Backdoor WIN32.IRCBot.glo!A2

#1 Hallo!

Ich habe ein Problem!
Unzwar habe ich gestern Abend mit a-sqared Free einen vollständigen Detailscan durchgeführt! Es wurden 5 Dateien gefunden, 3 davon (hohes Risiko). Als der Scan abgeschlossen war, teilte mir a-sqared free mit, das 3 sehr schädliche Sachen auf meinem Rechner sind, und ich die in Quarantäne schieben soll, damit sie gelöscht werden können! Habe ich gemacht, jedoch hinterher komplett gelöscht! Das waren: Backdoor WIN32.IRCBot.glo!A2,(Er sitzt auf C/Programme/Net Meeting) Und hat sich trotz des löschens wieder selber hergestellt)!!!! Und Backdoor.Win32.Rbot.kos!A2!

Habe im Internet gelesen, das man sein System neu aufspielen soll, und seine Festplatte formatieren!

Was soll ich jetzt tun? Ich bin keine Computer Leuchte! Aber bitte helft mir, auch gerne in einzelnen Schritten! Und was sind das für Funde????

Lg, Sarah

#2 Also wenn es wirklich ein Backdoor ist dann ist jemand in dein System eingedrungen und dabei die Kontrolle übernommen. Wichtig bevor wir wissen was Sache ist, mache KEINE ONLINEBANKING!!

>>
Lösche die temp Dateien mit CCleaner

>>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
(Vor der Anwendung Update nicht vergessen)
http://virus-protect.org/artikel/tools/malwarebytes.html

>>
Wende Combofix an und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

>>
Erstelle ein HiJACKThis Log und poste es hier:
http://virus-protect.org/hjtkurz.html

Gruss Swiss

#3 Hier das Ergebnis von Anti-Malware

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1894
Windows 5.1.2600 Service Pack 3

25.03.2009 12:11:10
mbam-log-2009-03-25 (12-11-08).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|)
Durchsuchte Objekte: 92786
Laufzeit: 30 minute(s), 33 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINXP\explorer.backup (Heuristics.Reserved.Word.Exploit) -> No action taken.




Hier Ergebnis von ComboFix:


ComboFix 09-03-23.01 - Administrator 2009-03-25 20:32:52.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1279.789 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator.BIE.000\Desktop\ComboFix.exe
AV: Avira Premium Security Suite *On-access scanning disabled* (Updated)
AV: Avira Premium Security Suite *On-access scanning enabled* (Outdated)
FW: Avira Firewall *disabled*
.

((((((((((((((((((((((( Dateien erstellt von 2009-02-25 bis 2009-03-25 ))))))))))))))))))))))))))))))
.

2009-03-25 19:02 . 2009-03-25 19:02 <DIR> d-------- c:\programme\Vidalia Bundle
2009-03-25 19:02 . 2009-03-25 20:04 <DIR> d-------- c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\Vidalia
2009-03-25 12:33 . 2009-03-25 12:33 <DIR> d-------- c:\programme\Trend Micro
2009-03-25 11:37 . 2009-03-25 11:38 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-25 11:37 . 2009-02-11 10:19 38,496 --a------ c:\winxp\system32\drivers\mbamswissarmy.sys
2009-03-25 11:37 . 2009-02-11 10:19 15,504 --a------ c:\winxp\system32\drivers\mbam.sys
2009-03-25 11:33 . 2009-03-25 11:33 <DIR> d--hs---- c:\dokumente und einstellungen\Administrator.BIE.000\IECompatCache
2009-03-25 11:31 . 2009-03-25 11:31 <DIR> d-------- c:\programme\CCleaner
2009-03-25 10:29 . 2009-03-25 10:29 <DIR> d-------- C:\fsaua.data
2009-03-25 10:19 . 2009-03-25 10:19 <DIR> d--hs---- c:\dokumente und einstellungen\Administrator.BIE.000\PrivacIE
2009-03-25 10:17 . 2009-03-25 10:17 <DIR> d--hs---- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-03-25 10:17 . 2009-03-25 10:17 <DIR> d--hs---- c:\dokumente und einstellungen\LocalService\IETldCache
2009-03-25 10:16 . 2009-03-25 10:16 <DIR> d--hs---- c:\dokumente und einstellungen\Administrator.BIE.000\IETldCache
2009-03-25 10:12 . 2009-03-25 10:12 <DIR> d-------- c:\winxp\ie8updates
2009-03-25 10:09 . 2009-03-25 10:11 <DIR> d--h-c--- c:\winxp\ie8
2009-03-25 10:09 . 2009-02-28 05:55 105,984 -----c--- c:\winxp\system32\dllcache\iecompat.dll
2009-03-22 13:29 . 2009-03-22 13:29 <DIR> d-------- c:\winxp\VistaMizer ExpansionPack
2009-03-22 13:29 . 2009-03-25 20:07 <DIR> d-------- c:\programme\WinFlip
2009-03-22 13:29 . 2009-03-22 13:29 <DIR> d-------- c:\programme\VSE7
2009-03-22 13:29 . 2009-03-22 13:29 <DIR> d-------- c:\programme\VisualTaskTips
2009-03-22 13:29 . 2009-03-22 13:29 <DIR> d-------- c:\programme\VistaDriveIcon
2009-03-22 13:29 . 2009-03-22 13:29 <DIR> d-------- c:\programme\TrueTransparency
2009-03-22 13:29 . 2009-03-22 17:34 <DIR> d-------- c:\programme\Thoosje Vista Sidebar
2009-03-22 13:29 . 2009-03-22 13:29 <DIR> d-------- c:\programme\QTAddressBar
2009-03-22 13:29 . 2009-03-22 13:29 <DIR> d-------- c:\programme\glass2k
2009-03-22 13:29 . 2009-03-22 13:29 <DIR> d-------- c:\programme\Blaero Start Orb
2009-03-22 13:24 . 2009-03-22 13:24 8,294,454 --a------ c:\winxp\startup.bmp
2009-03-22 13:18 . 2009-03-22 13:24 <DIR> d-------- c:\winxp\VistaMizer
2009-03-22 12:53 . 2009-03-22 12:57 <DIR> d-------- c:\winxp\VCP_TEMP
2009-03-22 12:53 . 2009-03-22 12:53 <DIR> d-------- c:\winxp\VCP_SAVE
2009-03-22 12:53 . 2009-03-22 12:53 <DIR> d-------- c:\programme\Wallpapers
2009-03-22 12:53 . 2009-03-22 12:53 <DIR> d-------- c:\programme\Fonts
2009-03-22 12:53 . 2005-09-28 02:31 49,152 --a------ c:\winxp\system32\icon.exe
2009-03-22 12:17 . 2009-03-22 12:17 <DIR> d-------- c:\programme\Stardock
2009-03-22 10:51 . 2009-03-22 10:51 <DIR> d-------- c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\Styler
2009-03-22 10:46 . 2009-03-22 10:52 <DIR> d-------- c:\programme\Styler
2009-03-22 10:44 . 2008-04-14 13:00 219,136 --a------ c:\winxp\system32\uxtheme.uxtender
2009-03-22 10:34 . 2009-03-25 09:41 <DIR> d-------- c:\programme\AskBarDis
2009-03-22 10:34 . 2009-03-22 10:34 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Azureus
2009-03-22 10:34 . 2009-03-25 19:52 <DIR> d-------- c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\Azureus
2009-03-22 10:33 . 2009-03-22 10:33 <DIR> d-------- c:\programme\Vuze
2009-03-22 10:30 . 2009-03-22 10:29 73,728 --a------ c:\winxp\system32\javacpl.cpl
2009-03-21 21:07 . 2009-03-22 10:19 <DIR> d-------- c:\programme\BearShare
2009-03-21 19:05 . 2009-03-21 19:05 <DIR> d-------- c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\Media Player Classic
2009-03-21 19:04 . 2009-03-21 19:05 <DIR> d-------- c:\programme\K-Lite Codec Pack
2009-03-21 19:04 . 2004-10-14 08:33 2,024,448 --a------ c:\winxp\system32\divx.dll
2009-03-21 17:20 . 2009-03-21 21:05 <DIR> d-------- c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\eMule
2009-03-20 21:06 . 2009-03-20 21:06 <DIR> d-------- c:\programme\Win7codecs
2009-03-20 21:05 . 2009-03-20 21:05 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Win7codecs
2009-03-20 20:46 . 2009-03-20 20:46 <DIR> d-------- c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\DivX
2009-03-13 20:46 . 2009-03-24 23:11 <DIR> d-------- c:\programme\a-squared Free
2009-03-11 07:10 . 2008-04-14 13:00 221,184 --a------ c:\winxp\system32\wmpns.dll
2009-03-08 22:27 . 2009-03-25 18:21 <DIR> d-------- c:\dokumente und einstellungen\Administrator.BIE.000\.housecall6.6
2009-03-08 19:51 . 2009-03-08 21:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\WinZip
2009-03-08 14:29 . 2009-03-08 14:29 1,302,528 --------- c:\winxp\system32\ieframe.dll.mui
2009-03-08 14:29 . 2009-03-08 14:29 57,344 --------- c:\winxp\system32\msrating.dll.mui
2009-03-08 14:28 . 2009-03-08 14:28 2,560 --------- c:\winxp\system32\mshta.exe.mui
2009-03-08 14:27 . 2009-03-08 14:27 81,920 --------- c:\winxp\system32\iedkcs32.dll.mui
2009-03-08 14:27 . 2009-03-08 14:27 4,096 --------- c:\winxp\system32\ie4uinit.exe.mui
2009-03-08 14:09 . 2009-03-08 14:09 638,816 -----c--- c:\winxp\system32\dllcache\iexplore.exe
2009-03-08 14:09 . 2009-03-08 14:09 391,536 -----c--- c:\winxp\system32\dllcache\iedkcs32.dll
2009-03-08 11:30 . 2009-03-08 11:30 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\3A3D8
2009-03-08 04:41 . 2009-03-08 04:41 5,937,152 -----c--- c:\winxp\system32\dllcache\mshtml.dll
2009-03-08 04:34 . 2009-03-08 04:34 1,469,440 -----c--- c:\winxp\system32\dllcache\inetcpl.cpl
2009-03-08 04:34 . 2009-03-08 04:34 1,206,784 -----c--- c:\winxp\system32\dllcache\urlmon.dll
2009-03-08 04:34 . 2009-03-08 04:34 914,944 -----c--- c:\winxp\system32\dllcache\wininet.dll
2009-03-08 04:34 . 2009-03-08 04:34 236,544 -----c--- c:\winxp\system32\dllcache\webcheck.dll
2009-03-08 04:34 . 2009-03-08 04:34 193,536 -----c--- c:\winxp\system32\dllcache\msrating.dll
2009-03-08 04:34 . 2009-03-08 04:34 109,568 -----c--- c:\winxp\system32\dllcache\occache.dll
2009-03-08 04:34 . 2009-03-08 04:34 105,984 -----c--- c:\winxp\system32\dllcache\url.dll
2009-03-08 04:34 . 2009-03-08 04:34 43,008 -----c--- c:\winxp\system32\dllcache\licmgr10.dll
2009-03-08 04:33 . 2009-03-08 04:33 759,296 -----c--- c:\winxp\system32\dllcache\VGX.dll
2009-03-08 04:33 . 2009-03-08 04:33 726,528 -----c--- c:\winxp\system32\dllcache\jscript.dll
2009-03-08 04:33 . 2009-03-08 04:33 420,352 -----c--- c:\winxp\system32\dllcache\vbscript.dll
2009-03-08 04:33 . 2009-03-08 04:33 229,376 -----c--- c:\winxp\system32\dllcache\ieaksie.dll
2009-03-08 04:33 . 2009-03-08 04:33 125,952 -----c--- c:\winxp\system32\dllcache\ieakeng.dll
2009-03-08 04:33 . 2009-03-08 04:33 25,600 -----c--- c:\winxp\system32\dllcache\jsproxy.dll
2009-03-08 04:33 . 2009-03-08 04:33 18,944 -----c--- c:\winxp\system32\dllcache\corpol.dll
2009-03-08 04:32 . 2009-03-08 04:32 611,840 -----c--- c:\winxp\system32\dllcache\mstime.dll
2009-03-08 04:32 . 2009-03-08 04:32 173,056 -----c--- c:\winxp\system32\dllcache\ie4uinit.exe
2009-03-08 04:32 . 2009-03-08 04:32 163,840 -----c--- c:\winxp\system32\dllcache\ieakui.dll
2009-03-08 04:32 . 2009-03-08 04:32 128,512 -----c--- c:\winxp\system32\dllcache\advpack.dll
2009-03-08 04:32 . 2009-03-08 04:32 94,720 -----c--- c:\winxp\system32\dllcache\inseng.dll
2009-03-08 04:32 . 2009-03-08 04:32 72,704 -----c--- c:\winxp\system32\dllcache\admparse.dll
2009-03-08 04:32 . 2009-03-08 04:32 71,680 -----c--- c:\winxp\system32\dllcache\iesetup.dll
2009-03-08 04:32 . 2009-03-08 04:32 55,808 -----c--- c:\winxp\system32\dllcache\iernonce.dll
2009-03-08 04:31 . 2009-03-08 04:31 1,638,912 -----c--- c:\winxp\system32\dllcache\mshtml.tlb
2009-03-08 04:31 . 2009-03-08 04:31 348,160 -----c--- c:\winxp\system32\dllcache\dxtmsft.dll
2009-03-08 04:31 . 2009-03-08 04:31 216,064 -----c--- c:\winxp\system32\dllcache\dxtrans.dll
2009-03-08 04:31 . 2009-03-08 04:31 183,808 -----c--- c:\winxp\system32\dllcache\iepeers.dll
2009-03-08 04:31 . 2009-03-08 04:31 66,560 -----c--- c:\winxp\system32\dllcache\mshtmled.dll
2009-03-08 04:31 . 2009-03-08 04:31 48,128 -----c--- c:\winxp\system32\dllcache\mshtmler.dll
2009-03-08 04:31 . 2009-03-08 04:31 46,592 -----c--- c:\winxp\system32\dllcache\pngfilt.dll
2009-03-08 04:31 . 2009-03-08 04:31 45,568 -----c--- c:\winxp\system32\dllcache\mshta.exe
2009-03-08 04:31 . 2009-03-08 04:31 34,816 -----c--- c:\winxp\system32\dllcache\imgutil.dll
2009-03-08 04:30 . 2009-03-08 04:30 66,560 -----c--- c:\winxp\system32\dllcache\tdc.ocx
2009-03-08 04:24 . 2009-03-08 04:24 68,608 -----c--- c:\winxp\system32\dllcache\hmmapi.dll
2009-03-08 04:22 . 2009-03-08 04:22 156,160 -----c--- c:\winxp\system32\dllcache\msls31.dll
2009-03-05 13:29 . 2009-03-08 22:19 <DIR> d-------- c:\programme\Common Files
2009-03-05 13:22 . 2009-03-25 19:35 <DIR> d-------- c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\tor
2009-03-02 19:10 . 2009-03-02 19:10 67,584 --a------ c:\winxp\system32\ff_vfw.dll
2009-03-02 12:29 . 2009-03-02 12:29 505,128 --a------ c:\winxp\system32\msvcp71.dll
2009-03-02 12:29 . 2009-03-02 12:29 353,576 --a------ c:\winxp\system32\msvcr71.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-22 12:24 219,648 ----a-w c:\winxp\system32\uxtheme.dll
2009-03-22 09:29 410,984 ----a-w c:\winxp\system32\deploytk.dll
2009-03-13 20:36 --------- d-----w c:\programme\Google
2009-03-09 16:11 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-03-08 17:44 --------- d--h--w c:\programme\InstallShield Installation Information
2009-03-08 17:43 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2009-03-08 03:34 914,944 ----a-w c:\winxp\system32\wininet.dll
2009-03-08 03:34 43,008 ----a-w c:\winxp\system32\licmgr10.dll
2009-03-08 03:33 420,352 ----a-w c:\winxp\system32\vbscript.dll
2009-03-08 03:33 18,944 ----a-w c:\winxp\system32\corpol.dll
2009-03-08 03:32 72,704 ----a-w c:\winxp\system32\admparse.dll
2009-03-08 03:32 71,680 ----a-w c:\winxp\system32\iesetup.dll
2009-03-08 03:31 48,128 ----a-w c:\winxp\system32\mshtmler.dll
2009-03-08 03:31 45,568 ----a-w c:\winxp\system32\mshta.exe
2009-03-08 03:31 34,816 ----a-w c:\winxp\system32\imgutil.dll
2009-03-08 03:22 156,160 ----a-w c:\winxp\system32\msls31.dll
2009-02-22 15:32 1,003,520 ----a-w c:\winxp\system32\VSFilter.dll
2009-02-19 17:00 --------- d-----w c:\programme\Windows Live
2009-02-19 16:59 --------- d-----w c:\programme\Windows Live SkyDrive
2009-02-09 14:04 1,846,912 ----a-w c:\winxp\system32\win32k.sys
2009-02-06 17:52 49,504 ----a-w c:\winxp\system32\sirenacm.dll
2009-02-04 17:36 --------- d-----w c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\Leadertech
2009-02-04 17:25 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Downloaded Installations
2009-02-04 09:41 --------- d-----w c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\Nokia Multimedia Player
2009-02-03 14:43 --------- d-----w c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\Datalayer
2009-02-03 14:41 --------- d-----w c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\Nokia
2009-02-03 14:37 --------- d-----w c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\AdobeUM
2009-02-03 14:29 --------- d-----w c:\programme\DIFX
2009-02-03 14:29 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Suite
2009-02-03 14:29 --------- d-----w c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\PC Suite
2009-01-07 17:20 265,720 ----a-w c:\winxp\system32\msdbg2.dll
2009-01-07 17:20 26,144 ----a-w c:\winxp\system32\spupdsvc.exe
2009-01-07 17:20 26,112 ----a-w c:\winxp\system32\idndl.dll
2009-01-07 17:20 24,576 ----a-w c:\winxp\system32\nlsdl.dll
2009-01-07 17:20 23,552 ----a-w c:\winxp\system32\normaliz.dll
2008-12-31 14:00 98,304 ----a-w c:\winxp\system32\CmdLineExt.dll
2008-12-28 19:12 737,280 ----a-w c:\winxp\iun6002.exe
2008-06-04 17:25 84,418 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2008-06-03 11:33 16,384 --sha-w c:\winxp\system32\config\systemprofile\Cookies\index.dat
2008-06-03 11:33 32,768 --sha-w c:\winxp\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
2008-06-03 11:33 32,768 --sha-w c:\winxp\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
2008-06-03 11:33 32,768 --sha-w c:\winxp\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008060320080604\index.dat
.

