wäre lieb, wenn sich das jemand anschauen könnte und mir schreibt, ob ich nun den trojaner mit dem malware-prog schon entfernt habe, bzw wenn nicht, wie ich weiter zu verfahren habe

und dies bitte als erklärung für Mädchen

Danke
Bambam
Seitenanfang Seitenende
23.10.2008, 08:10
Moderator

Beiträge: 5694
#2 Hier wird es sich nicht um einen Virus handeln. Sondern evtl wurden die erwähnten Daten nach einem Update verändert und werden jetzt von Kaspersky nicht mehr erkannt. Kannst du bei dieser Meldung auswählen ob du die Dateien zulassen willst?

Zudem hat die Datei wgatray.exe mit der Gültigkeitsprüfung von Windows zu tun. Kann es sein, dass Dein Vater keine original Version von Windows hat?

Gruss Swiss
Seitenanfang Seitenende
23.10.2008, 08:50
Member

Themenstarter

Beiträge: 44
#3 zu erstens, ja ich kann schliessen, verbieten, überspringen oder zur vertrauenswürdigen Zone hinzufügen

ich habe mich jetzt nochmal durch kaspersky gewühlt und habe dort folgende meldungen für das hochfahren heute morgen gefunden...evtl könnte das noch wichtig sein

Zitat

23.10.2008 08:16:13 Schutz des Computers ist aktiv.
23.10.2008 08:20:00 Prozess C:\WINDOWS\Explorer.EXE (PID: 1756): Versuch zum Eindringen in einen anderen Prozess wurde blockiert.
23.10.2008 08:20:27 Prozess C:\WINDOWS\system32\winlogon.exe (PID: 1008): Versuch zum Eindringen in einen anderen Prozess wurde blockiert.
23.10.2008 08:21:05 Prozess C:\WINDOWS\system32\services.exe (PID: 1052): Versuch zum Eindringen in einen anderen Prozess wurde blockiert.
23.10.2008 08:21:50 Prozess C:\Programme\FileCenter\Main\FileAgent.exe (PID: 356): Versuch zum Eindringen in einen anderen Prozess wurde blockiert.
23.10.2008 08:22:32 Prozess C:\WINDOWS\System32\svchost.exe (PID: 1344): Versuch zum Eindringen in einen anderen Prozess wurde blockiert.
23.10.2008 08:22:42 Der Versuch von Prozess mit PID 2980 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 660 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
23.10.2008 08:23:05 Prozess C:\WINDOWS\System32\svchost.exe (PID: 1344): Versuch zum Eindringen in einen anderen Prozess wurde blockiert.

Zitat

gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\Explorer.EXE
gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\system32\wscntfy.exe
gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\system32\control.exe
gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\system32\rundll32.exe
gefunden: potentiell gefährliche Software Invader Prozess: C:\Programme\FileCenter\Main\FileAgent.exe
gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\system32\svchost.exe
gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\System32\svchost.exe
gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\system32\slserv.exe
gefunden: potentiell gefährliche Software Invader Prozess: C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\system32\winlogon.exe
gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\system32\services.exe
gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\explorer.exe
gefunden: potentiell gefährliche Software Invader Prozess: C:\Programme\0190 Warner\Warn0190.exe
gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\system32\rasautou.exe
gefunden: potentiell gefährliche Software Invader Prozess: C:\Programme\Internet Explorer\iexplore.exe
zu 2. mein dad selber hat definitiv nichts geändert an der ursprünglichen Windows Version (ist ein Aldi-Rechner von Anno Knips) , er hatte den Rechner allerdings vor einiger Zeit mal in einer Werkstatt, wohl auch wegen einem Virus

Was nun dort passierte, konnte er mir nicht sagen
Seitenanfang Seitenende
27.10.2008, 06:28
Member

Themenstarter

Beiträge: 44
#4 mmhh @Swiss

magst mirm noch mal nen Kommentar abgeben ??
Seitenanfang Seitenende
27.10.2008, 08:16
Member

Beiträge: 1132
#5 Hallo bambam,

auf dem Rechner läuft die Computer Bild-Version von Kaspersky (CBE), ja? Der würde ich sowieso nicht ganz über den Weg trauen.

Aber nun zu den Meldungen und "Funden"!
In der "empfindlichsten "Stufe" protokolliert Kaspersky mit Verlaub jeden F**z mit. Wenn Du genau hinschaust dann stehen links von den Funden der unerwünschten Programme jeweils blaue "i", d.h. Information. Keine Panik deshalb!
Öffne das Hauptfenster des Progs und klicke auf "Gefunden". Am oberen Rand findest Du ein Drop-Down-Fenster. Fenster öffnen und dann "Aktive" klicken und es werden die nur wichtigen und aktiven Funde angezeigt.

"Berichte" im Hauptfenster von Kaspersky klicken > am oberen Rand des Berichtsfensters findest Du drei Drop-Down-Fenster > das rechte öffnen und "Kritische Ereignisse" auswählen > Fenster "Schließen" drücken.

Gehe zurück zum Hauptfenster und klicke "Einstellungen" > "Berichte" an und entferne im rechten Teil die Häkchen aus den den Kästchen "nicht kritische Ereignisse protokollieren" > OK drücken und der ganze Spuk ist zukünftig vorbei. Jetzt noch die Protokolldateien leeren (auf "Leeren..." drücken) und den Rechner neu starten. Jetzt werden nur noch die wirklich wichtigen Ereignisse (mit einem roten Ausrufungszeichen markiert) angezeigt.

Sollten danach noch Meldungen seitens KIS auftauchen kannst Du ja noch mal berichten.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 27.10.2008 um 08:22 Uhr von Heron editiert.
Seitenanfang Seitenende
27.10.2008, 09:22
Member

Themenstarter

Beiträge: 44
#6 Hallo Heron,

danke für deine schnelle und ausführliche Antwort
Ich habe nur ein Problem, diese Drop-Down-Menues kann ich so nicht finden, wie du sie beschrieben hast und auch unter Aktionen kann ich weder Aktive noch "kritische Ereignisse" auswählen

Ich stelle mal die Sreenshots der dazu ein, vielleicht kannst du mir ja nochmal weiter helfen..... :-)

wenn nicht, kein Problem, dann such ich mich durchs Kaspersky-Bild-VersionForum (ja, es ist eine Bild-Version) muss halt mein dad noch ein paar Tage warten





Bambam
Seitenanfang Seitenende
27.10.2008, 09:32
Member

Beiträge: 1132
#7 Hallo bambam,

mein "Lösungsvorschlag" bezog sich auf die neueste KAV/KIS-Version 8.x!
Bei Dir scheint es sich jedoch um eine ältere Programmversion (6.x oder 7.x) zu handeln.
Trotzdem, soweit ich das aus den Screenshots sehen kann, ist da nichts wirklich Gefährliches auf dem Rechner. Aber, wende Dich am besten mal an das Kaspersky CBE Forum.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
27.10.2008, 10:11
Member

Themenstarter

Beiträge: 44
#8 GHallo Heron

alles klar, schaue ich da mal nach

Danke dir

Bambam
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: