MBAM hat heute folgendes gefunden... |
||
---|---|---|
#0
| ||
22.04.2009, 18:24
Member
Beiträge: 690 |
||
|
||
22.04.2009, 18:26
Member
Beiträge: 3716 |
#2
um welche dagtei handelt es sich, pfad bitte...
|
|
|
||
22.04.2009, 19:48
Member
Themenstarter Beiträge: 690 |
#3
avira hat jetzt folgendes gefunden:
In der Datei 'C:\System Volume Information\_restore{8F03C794-54C4-4072-AB39-2063B82419B9}\RP126\A0015990.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Killav.28714' [trojan] gefunden. |
|
|
||
22.04.2009, 19:58
Member
Beiträge: 3716 |
#4
aha, was ist mit meiner Frage?
|
|
|
||
22.04.2009, 20:06
Member
Themenstarter Beiträge: 690 |
#5
ich arbeite den thread von sabina ab..bin gleich soweit
|
|
|
||
22.04.2009, 20:13
Member
Beiträge: 3716 |
#6
ein neues log wird nicht meine frage beantworten, dass file wurde ja schon gelöscht.
|
|
|
||
22.04.2009, 20:19
Member
Themenstarter Beiträge: 690 |
#7
wo finde ich bitte den pfad?
hier mal das von sabina: 22.04.2009 20:14:06 mbam-log-2009-04-22 (20-14-06).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 95656 Laufzeit: 26 minute(s), 11 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe (Rogue.RegTool) -> Quarantined and deleted successfully. ComboFix 09-04-23.02 - gero 22.04.2009 19:51.8 - NTFSx86 ausgeführt von:: c:\dokumente und einstellungen\gero\Eigene Dateien\Eigene Videos\ComboFix.exe . ((((((((((((((((((((((( Dateien erstellt von 2009-03-23 bis 2009-04-23 )))))))))))))))))))))))))))))) . 2009-04-15 13:04 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe 2009-04-15 13:04 . 2009-03-06 14:19 286720 -c----w c:\windows\system32\dllcache\pdh.dll 2009-04-15 13:04 . 2009-02-09 11:21 111104 -c----w c:\windows\system32\dllcache\services.exe 2009-04-15 13:04 . 2009-02-09 10:51 736768 -c----w c:\windows\system32\dllcache\lsasrv.dll 2009-04-15 13:04 . 2009-02-09 10:51 401408 -c----w c:\windows\system32\dllcache\rpcss.dll 2009-04-15 13:04 . 2009-02-09 10:51 678400 -c----w c:\windows\system32\dllcache\advapi32.dll 2009-04-15 13:04 . 2009-02-09 10:51 473600 -c----w c:\windows\system32\dllcache\fastprox.dll 2009-04-15 13:04 . 2009-02-09 10:51 740352 -c----w c:\windows\system32\dllcache\ntdll.dll 2009-04-15 13:04 . 2009-02-09 10:51 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-04-22 16:12 . 2008-06-17 13:23 -------- d-----w c:\dokumente und einstellungen\gero\Anwendungsdaten\Skype 2009-04-22 14:30 . 2008-06-17 13:27 -------- d-----w c:\dokumente und einstellungen\gero\Anwendungsdaten\skypePM 2009-04-07 16:06 . 2009-02-20 16:04 -------- d-----w c:\programme\Malwarebytes' Anti-Malware 2009-04-06 13:32 . 2009-02-20 16:04 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys 2009-04-06 13:32 . 2009-02-20 16:04 15504 ----a-w c:\windows\system32\drivers\mbam.sys 2009-03-29 18:03 . 2008-06-22 16:44 -------- d-----w c:\programme\Java 2009-03-29 18:03 . 2006-02-28 12:00 72886 ----a-w c:\windows\system32\perfc007.dat 2009-03-29 18:03 . 2006-02-28 12:00 411840 ----a-w c:\windows\system32\perfh007.dat 2009-03-23 13:41 . 2009-03-23 13:41 -------- d-----w c:\programme\Avira 2009-03-23 13:41 . 2009-03-23 13:41 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2009-03-12 20:56 . 2009-03-12 20:56 -------- d-----w c:\programme\Gemeinsame Dateien\Skype 2009-03-12 20:56 . 2008-06-17 13:22 -------- d-----w c:\programme\Skype 2009-03-12 20:56 . 