------- Sigcheck -------

2008-04-14 13:00 589312 bf517c3fa60065df6d97744648602957 c:\winxp\system32\user32.dll
2008-04-14 13:00 580096 b0050cc5340e3a0760dd8b417ff7aebd c:\winxp\VistaMizer\old\user32.dll

2008-04-14 13:00 552448 ad37df3fb8f168e42c09b77b487f6812 c:\winxp\system32\winlogon.exe
2008-04-14 13:00 513024 f09a527b422e25c478e38caa0e44417a c:\winxp\VistaMizer\old\winlogon.exe

2008-08-14 19:22 2068352 c789b5aea9ab71c5bef6dd568f744842 c:\winxp\$hf_mig$\KB956841\SP3QFE\ntkrnlpa.exe
2008-08-14 14:19 2068352 326c258774eb791e78fea8a9e14d5c3e c:\winxp\Driver Cache\i386\ntkrnlpa.exe
2008-08-14 14:19 2325632 a076cfede0cf47fa54ea053d854541cd c:\winxp\system32\ntkrnlpa.exe
2008-08-14 14:19 2068352 326c258774eb791e78fea8a9e14d5c3e c:\winxp\VistaMizer\old\ntkrnlpa.exe

2008-08-14 19:22 2191488 59282efe7147c011530e51ff92ba86ac c:\winxp\$hf_mig$\KB956841\SP3QFE\ntoskrnl.exe
2008-08-14 14:19 2191488 934fbea25f8de017abfc6169b8446d94 c:\winxp\Driver Cache\i386\ntoskrnl.exe
2008-08-14 14:19 2448768 e9a2ba9155ea7a7b19e6130dbe9e629b c:\winxp\system32\ntoskrnl.exe
2008-08-14 14:19 2191488 934fbea25f8de017abfc6169b8446d94 c:\winxp\VistaMizer\old\ntoskrnl.exe

2008-04-14 13:00 1555456 8715ec841e2b29fb2f2c03f47360e99b c:\winxp\explorer.exe
2008-04-14 13:00 1036800 418045a93cd87a352098ab7dabe1b53e c:\winxp\VCP_SAVE\explorer.exe
2008-04-14 13:00 4922880 5c68baa6d3a3a4e8892abb1a878eacf9 c:\winxp\VCP_TEMP\explorer.exe
2008-04-14 13:00 4922880 5c68baa6d3a3a4e8892abb1a878eacf9 c:\winxp\VistaMizer\old\explorer.exe

2008-04-14 13:00 25088 7270f0b822cb67f0c32bef7fb00ca4d4 c:\winxp\system32\ctfmon.exe
2008-04-14 13:00 15360 01b4e6e990b6c5ea8856d96c7fd044b2 c:\winxp\VistaMizer\old\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-12-26 68856]
"ctfmon.exe"="c:\winxp\system32\ctfmon.exe" [2008-04-14 25088]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
"VisualTaskTips"="c:\programme\VisualTaskTips\VisualTaskTips.exe" [2008-06-22 65536]
"Vidalia"="c:\programme\Vidalia Bundle\Vidalia\vidalia.exe" [2009-01-21 4033618]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-22 148888]
"DrvIcon"="c:\programme\VistaDriveIcon\DrvIcon.exe" [2008-04-13 49152]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]

c:\dokumente und einstellungen\Administrator.BIE.000\Startmen�\Programme\Autostart\
Styler.lnk - c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\Microsoft\Installer\{E9ECF354-2422-4FDB-9ABF-D8ADAC0EF941}\_585b207a.exe [2009-03-22 15086]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Privoxy.lnk - c:\programme\Vidalia Bundle\Privoxy\privoxy.exe [2006-11-20 250368]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.3iv2"= 3ivxVfWCodec.dll
"VIDC.HFYU"= huffyuv.dll
"VIDC.VP31"= vp31vfw.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" silent

