Fund! TR/Dropper.Gen |
||
---|---|---|
#0
| ||
23.02.2009, 22:03
Member
Beiträge: 15 |
||
|
||
24.02.2009, 00:55
Moderator
Beiträge: 5694 |
#2
Hmm evtl ein False Positive oder etwas falsches runtergeladen:
Zitat H:\Aspyr\Guitar Hero III\Genesis.exe>> Poste das Combofix-Log bitte. >> Zudem Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei Monate: http://www.virus-protect.org/datfindbat.html Gruss Swiss |
|
|
||
24.02.2009, 12:43
Member
Themenstarter Beiträge: 15 |
#3
Ähm, tut mir leid, aber alles zusammen ist leider zu lang Deswegen versuch ich es einfach mal einzeln ^^
------------------------------------------------------------------------------ Hier schonmal das datfind Logfile: . . Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten . . Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5413-85FF Verzeichnis von C:\WINDOWS\system32 24.02.2009 12:23 131.134 nvapps.xml 24.02.2009 12:23 256.677 oodbs.lor 23.02.2009 14:52 13.002 wpa.dbl 12.02.2009 05:56 21.244.872 MRT.exe 01.02.2009 16:44 552 d3d8caps.dat 16.01.2009 21:01 3.594.752 mshtml.dll 26.12.2008 11:27 91.888 FNTCACHE.DAT 26.12.2008 03:05 587.588 TZLog.log 25.12.2008 00:17 48.354 perfc007.dat 25.12.2008 00:17 316.924 perfh007.dat 25.12.2008 00:17 311.740 perfh009.dat 25.12.2008 00:17 40.128 perfc009.dat 25.12.2008 00:17 723.744 PerfStringBackup.INI 25.12.2008 00:07 472 results.txt 25.12.2008 00:06 4.284 WLAN.INI 20.12.2008 23:31 826.368 wininet.dll 20.12.2008 23:31 233.472 webcheck.dll 20.12.2008 23:31 1.160.192 urlmon.dll 20.12.2008 23:31 44.544 pngfilt.dll 20.12.2008 23:31 105.984 url.dll 20.12.2008 23:31 671.232 mstime.dll 20.12.2008 23:31 102.912 occache.dll 20.12.2008 23:31 193.024 msrating.dll 20.12.2008 23:31 477.696 mshtmled.dll 20.12.2008 23:31 52.224 msfeedsbs.dll 20.12.2008 23:31 459.264 msfeeds.dll 20.12.2008 23:30 1.831.424 inetcpl.cpl 20.12.2008 23:30 27.648 jsproxy.dll 20.12.2008 23:30 267.776 iertutil.dll 20.12.2008 23:30 6.066.688 ieframe.dll 20.12.2008 23:30 44.544 iernonce.dll 20.12.2008 23:30 384.512 iedkcs32.dll 20.12.2008 23:30 230.400 ieaksie.dll 20.12.2008 23:30 383.488 ieapfltr.dll 20.12.2008 23:30 153.088 ieakeng.dll 20.12.2008 23:30 63.488 icardie.dll 20.12.2008 23:30 214.528 dxtrans.dll 20.12.2008 23:30 124.928 advpack.dll 20.12.2008 23:30 133.120 extmgr.dll 20.12.2008 23:30 347.136 dxtmsft.dll 19.12.2008 10:10 13.824 ieudinit.exe 19.12.2008 10:09 70.656 ie4uinit.exe 19.12.2008 06:23 161.792 ieakui.dll 2280 Datei(en) 575.725.479 Bytes 0 Verzeichnis(se), 5.955.772.416 Bytes frei . . . Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5413-85FF Verzeichnis von C:\DOKUME~1\Fabi\LOKALE~1\Temp 24.02.2009 12:28 112.387 datfind.txt 1 Datei(en) 112.387 Bytes 0 Verzeichnis(se), 5.955.788.800 Bytes frei . . . Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5413-85FF Verzeichnis von C:\WINDOWS 24.02.2009 12:26 1.813.690 WindowsUpdate.log 24.02.2009 12:23 2.048 bootstat.dat 23.02.2009 23:42 32.548 SchedLgU.Txt 23.02.2009 21:39 227 system.ini 17.02.2009 13:46 84 oodcnt.INI 29.12.2008 19:14 54.156 QTFont.qfn 82 Datei(en) 8.604.038 Bytes 0 Verzeichnis(se), 5.955.784.704 Bytes frei . . . Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5413-85FF Verzeichnis von C:\WINDOWS\temp 24.02.2009 12:24 22.621 WMP54GSv1_1_I2.gif 24.02.2009 12:24 4.897 WMP54GSv1_1_S2.gif 24.02.2009 12:24 14.701 WMP54GSv1_1_I1.gif 24.02.2009 12:24 2.002 WMP54GSv1_1_S3.gif 4 Datei(en) 44.221 Bytes 0 Verzeichnis(se), 5.955.784.704 Bytes frei . . . Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5413-85FF Verzeichnis von C:\WINDOWS\Downloaded Program Files 4 Datei(en) 1.527.661 Bytes 0 Verzeichnis(se), 5.955.784.704 Bytes frei . . ---------------------------------------------------------------------------- Wenn das ComboFix Logfile immernoch zu lang ist, was soll ich dann machen? Mfg, Fabbs |