2008-06-17 13:22 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype 2009-03-09 03:19 . 2009-02-27 02:34 410984 ----a-w c:\windows\system32\deploytk.dll 2009-03-08 03:34 . 2006-02-28 12:00 914944 ----a-w c:\windows\system32\wininet.dll 2009-03-08 03:34 . 2006-02-28 12:00 43008 ----a-w c:\windows\system32\licmgr10.dll 2009-03-08 03:33 . 2006-02-28 12:00 18944 ----a-w c:\windows\system32\corpol.dll 2009-03-08 03:33 . 2006-02-28 12:00 420352 ----a-w c:\windows\system32\vbscript.dll 2009-03-08 03:32 . 2006-02-28 12:00 72704 ----a-w c:\windows\system32\admparse.dll 2009-03-08 03:32 . 2006-02-28 12:00 71680 ----a-w c:\windows\system32\iesetup.dll 2009-03-08 03:31 . 2006-02-28 12:00 34816 ----a-w c:\windows\system32\imgutil.dll 2009-03-08 03:31 . 2006-02-28 12:00 48128 ----a-w c:\windows\system32\mshtmler.dll 2009-03-08 03:31 . 2006-02-28 12:00 45568 ----a-w c:\windows\system32\mshta.exe 2009-03-08 03:22 . 2006-02-28 12:00 156160 ----a-w c:\windows\system32\msls31.dll 2009-03-06 14:19 . 2006-02-28 12:00 286720 ----a-w c:\windows\system32\pdh.dll 2009-03-01 15:43 . 2009-03-01 15:43 -------- d-----w c:\programme\xp-AntiSpy 2009-02-27 01:53 . 2009-02-27 01:53 -------- d-----w c:\programme\CCleaner 2009-02-27 01:45 . 2009-02-27 01:45 -------- d-----w c:\programme\firetune 2009-02-09 20:17 . 2007-08-16 20:10 29920 ----a-w c:\dokumente und einstellungen\gero\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-02-09 14:04 . 2006-02-28 12:00 1846912 ----a-w c:\windows\system32\win32k.sys 2009-02-09 13:55 . 2009-02-09 13:55 150 ----a-w C:\YServer.txt 2009-02-09 11:21 . 2004-08-04 00:50 2026496 ----a-w c:\windows\system32\ntkrnlpa.exe 2009-02-09 11:21 . 2006-02-28 12:00 2147840 ----a-w c:\windows\system32\ntoskrnl.exe 2009-02-09 11:21 . 2006-02-28 12:00 111104 ----a-w c:\windows\system32\services.exe 2009-02-09 10:51 . 2006-02-28 12:00 736768 ----a-w c:\windows\system32\lsasrv.dll 2009-02-09 10:51 . 2006-02-28 12:00 401408 ----a-w c:\windows\system32\rpcss.dll 2009-02-09 10:51 . 2006-02-28 12:00 678400 ----a-w c:\windows\system32\advapi32.dll 2009-02-09 10:51 . 2006-02-28 12:00 740352 ----a-w c:\windows\system32\ntdll.dll 2009-02-06 10:39 . 2006-02-28 12:00 35328 ----a-w c:\windows\system32\sc.exe 2009-02-03 19:57 . 2006-02-28 12:00 56832 ----a-w c:\windows\system32\secur32.dll 2006-12-12 09:13 . 2006-12-12 09:13 32768 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\EBLib.dll 2006-07-28 14:25 . 2006-07-28 14:25 19456 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\LPCFilter.sys 2003-12-30 21:00 . 2008-08-06 17:40 69632 ----a-w c:\dokumente und einstellungen\gero\setup.exe 2003-12-30 21:00 . 2008-08-06 17:40 1505032 ----a-w c:\dokumente und einstellungen\gero\InstMsiW.exe 2003-12-30 21:00 . 2008-08-06 17:40 1494280 ----a-w c:\dokumente und einstellungen\gero\InstMsi.exe 2008-05-06 19:06 . 2008-05-06 19:06 32768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008050620080507\index.dat . ------- Sigcheck ------- [-] 2009-01-08 06:47 24064 C3A2915C71AE6F225EB906C25CCD29B5 c:\windows\ServicePackFiles\i386\ctfmon.exe [-] 2009-01-08 06:47 24064 C3A2915C71AE6F225EB906C25CCD29B5 c:\windows\system32\ctfmon.