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"BearShare"="c:\programme\BearShare\BearShare.exe" /pause

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINXP\\system32\\sessmgr.exe"=
"c:\\Programme\\Alice Software\\AliceEinwahl.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*isabled:@xpsp2res.dll,-22009

R1 avfwot;avfwot;c:\winxp\system32\drivers\avfwot.sys [2008-07-22 71592]
R2 AntiVirFirewallService;Avira Premium Security Suite Firewall;c:\programme\Avira\Avira Premium Security Suite\avfwsvc.exe [2008-07-22 344321]
R2 AntiVirMailService;Avira Premium Security Suite MailGuard;c:\programme\Avira\Avira Premium Security Suite\avmailc.exe [2008-07-22 164097]
R2 antivirwebservice;Avira Premium Security Suite WebGuard;c:\programme\Avira\Avira Premium Security Suite\avwebgrd.exe [2008-07-22 258305]
R2 ASKService;ASKService;c:\programme\AskBarDis\bar\bin\AskService.exe [2009-03-22 464264]
R2 ASKUpgrade;ASKUpgrade;c:\programme\AskBarDis\bar\bin\ASKUpgrade.exe [2009-03-22 234888]
R2 AVEService;Avira Premium Security Suite MailGuard Hilfsdienst;c:\programme\Avira\Avira Premium Security Suite\avesvc.exe [2008-07-22 41217]
R3 avfwim;AvFw Packet Filter Miniport;c:\winxp\system32\drivers\avfwim.sys [2008-07-22 71464]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe --> c:\programme\NOS\bin\getPlus_HelperSvc.exe [?]
S3 GoogleDesktopManager-022208-143751;Google Desktop Manager 5.7.802.22438;"c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" --> c:\programme\Google\Google Desktop Search\GoogleDesktop.exe [?]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - tmcomm

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\winxp\system32\rundll32.exe" "c:\winxp\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.bearshare.com/de/
uInternet Connection Wizard,ShellNext = iexplore
LSP: avsda.dll
TCP: {0244F007-DB83-4C2A-BB9F-E2ADB6B2A270} = 213.191.74.11 213.191.92.82
FF - ProfilePath - c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\Mozilla\Firefox\Profiles\3dpdnlqm.default\
FF - prefs.js: browser.search.selectedEngine - Ask
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=10611&gct=&gc=1&q=
FF - prefs.js: network.proxy.http - 127.0.0.1
FF - prefs.js: network.proxy.http_port - 8118
FF - prefs.js: network.proxy.socks - 127.0.0.1
FF - prefs.js: network.proxy.socks_port - 9050
FF - prefs.js: network.proxy.ssl - 127.0.0.1
FF - prefs.js: network.proxy.ssl_port - 8118
FF - prefs.js: network.proxy.type - 1
FF - plugin: c:\programme\Win7codecs\rm\browser\plugins\nppl3260.dll
FF - plugin: c:\programme\Win7codecs\rm\browser\plugins\nprpjplug.dll

---- FIREFOX Richtlinien ----
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-25 20:34:17
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1214440339-2146953373-1547161642-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,b4,c5,cb,56,d2,33,42,45,ac,33,0b,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,b4,c5,cb,56,d2,33,42,45,ac,33,0b,\

[HKEY_USERS\S-1-5-21-1214440339-2146953373-1547161642-500\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]
@Denied: (Full) (LocalSystem)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1224)
c:\winxp\system32\SETUPAPI.dll
c:\winxp\system32\sfc_os.dll
c:\winxp\system32\COMRes.dll
c:\winxp\system32\cscui.dll

- - - - - - - > 'lsass.exe'(1304)
c:\winxp\system32\SETUPAPI.dll
.
Zeit der Fertigstellung: 2009-03-25 20:36:15
ComboFix-quarantined-files.txt 2009-03-25 19:36:12
ComboFix2.txt 2009-03-25 11:25:52

Vor Suchlauf: 12 Verzeichnis(se), 68.026.359.808 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 68,017,016,832 Bytes frei