|
|
||
24.02.2009, 18:59
Moderator
Beiträge: 5694 |
||
|
||
24.02.2009, 19:10
Member
Themenstarter Beiträge: 15 |
||
|
||
24.02.2009, 19:29
Moderator
Beiträge: 5694 |
#6
>>
TeaTimer deaktivieren: Starte Spybot S&D --> klicke auf "Modus" --> hake an "Erweiterte Modus" --> mit "Ja" bestätigen --> klicke auf "Werkzeuge" --> klicke auf "Resident" --> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) --> beende Spybot S&D. (der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!) >> Combofix entfernen: Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" (oder, wenn es nicht funktioniert: C:\QooBox löschen) >> Start - Ausführen - gib ein: regedit [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "UpdatesDisableNotify"=dword:00000001 - in 0 ändern rechtsklick auf den Eintrag auf UpdatesDisableNotify die 1 wegklicken und 0 reinschreiben, dann abspeichern >> Stelle Dein Avira Antivir so ein wie hier beschrieben. UPDATE dein Antivir und scanne. Poste das Log. (Nach dem scanen, Einstellungen wieder zurücksetzen) http://board.protecus.de/t23979.htm |
|
|
||
24.02.2009, 21:53
Member
Themenstarter Beiträge: 15 |
#7
Bitte sehr, das Avira Logfile
-------------------------------------------------------------------------- Avira AntiVir Personal Erstellungsdatum der Reportdatei: Dienstag, 24. Februar 2009 20:15 Es wird nach 1264268 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 3) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: PAINRAZOR Versionsinformationen: BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 26.12.2008 02:14:57 AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 15:19:10 LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 15:19:10 LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 15:19:10 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 02:14:57 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 14:38:40 ANTIVIR2.VDF : 7.1.2.55 248832 Bytes 20.02.2009 17:46:25 ANTIVIR3.VDF : 7.1.2.74 90112 Bytes 24.02.2009 17:46:24 Engineversion : 8.2.0.88 AEVDF.DLL : 8.1.1.0 106868 Bytes 31.01.2009 15:59:45 AESCRIPT.DLL : 8.1.1.52 348538 Bytes 23.02.2009 17:46:32 AESCN.DLL : 8.1.1.7 127347 Bytes 13.02.2009 14:39:05 AERDL.DLL : 8.1.1.3 438645 Bytes 26.12.2008 02:14:58 AEPACK.DLL : 8.1.3.8 397684 Bytes 13.02.2009 14:39:03 AEOFFICE.DLL : 8.1.0.33 196987 Bytes 26.12.2008 02:14:58 AEHEUR.DLL : 8.1.0.97 1610103 Bytes 22.02.2009 17:46:31 AEHELP.DLL : 8.1.2.0 119159 Bytes 26.12.2008 02:14:58 AEGEN.DLL : 8.1.1.21 336244 Bytes 23.02.2009 17:46:30 AEEMU.DLL : 8.1.0.9 393588 Bytes 26.12.2008 02:14:57 AECORE.DLL : 8.1.6.6 176501 Bytes 18.02.2009 15:04:27 AEBB.DLL : 8.1.0.3 53618 Bytes 26.12.2008 02:14:57 AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 15:19:10 AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 15:19:10 AVREP.DLL : 8.0.0.2 98344 Bytes 01.08.2008 12:48:09 AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 15:19:10 AVARKT.DLL : 1.0.0.23 307457 Bytes 15.04.2008 11:44:02 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 