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "igfxtray"="c:\windows\system32\igfxtray.exe" [2007-07-25 94208] "igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2007-07-25 77824] "igfxpers"="c:\windows\system32\igfxpers.exe" [2007-07-25 118784] "HWSetup"="c:\programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-05-01 28672] "ACU"="c:\programme\Atheros\ACU.exe" [2007-04-16 372825] "PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2003-11-10 406016] "Matrox PowerDesk SE"="c:\programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe" [2006-10-19 237568] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888] "RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-07-25 16377344] "NDSTray.exe"="NDSTray.exe" [BU] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2009-01-08 24064] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk backup=c:\windows\pss\Acrobat Assistant.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=c:\windows\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^gero^Startmenü^Programme^Autostart^Check for TWS Updates.lnk] path=c:\dokumente und einstellungen\gero\Startmenü\Programme\Autostart\Check for TWS Updates.lnk backup=c:\windows\pss\Check for TWS Updates.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "de_serv"=3 (0x3) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\Programme\\TOSHIBA\\ConfigFree\\CFXFER.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Java\\j2re1.4.2_17\\bin\\java.exe"= "c:\\Programme\\Java\\j2re1.4.2_17\\bin\\javaw.exe"= "c:\\Programme\\Malwarebytes' Anti-Malware\\mbam.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-06-19 28544] S0 VOBID;VOBID;c:\windows\system32\DRIVERS\vobid.sys [2003-08-01 29239] S1 vobiw;vobiw; [x] S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-03-05 108289] S2 Matrox Centering Service;Matrox Centering Service;c:\programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk.Services.exe [2006-10-19 233472] S2 MtxIic;MtxIic;c:\windows\system32\drivers\MtxIicKrnlNT.sys [2005-10-03 20992] S3 cdrdrv;cdrdrv;c:\windows\system32\Drivers\Cdrdrv.sys [2004-08-03 62976] S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2009-04-06 38496] S3 WSIMD;wsimd Service;c:\windows\system32\DRIVERS\wsimd.sys [2007-03-28 57024] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - MBAMSWISSARMY [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5b9818ca-85a1-11dd-98f4-001b9e257e70}] \Shell\AutoRun\command - G:\AutoRun.exe [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] "c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP . Inhalt des "geplante Tasks" Ordners 2009-03-20 c:\windows\Tasks\User_Feed_Synchronization-{FB36249F-939E-4AB1-8FD7-8DF066F9EEA1}.job - c:\windows\system32\msfeedssync.exe [2007-08-13 03:31] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://google.de/ DPF: {439B6D3C-A359-4D73-8515-2AFE8CF90C08} - hxxp://www.tradesignalonline.com/gallery/components/axts5we.cab FF - ProfilePath - c:\dokumente und einstellungen\gero\Anwendungsdaten\Mozilla\Firefox\Profiles\oi7sp5sf.default\ FF - prefs.js: browser.search.selectedEngine - LEO Eng-Deu FF - prefs.js: browser.startup.homepage - hxxp://www.traderzlounge.de/Forum/index.php FF - component: c:\dokumente und einstellungen\gero\Anwendungsdaten\Mozilla\Firefox\Profiles\oi7sp5sf.default\extensions\support@lastpass.com\platform\WINNT_x86-msvc\components\lpxpcom.