288 --- E O F --- 2009-03-13 14:02:07




Hier das Ergebnis HJT:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:44:22, on 25.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\Avira Premium Security Suite\sched.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
C:\Programme\AskBarDis\bar\bin\AskService.exe
C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe
C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINXP\system32\WgaTray.exe
C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe
C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
C:\WINXP\System32\svchost.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\VistaDriveIcon\DrvIcon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\VisualTaskTips\VisualTaskTips.exe
C:\Programme\Styler\Styler.exe
C:\Programme\Alice Software\AliceEinwahl.exe
C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe
C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
C:\Programme\Vidalia Bundle\Tor\tor.exe
C:\WINXP\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - (no file)
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programme\Styler\TB\StylerTB.dll
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [DrvIcon] C:\Programme\VistaDriveIcon\DrvIcon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [VisualTaskTips] "C:\Programme\VisualTaskTips\VisualTaskTips.exe" noTrayIcon
O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: Styler.lnk = ?
O4 - Global Startup: Privoxy.lnk = C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0244F007-DB83-4C2A-BB9F-E2ADB6B2A270}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Avira Premium Security Suite Firewall (AntiVirFirewallService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avfwsvc.exe
O23 - Service: Avira Premium Security Suite MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe
O23 - Service: Avira Premium Security Suite Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\sched.exe
O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
O23 - Service: Avira Premium Security Suite WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
O23 - Service: ASKService - Unknown owner - C:\Programme\AskBarDis\bar\bin\AskService.exe
O23 - Service: ASKUpgrade - Unknown owner - C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe
O23 - Service: Avira Premium Security Suite MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
O23 - Service: getPlus(R) Helper - Unknown owner - C:\Programme\NOS\bin\getPlus_HelperSvc.exe (file missing)
O23 - Service: Google Desktop Manager 5.7.802.22438 (GoogleDesktopManager-022208-143751) - Unknown owner - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 7265 bytes


Was soll ich jetzt tun?

#4 >>
Vermutlich ist es eine Falschmeldung, poste dazu das Log von A.-squared.

MAch trotzdem noch folgendes:

>>
Versteckte Dateien sichtbar machen:
1. Klicke unter Start auf Arbeitsplatz.
2. Klicke im Menü Extras auf Ordneroptionen.
3. Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen
4. Geschützte und Systemdateien ausblenden --> Haken entfernen
5. Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen.

Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.
http://virus-protect.org/invisible.html


>>
Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis:

c:\winxp\system32\iedkcs32.dll

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

>>
1.
Start-> Einstellungen- Systemsteuerung- Verwaltung- Computerverwaltung und dann den Eintrag Dienste auswählen.

Nun werden alle laufenden Dienste angezeigt. Hier die Punkte

ASKUpgrade

ASKService

aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
Dienst beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der Dienst läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

2.
Start --> Ausführen --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke nach jedem O.K.

sc stop ASKUpgrade

sc delete ASKUpgrade

del C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe

sc stop ASKService

sc delete ASKService

del C:\Programme\AskBarDis\bar\bin\AskService.exe


>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/de/

R3 - URLSearchHook: (no name) - - (no file)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O3 - Toolbar: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - (no file)

O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)

O23 - Service: ASKService - Unknown owner - C:\Programme\AskBarDis\bar\bin\AskService.exe

O23 - Service: ASKUpgrade - Unknown owner - C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe

und wähle fix checked.

Starte den Rechner neu.

http://www.virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

ASKService

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn

das gleiche mit:
ASKUpgrade


>>
Dann überlege Dir, ob Du diese Programme wirklich willst:
c:\programme\Vuze
c:\programme\BearShare
http://virus-protect.org/artikel/spyware/bearshare.html


Gruss Swiss

#5 Huhu! Alsp, ich habe gestern Abend nochmal a-sqared durchlaufen lassen, und er hat dieses mal folgendes gefunden, habe es aber gleich gelöscht:



a-squared Free - Version 4.0
Letztes Update: 25.03.2009 22:21:34

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Speicher, Traces, Cookies, C:\
Archiv Scan: An
Heuristik: Aus
ADS Scan: An

Scan Beginn: 25.03.2009 22:22:22

Key: HKEY_USERS\S-1-5-21-1214440339-2146953373-1547161642-500\software\kazaa gefunden: Trace.Registry.KaZaA!A2
C:\System Volume Information\_restore{5FA0354B-D5A8-4BFC-9E52-42F218F0ADC3}\RP132\A0019230.exe/InstallOptions.dll gefunden: Trojan.Win32.Wintrim!IK