15:19:10 SQLITE3.DLL : 3.3.17.1 339968 Bytes 15.04.2008 11:44:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 15:19:11 NETNT.DLL : 8.0.0.1 7937 Bytes 15.04.2008 11:44:02 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 15:19:07 RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 15:19:07 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: d:\antivir\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, E:, H:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: ein Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Dienstag, 24. Februar 2009 20:15 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '43012' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WMP54GSv1_1.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WLService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'oodag.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvraidservice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '33' Prozesse mit '33' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'H:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '57' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' <S&B> D:\RECYCLER\S-1-5-21-1801674531-1770027372-682003330-1004\Dd7\LOADER.EXE [FUND] Enthält verdächtigen Code: HEUR/Crypted [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49e55346.qua' verschoben! Beginne mit der Suche in 'E:\' <B&M> Beginne mit der Suche in 'H:\' <Volume> Ende des Suchlaufs: Dienstag, 24. Februar 2009 21:26 Benötigte Zeit: 1:10:55 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 9704 Verzeichnisse wurden überprüft 552831 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 1 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 552828 Dateien ohne Befall 1754 Archive wurden durchsucht 2 Warnungen 1 Hinweise 43012 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden |
|
|
||
25.02.2009, 01:32
Moderator
Beiträge: 5694 |
#8
>>
Lösche nochmals mit CCleaner. >> Papierkorb leeren. >> Systemwiederherstellung deaktivieren (XP): Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. System Neu Starten! dann das Häkchen wieder rausnehmen. (also wieder aktivieren) >> Kommen noch Meldungen? Gruss Swiss |
|
|
||
25.02.2009, 14:03
Member
Themenstarter Beiträge: 15 |
#9
Ich muss mich bedanken, ich habe heute erst einmal alle meine öfter besuchten Seiten durchforstet, aber keinerlei Virusmeldung erhalten
Ich check jetzt nochmal mit Avira durch, aber ich bezweifle, dass da irgendein Fund auftreten wird. Wiedereinmal vielen Dank für eure hochwertige Hilfe, ich empfehle euch schon die ganze Zeit weiter ^^ Ohne euch hätte ich's wohl nicht hingekriegt Mfg, Fabbs |
|
|
||
25.02.2009, 21:48
Moderator
Beiträge: 5694 |
||
|
||
Zuallererst: Ich habe euch schon wegen einigen Themen um Hilfe gebeten und Ich habe höchstes Vertrauen in eure Analysen.
Ich habe heute, als ich auf eine Internetseite gegangen bin (sinn-frei.com), von Avira eine Warnmeldung bekommen, dass eine Datei der Trojaner TR/Dropper.Gen ist. Kurz darauf ließ ich die AntiVir Systemprüfung drüberlaufen, und fand mehrere Trojaner, unter anderem das Rouge Antivirusprogramm XP Police Antivir, welches ich vor einigen Wochen selbst versucht habe zu löschen und von dem ich gedacht hatte, dass es vollkommen weg wäre.
Nunja, zuerst habe ich mit CCleaner alle temporären Dateien gelöscht und danach wie vorgeschrieben mit Mbam, ComboFix und HijackThis über mein System laufen lassen.