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-04-22 19:54 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(460) c:\programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk.Hooks.dll c:\windows\system32\webcheck.dll c:\windows\system32\IEFRAME.dll c:\windows\system32\msls31.dll . Zeit der Fertigstellung: 2009-04-22 19:56 ComboFix-quarantined-files.txt 2009-04-22 17:56 Vor Suchlauf: 10 Verzeichnis(se), 50.489.049.088 Bytes frei Nach Suchlauf: 9 Verzeichnis(se), 50.480.734.208 Bytes frei 158 --- E O F --- 2009-04-15 16:09 Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:02:29, on 22.04.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\acs.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\system32\agrsmsvc.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk.Services.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [HWSetup] C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe O4 - HKLM\..\Run: [ACU] C:\Programme\Atheros\ACU.exe -nogui O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe O4 - HKLM\..\Run: [Matrox PowerDesk SE] "C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O16 - DPF: {439B6D3C-A359-4D73-8515-2AFE8CF90C08} (TradeSignal 5 Web Edition) - http://www.tradesignalonline.com/gallery/components/axts5we.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Atheros-Konfigurationsdienst (ACS) - Atheros - C:\WINDOWS\system32\acs.exe O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Matrox Centering Service - Unknown owner - C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk.Services.exe -- End of file - 4519 bytes Adobe Flash Player 10 Plugin Atheros Client Utility Atheros Driver Installation Program Avira AntiVir Personal - Free Antivirus Canon iP2500 series Canon iP2500 series Benutzerregistrierung Canon Utilities Easy-PrintToolBox CCleaner (remove only) FastStone Capture 5.3 HijackThis 2.0.2 Intel(R) Graphics Media Accelerator Driver Java 2 Runtime Environment, SE v1.4.2_17 Java(TM) 6 Update 13 Malwarebytes' Anti-Malware Matrox DualHead2Go Matrox PowerDesk-SE Microsoft .NET Framework 2.0 Language Pack - DEU Microsoft .NET Framework 2.0 Service Pack 1 Microsoft Office 2000 Premium Microsoft Visual C++ 2005 Redistributable Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Mozilla Firefox (3.0.8) MSXML 4.0 SP2 (KB936181) MSXML 4.0 SP2 (KB954430) MSXML 4.0 SP2 Parser and SDK OpenOffice.org Installer 1.0 Pinnacle InstantCD/DVD Suite REALTEK GbE & FE Ethernet PCI-E NIC Driver Realtek High Definition Audio Driver Sicherheitsupdate für Windows Media Player (KB952069) Sicherheitsupdate für Windows XP (KB938464) Sicherheitsupdate für Windows XP (KB952004) Sicherheitsupdate für Windows XP (KB954211) Sicherheitsupdate für Windows XP (KB954459) Sicherheitsupdate für Windows XP (KB954600) Sicherheitsupdate für Windows XP (KB955069) Sicherheitsupdate für Windows XP (KB956391) Sicherheitsupdate für Windows XP (KB956572) Sicherheitsupdate für Windows XP (KB956802) Sicherheitsupdate für Windows XP (KB956803) Sicherheitsupdate für Windows XP (KB956841) Sicherheitsupdate für Windows XP (KB957095) Sicherheitsupdate für Windows XP (KB957097) Sicherheitsupdate für Windows XP (KB958644) Sicherheitsupdate für Windows XP (KB958687) Sicherheitsupdate für Windows XP (KB958690) Sicherheitsupdate für Windows XP (KB959426) Sicherheitsupdate für Windows XP (KB960225) Sicherheitsupdate für Windows XP (KB960715) Sicherheitsupdate für Windows XP (KB960803) Sicherheitsupdate für Windows XP (KB961373) Skype™ 3.8 soft Xpansion PDF Quick Reader 5 TOSHIBA Accessibility TOSHIBA ConfigFree TOSHIBA Hardware Setup TOSHIBA PC-Diagnose-Tool TOSHIBA Software Modem Trader Workstation 4.0 tradesignal web edition Update für Windows Internet Explorer 8 (KB968220) Update für Windows XP (KB955839) Update für Windows XP (KB967715) Windows Internet Explorer 8 xp-AntiSpy 3.97-2 |