Gescannt

Dateien: 75923
Traces: 551678
Cookies: 5
Prozesse: 41

Gefunden

Dateien: 1
Traces: 1
Cookies: 0
Prozesse: 0
Registry Keys: 0

Scan Ende: 25.03.2009 23:48:27
Scan Zeit: 1:26:05

C:\System Volume Information\_restore{5FA0354B-D5A8-4BFC-9E52-42F218F0ADC3}\RP132\A0019230.exe/InstallOptions.dll Gelöscht Trojan.Win32.Wintrim!IK
Key: HKEY_USERS\S-1-5-21-1214440339-2146953373-1547161642-500\software\kazaa Gelöscht Trace.Registry.KaZaA!A2

Gelöscht

Dateien: 1
Traces: 1
Cookies: 0




Habe mit Virus Total Prüfen lassen, und wurde nichts gefunden:

MD5: 4646415e600afeb74b0279d89754f52f
First received: -
Datum 2009.03.24 21:23:47 (CET) [+1D]
Ergebnisse 0/39
Permalink: analisis/60e9b4c250ea4dfa9582d4cbe57979c9

#6 A-squard is leider fuehrend, in Sachen Fehlalarme!
In dem Fall ist es die lizensierte Engine von Ikarus...
__________
MfG Ralf
SEO-Spam Hunter

#7 Das hier konnte NICHT ausgeführt werden:


O23 - Service: ASKService - Unknown owner - C:\Programme\AskBarDis\bar\bin\AskService.exe

O23 - Service: ASKUpgrade - Unknown owner - C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe

(War beides nicht in der Liste von HJT angezeigt)



Und dieses hier!

http://www.virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

ASKService

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn

das gleiche mit:
ASKUpgrade


Beareshare ist inzwischen gelöscht, sowie Vuze!

#8 Hi,
bist du dir sicher das es das richtige Log von A-squared war?
du hast doch gesagt da wurde was vom messenger gelöscht.
du könntest die Dateien aus der Quarantäne herraus versenden mit Verdacht auf Fehlalarm.

#9 Huhu! Der Bericht von a-sqared wurde von mir gestern Abend durchgeführt, nachdem ich den Backdoor mit Anti-Malware gelöscht habe!

Habe gerade nochmal Anti-Malware durchlaufen lassen, der Pc scheint sauber zu sein!?

Kann ich wieder Onlinebanking machen?

#10 hallo, das log, wo der eintrag vom messenger gefunden wurde ist interessant, es handelt scih wohl um einen fehlalarm.

#11

Zitat

virenfinder postete
hallo, das log, wo der eintrag vom messenger gefunden wurde ist interessant, es handelt scih wohl um einen fehlalarm.

Ok, ist es sicher ein Fehlalarm gewesen?

Habe mir jetzt noch Tor runtergeladen....

#12

Zitat

Habe mir jetzt noch Tor runtergeladen....

Wozu, ausser, das du noch mehr "rummel" auf deinem Rechner installierst?
__________
MfG Ralf
SEO-Spam Hunter

#13 "wohl"....
das log bitte. außerdem hab ich dir ja gesagt was du machen sollst, in die quarantäne gehen, die datei an a-squared senden mit verdacht auf fehlalarm...
p.s du kannst aber davonausgehen, dass die Datei ein Fehlalarm ist.

#14 Poste bitte noch ein neues Hijackthis Log.

Gruss Swiss

#15 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:44:49, on 26.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\Avira Premium Security Suite\sched.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINXP\system32\WgaTray.exe
C:\WINXP\Explorer.EXE
C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe
C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
C:\WINXP\System32\svchost.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\VistaDriveIcon\DrvIcon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\VisualTaskTips\VisualTaskTips.exe
C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe
C:\Programme\Vidalia Bundle\Tor\tor.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [DrvIcon] C:\Programme\VistaDriveIcon\DrvIcon.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [VisualTaskTips] "C:\Programme\VisualTaskTips\VisualTaskTips.exe" noTrayIcon
O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [CCleaner] "C:\Programme\CCleaner\CCleaner.exe" /AUTO
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: Privoxy.lnk = C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0244F007-DB83-4C2A-BB9F-E2ADB6B2A270}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Avira Premium Security Suite Firewall (AntiVirFirewallService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avfwsvc.exe
O23 - Service: Avira Premium Security Suite MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe
O23 - Service: Avira Premium Security Suite Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\sched.exe
O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
O23 - Service: Avira Premium Security Suite WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
O23 - Service: Avira Premium Security Suite MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
O23 - Service: getPlus(R) Helper - Unknown owner - C:\Programme\NOS\bin\getPlus_HelperSvc.exe (file missing)
O23 - Service: Google Desktop Manager 5.7.802.22438 (GoogleDesktopManager-022208-143751) - Unknown owner - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe

--
End of file - 6674 bytes