Ich bedanke mich schonmal im vorraus
Mfg Fabbs
PS: Ich bin nicht wirklich bewandert im PC-bereich, aber wenn ich irgendetwas ändern muss, dann versucht das bitte einigermaßen einfach auszudrücken ^^
----------------------------------------------------------------------------
Hier ist das Antivir-Logfile, falls ihr damit was anfangen könnt:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 23. Februar 2009 20:11
Es wird nach 1262573 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: PAINRAZOR
Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 26.12.2008 02:14:57
AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 15:19:10
LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 15:19:10
LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 15:19:10
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 02:14:57
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 14:38:40
ANTIVIR2.VDF : 7.1.2.55 248832 Bytes 20.02.2009 17:46:25
ANTIVIR3.VDF : 7.1.2.68 65536 Bytes 23.02.2009 17:46:24
Engineversion : 8.2.0.88
AEVDF.DLL : 8.1.1.0 106868 Bytes 31.01.2009 15:59:45
AESCRIPT.DLL : 8.1.1.52 348538 Bytes 23.02.2009 17:46:32
AESCN.DLL : 8.1.1.7 127347 Bytes 13.02.2009 14:39:05
AERDL.DLL : 8.1.1.3 438645 Bytes 26.12.2008 02:14:58
AEPACK.DLL : 8.1.3.8 397684 Bytes 13.02.2009 14:39:03
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 26.12.2008 02:14:58
AEHEUR.DLL : 8.1.0.97 1610103 Bytes 22.02.2009 17:46:31
AEHELP.DLL : 8.1.2.0 119159 Bytes 26.12.2008 02:14:58
AEGEN.DLL : 8.1.1.21 336244 Bytes 23.02.2009 17:46:30
AEEMU.DLL : 8.1.0.9 393588 Bytes 26.12.2008 02:14:57
AECORE.DLL : 8.1.6.6 176501 Bytes 18.02.2009 15:04:27
AEBB.DLL : 8.1.0.3 53618 Bytes 26.12.2008 02:14:57
AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 15:19:10
AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 15:19:10
AVREP.DLL : 8.0.0.2 98344 Bytes 01.08.2008 12:48:09
AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 15:19:10
AVARKT.DLL : 1.0.0.23 307457 Bytes 15.04.2008 11:44:02
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 15:19:10
SQLITE3.DLL : 3.3.17.1 339968 Bytes 15.04.2008 11:44:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 15:19:11
NETNT.DLL : 8.0.0.1 7937 Bytes 15.04.2008 11:44:02
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 15:19:07
RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 15:19:07
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: d:\antivir\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, H:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Beginn des Suchlaufs: Montag, 23. Februar 2009 20:11
Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '43179' Objekte überprüft, '0' versteckte Objekte wurden gefunden.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winamp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMP54GSv1_1.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'oodag.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvraidservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '34' Prozesse mit '34' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '58' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{354781F2-F7BC-4F32-AC7E-571403F3B562}\RP364\A0068765.exe
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/Fraud.XpPoliceAntivirus.A
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <S&B>
Beginne mit der Suche in 'E:\' <B&M>
Beginne mit der Suche in 'H:\' <Volume>
H:\Aspyr\Guitar Hero III\Genesis.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[WARNUNG] Die Datei wurde ignoriert.
H:\Aspyr\Guitar Hero III\GENESIS\Genesis.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a11023e.qua' verschoben!