|
|
||
22.04.2009, 20:26
Member
Beiträge: 3716 |
#8
Hi,
geh mal in die quarantäne von mbm stelle das wieder her: C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe dann geh auf: http://www.virustotal.com/en/indexf.html und prüfe C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe poste das ergebniss. wenn steht datei bereits analysiert, klicke erneut analysieren. |
|
|
||
22.04.2009, 20:34
Member
Themenstarter Beiträge: 690 |
#9
File RegTool.exe received on 04.22.2009 20:30:35 (CET)
Antivirus Version Last Update Result a-squared 4.0.0.101 2009.04.22 - AhnLab-V3 5.0.0.2 2009.04.22 - AntiVir 7.9.0.148 2009.04.22 - Antiy-AVL 2.0.3.1 2009.04.22 - Authentium 5.1.2.4 2009.04.22 - Avast 4.8.1335.0 2009.04.22 - AVG 8.5.0.287 2009.04.22 - BitDefender 7.2 2009.04.22 - CAT-QuickHeal 10.00 2009.04.22 - ClamAV 0.94.1 2009.04.22 - Comodo 1127 2009.04.22 - DrWeb 4.44.0.09170 2009.04.22 - eSafe 7.0.17.0 2009.04.21 - eTrust-Vet 31.6.6440 2009.04.20 - F-Prot 4.4.4.56 2009.04.22 - F-Secure 8.0.14470.0 2009.04.22 - Fortinet 3.117.0.0 2009.04.22 - GData 19 2009.04.22 - Ikarus T3.1.1.49.0 2009.04.22 - K7AntiVirus 7.10.710 2009.04.21 - Kaspersky 7.0.0.125 2009.04.22 - McAfee 5592 2009.04.22 - McAfee+Artemis 5592 2009.04.22 - McAfee-GW-Edition 6.7.6 2009.04.22 - Microsoft 1.4602 2009.04.22 - NOD32 4028 2009.04.22 - Norman 6.00.06 2009.04.22 - nProtect 2009.1.8.0 2009.04.22 - Panda 10.0.0.14 2009.04.22 - PCTools 4.4.2.0 2009.04.21 - Prevx1 V2 2009.04.22 - Rising 21.26.24.00 2009.04.22 - Sophos 4.40.0 2009.04.22 - Sunbelt 3.2.1858.2 2009.04.22 - Symantec 1.4.4.12 2009.04.22 - TheHacker 6.3.4.0.312 2009.04.22 - TrendMicro 8.700.0.1004 2009.04.22 - VBA32 3.12.10.2 2009.04.21 - ViRobot 2009.4.22.1704 2009.04.22 - VirusBuster 4.6.5.0 2009.04.22 - Additional information File size: 245760 bytes MD5...: 62d0dd66f197de3ef3caa455e9656ead SHA1..: 0de17e29dcfc25299e66adb355ca8fd135a26a67 SHA256: 1d9d2367db844fcb0337692a8ebd4c26ed048ac9c65e65a87cfb3ee738e2c4d7 SHA512: 61ea6a98f2e5e34c8b278f9b3410ea01ff67cff76fb7fc955113e6054229f682<br>52a8072f6d8c86e837ce9e4c5ddaeb5ec51493e99baf81c357679b646791d472 ssdeep: 6144:Hoxm3ggtakJWVyfK10nw4urk5ej/JrNl1VSgEu:b3ggf5K10nw4uTj/Jrz1<br>VSg<br> PEiD..: - TrID..: File type identification<br>Win32 Executable MS Visual C++ (generic) (53.1%)<br>Windows Screen Saver (18.4%)<br>Win32 Executable Generic (12.0%)<br>Win32 Dynamic Link Library (generic) (10.6%)<br>Generic Win/DOS Executable (2.8%) PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0xfd8f<br>timedatestamp.....: 0x3e3a9bed (Fri Jan 31 15:53:17 2003)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x2787a 0x28000 6.57 96154d42bea0ee83c4b31956b8a92024<br>.rdata 0x29000 0xabbe 0xb000 4.95 a08a4abf3ada050877d03b6a573e4167<br>.data 0x34000 0x15934 0x2000 4.57 82222ae4dc18b89ec9d5bf7c964f3ea6<br>.rsrc 0x4a000 0x5198 0x6000 3.04 96779c8477391841c1afba91459c5a10<br><br>( 14 imports ) <br>> SHFOLDER.dll: SHGetFolderPathA<br>> KERNEL32.dll: ExitProcess, TerminateProcess, HeapReAlloc, HeapSize, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, SetUnhandledExceptionFilter, GetStdHandle, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, QueryPerformanceCounter, GetCommandLineA, GetSystemTimeAsFileTime, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, GetTimeZoneInformation, IsBadReadPtr, IsBadCodePtr, VirtualProtect, GetSystemInfo, VirtualQuery, SetStdHandle, SetEnvironmentVariableA, GetStartupInfoA, RaiseException, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, RtlUnwind, HeapFree, HeapAlloc, GetTickCount, FileTimeToLocalFileTime, SetErrorMode, GetOEMCP, GetCPInfo, GetFullPathNameA, GetVolumeInformationA, GetCurrentProcess, DuplicateHandle, SetEndOfFile, UnlockFile, LockFile, FlushFileBuffers, SetFilePointer, WriteFile, ReadFile, WritePrivateProfileStringA, GlobalFlags, TlsFree, DeleteCriticalSection, LocalReAlloc, TlsSetValue, TlsAlloc, InitializeCriticalSection, TlsGetValue, EnterCriticalSection, GlobalHandle, GlobalReAlloc, LeaveCriticalSection, InterlockedIncrement, GlobalGetAtomNameA, GlobalFindAtomA, lstrcatA, lstrcmpW, FreeResource, GlobalAddAtomA, GetCurrentThread, GetCurrentThreadId, GlobalDeleteAtom, lstrcmpA, GetModuleHandleA, ConvertDefaultLocale, EnumResourceLanguagesA, lstrcpyA, GetModuleFileNameA, GetLastError, SetLastError, GlobalFree, FindResourceA, LoadResource, LockResource, SizeofResource, MulDiv, GlobalAlloc, GlobalLock, GlobalUnlock, FormatMessageA, lstrcpynA, GetProcAddress, LocalAlloc, LocalFree, FindFirstFileA, GetFileAttributesA, CreateFileA, GetFileTime, FileTimeToSystemTime, GetFileSize, CloseHandle, GetSystemDirectoryA, FindClose, InterlockedDecrement, SetCurrentDirectoryA, LoadLibraryA, FreeLibrary, GetLocalTime, DeleteFileA, lstrlenA, lstrcmpiA, CompareStringW, CompareStringA, GetVersion, WideCharToMultiByte, MultiByteToWideChar, GetVersionExA, GetCurrentProcessId<br>> USER32.dll: RegisterClipboardFormatA, DestroyMenu, MessageBeep, GetNextDlgGroupItem, InvalidateRgn, InvalidateRect, CopyAcceleratorTableA, SetRect, IsRectEmpty, CharNextA, ReleaseCapture, SetCapture, LoadCursorA, GetSysColorBrush, EndPaint, BeginPaint, GetWindowDC, ClientToScreen, GrayStringA, DrawTextExA, DrawTextA, TabbedTextOutA, ReleaseDC, GetDC, ShowWindow, MoveWindow, SetWindowTextA, IsDialogMessageA, RegisterWindowMessageA, WinHelpA, GetCapture, CreateWindowExA, GetClassLongA, GetClassInfoExA, GetClassNameA, SetPropA, GetPropA, RemovePropA, SendDlgItemMessageA, SetFocus, IsChild, GetWindowTextA, GetForegroundWindow, GetTopWindow, GetMessageTime, GetMessagePos, MapWindowPoints, SetForegroundWindow, UpdateWindow, GetMenu, GetSysColor, AdjustWindowRectEx, CharUpperA, DrawIcon, SendMessageA, IsIconic, GetClientRect, EnableWindow, LoadIconA, GetSystemMetrics, EqualRect, GetClassInfoA, RegisterClassA, UnregisterClassA, GetDlgCtrlID, DefWindowProcA, CallWindowProcA, SetWindowLongA, OffsetRect, IntersectRect, SystemParametersInfoA, GetWindowPlacement, GetWindowRect, CopyRect, PtInRect, GetDesktopWindow, SetActiveWindow, CreateDialogIndirectParamA, DestroyWindow, IsWindow, GetNextDlgTabItem, EndDialog, GetWindow, SetWindowContextHelpId, MapDialogRect, SetWindowPos, GetDlgItem, SetWindowsHookExA, CallNextHookEx, GetMessageA, TranslateMessage, DispatchMessageA, GetActiveWindow, IsWindowVisible, GetKeyState, PostThreadMessageA, GetWindowTextLengthA, GetSubMenu, GetMenuItemCount, GetMenuItemID, GetMenuState, UnhookWindowsHookEx, LoadBitmapA, GetMenuCheckMarkDimensions, CheckMenuItem, EnableMenuItem, ModifyMenuA, GetParent, GetFocus, SetMenuItemBitmaps, IsWindowEnabled, GetLastActivePopup, GetWindowLongA, MessageBoxA, PostMessageA, wsprintfA, PostQuitMessage, SetCursor, ValidateRect, GetCursorPos, PeekMessageA<br>> GDI32.dll: GetMapMode, GetRgnBox, GetTextColor, GetBkColor, GetStockObject, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, SetViewportOrgEx, DeleteDC, ExtSelectClipRgn, ScaleWindowExtEx, GetDeviceCaps, SelectObject, Escape, ExtTextOutA, TextOutA, RectVisible, PtVisible, GetWindowExtEx, GetViewportExtEx, DeleteObject, SetMapMode, RestoreDC, SaveDC, CreateRectRgnIndirect, GetObjectA, SetBkColor, SetTextColor, GetClipBox, CreateBitmap, SetWindowExtEx<br>> comdlg32.dll: GetFileTitleA<br>> WINSPOOL.DRV: OpenPrinterA, DocumentPropertiesA, ClosePrinter<br>> ADVAPI32.dll: RegEnumKeyA, RegOpenKeyExA, FreeSid, RegSetKeySecurity, SetSecurityDescriptorDacl, InitializeSecurityDescriptor, SetEntriesInAclA, AllocateAndInitializeSid, RegCloseKey, RegSetValueExA, RegQueryValueA, RegQueryValueExA, RegDeleteKeyA, RegOpenKeyA, RegCreateKeyExA<br>> SHELL32.dll: ShellExecuteA<br>> COMCTL32.dll: -<br>> SHLWAPI.dll: PathStripToRootA, PathFindFileNameA, PathFindExtensionA, PathIsUNCA<br>> oledlg.dll: -<br>> ole32.dll: StgOpenStorageOnILockBytes, CoGetClassObject, CLSIDFromString, CLSIDFromProgID, CoTaskMemAlloc, StgCreateDocfileOnILockBytes, CoTaskMemFree, CoInitialize, CoCreateInstance, CoUninitialize, CreateILockBytesOnHGlobal, OleUninitialize, CoFreeUnusedLibraries, OleInitialize, CoRevokeClassObject, CoRegisterMessageFilter, OleFlushClipboard, OleIsCurrentClipboard<br>> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -<br>> OLEACC.dll: LresultFromObject, CreateStdAccessibleObject<br><br>( 0 exports ) <br> PDFiD.: - RDS...: NSRL Reference Data Set<br><br>( Corel Corporation )<br><br>> Corel WordPerfect Office X3 Home Edition: RegTool.exe.DEB108E3_5BB8_4828_A81B_3F90AA353ECF<br><br>( Pinnacle Systems )<br><br>> Pinnacle Instant Cd/Dvd: RegTool.exe.DEB108E3_5BB8_4828_A81B_3F90AA353ECF<br><br> |
|
|
||
22.04.2009, 20:40
Moderator
Beiträge: 7805 |
#10
Hallo Petermarkus,
Ueberpruefe bitte c:\windows\system32\ctfmon.exe auch noch bei Virustotal und poste das Ergebniss... __________ MfG Ralf SEO-Spam Hunter |
|
|
||
22.04.2009, 20:42
Member
Beiträge: 3716 |
#11
Fehlalarm, sende die datei an
markusg@paules-pc-forum.de ich schicke die dann zu malwareBytes. war das die fehlermeldung wegen derer du hier hergekommen bist? Wenn net schau in die quarantäne dort müsste es stheen sag bescheid wenn du die datei geschickt hast. start ausfüren combofix /u enter |
|
|
||
22.04.2009, 20:49
Member
Themenstarter Beiträge: 690 |
#12
die von virenfinder? oder welche datei meinst du bitte
erst kam eine fehlermeldung von MBAM und dann von avira später... ich habe beide zur gleichen zeit laufen gelassen |
|
|
||
22.04.2009, 20:53
Member
Beiträge: 3716 |
#13
1. nur ein programm auf einmal laufen lassen.
2. raman hat doch geschrieben: c:\windows\system32\ctfmon.exe 3. sende mir bitte die von mir genannte datei zu also: C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe |
|
|
||
22.04.2009, 21:01
Member
Themenstarter Beiträge: 690 |
#14
oh sorry, hatte ich überlesen!
Datei ctfmon.exe empfangen 2009.04.22 20:57:42 (CET) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.04.22 - AhnLab-V3 5.0.0.2 2009.04.22 - AntiVir 7.9.0.148 2009.04.22 - Antiy-AVL 2.0.3.1 2009.04.22 - Authentium 5.1.2.4 2009.04.22 - Avast 4.8.1335.0 2009.04.22 - AVG 8.5.0.287 2009.04.22 - BitDefender 7.2 2009.04.22 - CAT-QuickHeal 10.00 2009.04.22 - ClamAV 0.94.1 2009.04.22 - Comodo 1127 2009.04.22 - DrWeb 4.44.0.09170 2009.04.22 - eSafe 7.0.17.0 2009.04.21 - eTrust-Vet 31.6.6440 2009.04.20 - F-Prot 4.4.4.56 2009.04.22 - F-Secure 8.0.14470.0 2009.04.22 - Fortinet 3.117.0.0 2009.04.22 - GData 19 2009.04.22 - Ikarus T3.1.1.49.0 2009.04.22 - K7AntiVirus 7.10.710 2009.04.21 - Kaspersky 7.0.0.125 2009.04.22 - McAfee 5592 2009.04.22 - McAfee+Artemis 5592 2009.04.22 - McAfee-GW-Edition 6.7.6 2009.04.22 - Microsoft 1.4602 2009.04.22 - NOD32 4028 2009.04.22 - Norman 6.00.06 2009.04.22 - nProtect 2009.1.8.0 2009.04.22 - Panda 10.0.0.14 2009.04.22 - Prevx1 V2 2009.04.22 - Rising 21.26.24.00 2009.04.22 - Sophos 4.40.0 2009.04.22 - Sunbelt 3.2.1858.2 2009.04.22 - Symantec 1.4.4.12 2009.04.22 - TheHacker 6.3.4.0.312 2009.04.22 - TrendMicro 8.700.0.1004 2009.04.22 - VBA32 3.12.10.2 2009.04.21 - ViRobot 2009.4.22.1704 2009.04.22 - VirusBuster 4.6.5.0 2009.04.22 - weitere Informationen File size: 24064 bytes MD5...: c3a2915c71ae6f225eb906c25ccd29b5 SHA1..: 1cf5830c4870e9c898ca2405a9bffd3e262951c8 SHA256: e70818d0dc35a6aaf26c2d48a74f98509f9d0c53cfa1ab604cf47532f044010f SHA512: c667809ecb3a0af1dce910a2de7d3a2bc6c5d89fd425604263b7f64a680d4254<br>590d8173308f435fbee1fbcc7316a80babfcf80e106c48fdcecc8ad2e17c5382 ssdeep: 384:e8NcccLxxfAA2BwRyb1vL11j9rCzlagxvY1NvJmlTZgO:e8ehLfAjhBT11j9<br>mRaglOslTqO<br> PEiD..: - TrID..: File type identification<br>Win32 Executable MS Visual C++ (generic) (65.2%)<br>Win32 Executable Generic (14.7%)<br>Win32 Dynamic Link Library (generic) (13.1%)<br>Generic Win/DOS Executable (3.4%)<br>DOS Executable Generic (3.4%) PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x1028<br>timedatestamp.....: 0x48353dd4 (Thu May 22 09:33:08 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x3bb8 0x3c00 6.58 59c51a38dacc13381152af9207eb91db<br>.rdata 0x5000 0x121a 0x1400 4.50 01373b9a6d623aded004dd1276f8d82c<br>.data 0x7000 0x858 0x400 2.13 b5d87e54f49741bb78b88012aacb4d30<br>.rsrc 0x8000 0x418 0x600 2.48 b02570ee42377c71d5bca68d75c2ba72<br><br>( 1 imports ) <br>> KERNEL32.dll: GetModuleHandleA, GetCommandLineA, GetVersionExA, ExitProcess, GetProcAddress, TerminateProcess, GetCurrentProcess, WriteFile, GetStdHandle, GetModuleFileNameA, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetLastError, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, HeapDestroy, HeapCreate, VirtualFree, HeapFree, LoadLibraryA, HeapAlloc, GetACP, GetOEMCP, GetCPInfo, VirtualAlloc, HeapReAlloc, RtlUnwind, InterlockedExchange, VirtualQuery, HeapSize, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, LCMapStringA, MultiByteToWideChar, LCMapStringW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, VirtualProtect, GetSystemInfo<br><br>( 0 exports ) <br> PDFiD.: - RDS...: NSRL Reference Data Set<br>- CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=c3a2915c71ae6f225eb906c25ccd29b5' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=c3a2915c71ae6f225eb906c25ccd29b5</a> |
|
|
||
22.04.2009, 21:02
Member
Themenstarter Beiträge: 690 |
#15
wie bitte soll ich das zusenden?
"3. sende mir bitte die von mir genannte datei zu also: C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe" ich bin nur Laie und weiss nicht, was du genau haben willst.wo soll ich das hernehmen bitte? ich habe nochmal MBAM durchlaufen lassen... der scan wurde gestoppt und dann kommt von Avira folgende Meldung: "In der Datei 'C:\System Volume Information\_restore{8F03C794-54C4-4072-AB39-2063B82419B9}\RP126\A0015990.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Killav.28714' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern" was soll ich jetzt bitte tun? Dieser Beitrag wurde am 22.04.2009 um 21:22 Uhr von petermarkus editiert.
|
|
|
||
kann mir bitte jemand von euch sagen, ob das folgende hier, was in der Quarantäne ist, löschen soll/kann..
Rogue.RegTool.exe
oder nochmal scannen und den scanbericht posten?