H:\System Volume Information\_restore{354781F2-F7BC-4F32-AC7E-571403F3B562}\RP371\A0070098.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
H:\System Volume Information\_restore{354781F2-F7BC-4F32-AC7E-571403F3B562}\RP371\A0070099.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
Ende des Suchlaufs: Montag, 23. Februar 2009 21:19
Benötigte Zeit: 1:08:00 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
10139 Verzeichnisse wurden überprüft
568512 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
3 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
568505 Dateien ohne Befall
1924 Archive wurden durchsucht
3 Warnungen
4 Hinweise
43179 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
-----------------------------------------------------------------------------
Sollte das jetzt nicht hilfreich gewesen sein tuts mit leid, hier ist das Malewarebytes-Logfile:
Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1749
Windows 5.1.2600 Service Pack 3
23.02.2009 21:29:35
mbam-log-2009-02-23 (21-29-35).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 55390
Laufzeit: 3 minute(s), 55 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\XP Police Antivirus (Rogue.XP-Police-Antivirus) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
----------------------------------------------------------------------------
Das ComboFix Logfile ist verdammt lang, deswegen würd ich euch lieber vorher fragen, ob ich den hier wirklich reinposten soll ^^
----------------------------------------------------------------------------
Hier ist das HijackThis Logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:43:39, on 23.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
D:\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Linksys Wireless-G PCI Network Adapter with SpeedBooster\WLService.exe
C:\Programme\Linksys Wireless-G PCI Network Adapter with SpeedBooster\WMP54GSv1_1.exe
E:\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
E:\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\imapi.exe
C:\WINDOWS\explorer.exe
E:\HJT\HijackThis.exe
D:\Mozilla\firefox.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.daemonsearch.com/intl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "D:\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RemoteControl] "E:\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Photoshop\Adobe Reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [SMSTray] D:\Samsung\Samsung Media Studio 5\SMSTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PowerBar] "E:\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools] "D:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SPYBOT~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SPYBOT~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1210859636902
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: WMP54GSSVC - GEMTEKS - C:\Programme\Linksys Wireless-G PCI Network Adapter with SpeedBooster\WLService.exe
--
End of file - 6399 bytes
-------------------------------------------------------------
Und hier das Hijackthis Uninstall Logfile:
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)
Adobe Flash Player ActiveX
Adobe Photoshop 7.0
Adobe Reader 8.1.2 - Deutsch
Adobe Shockwave Player
AGEIA PhysX v7.05.17
Anno 1701
Anno 1701 - Der Fluch des Drachen
Assassin's Creed
Athlon 64 Processor Driver
Avira AntiVir Personal - Free Antivirus
Call of Duty(R) 4 - Modern Warfare(TM)
Call of Duty(R) 4 - Modern Warfare(TM) 1.4 Patch
Call of Duty(R) 4 - Modern Warfare(TM) 1.5 Multiplayer Patch
Call of Duty(R) 4 - Modern Warfare(TM) 1.6 Patch
Call of Duty(R) 4 - Modern Warfare(TM) 1.7 Patch
CCleaner (remove only)
Counter-Strike: Source
Crysis(R)
Diablo II
Die Sims 2
Die Sims 2: Family Fun - Accessoires
Die Sims 2: Nightlife
Die Sims 2: Open For Business
Die Sims 2: Wilde Campus-Jahre
Die Sims™ 2 H&M®-Fashion-Accessoires
Die Sims™ 2 Haustiere
Die Sims™ 2 Party-Accessoires
Die Sims™ 2 Vier Jahreszeiten
Die Sims™ 2: Glamour-Accessoires
DivX Codec
DivX Content Uploader
DivX Converter
DivX Player
DivX Web Player
DVD Solution
Gothic
Gothic II
Gothic III
GTA San Andreas
Guitar Hero III
Heroes of Might and Magic V - Tribes of the East
HijackThis 2.0.2
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows XP (KB952287)
ICQ6
Java(TM) 6 Update 5
Linksys Wireless-G PCI Network Adapter with SpeedBooster
Malwarebytes' Anti-Malware
MDK2
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2005 Redistributable
Mozilla Firefox (3.0.6)
MSXML 4.0 SP2 (KB954430)
Multimedia Launcher
Nero Suite
NVIDIA Drivers
O&O Defrag Professional Edition
Port Royale 2
PowerDVD
Prince of Persia Warrior Within
PunkBuster Services
QuickTime
Realtek AC'97 Audio
RollerCoaster Tycoon® 3
Samsung Media Studio 5
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB960715)
SPORE™
Spybot - Search & Destroy
Steam
Stronghold 2
System Requirements Lab
Tom Clancy's Ghost Recon Advanced Warfighter® 2
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Warcraft II BNE
WC3Banlist
Winamp
Windows Media Format Runtime
Windows XP Service Pack 3
WinPcap 3.1
WinRAR
Xbox 360 Controller for Windows
Zoo Tycoon 2 - Extinct Animals
----------------------------------------------------------
So, ich hoffe das sagt euch mehr als mir, wovon ich ausgehe
Nochmal:
Mfg, Fabbs