Trojaner von SDFix gefunden in Temp\tmp8.tmp und Temp\tmpBD.tmp |
||
---|---|---|
#0
| ||
24.07.2009, 23:22
...neu hier
Beiträge: 8 |
||
|
||
24.07.2009, 23:24
...neu hier
Themenstarter Beiträge: 8 |
#2
Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2488 Windows 5.1.2600 Service Pack 3 23.07.2009 20:49:43 mbam-log-2009-07-23 (20-49-43).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 0 Laufzeit: 4 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:53:35, on 23.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\a-squared Free\a2service.exe C:\WINDOWS\system32\cisvc.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\cidaemon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.rd.yahoo.com/customize/ycomp/defaults/sb/*http://de.yahoo.com/search/ie.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - C:\WINDOWS\System32\shdocvw.dll (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/ O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-09.sun.com/s/ESD7/JSCDL/jdk/6u13-b03/jinstall-6u13-windows-i586-jc.cab?e=1241986112715&h=b1fcbcd1c1c52c347077acb7ea1248cf/&filename=jinstall-6u13-windows-i586-jc.cab O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://www.flatcast.info/objects/NpFv415.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 217.0.43.65 217.0.43.81 O17 - HKLM\System\CS1\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 217.0.43.65 217.0.43.81 O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe O23 - Service: Google Update Service (gupdate1c9f7318ebdcc52) (gupdate1c9f7318ebdcc52) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Sandboxie Service (SbieSvc) - Unknown owner - C:\Programme\Sandboxie\SbieSvc.exe (file missing) O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/j/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg O24 - Desktop Component 1: (no name) - file:///C:/DOKUME~1/j/LOKALE~1/Temp/msohtml1/02/clip_image002.jpg -- End of file - 6540 bytes |
|
|
||
24.07.2009, 23:29
...neu hier
Themenstarter Beiträge: 8 |
#3
Hier noch ein frisches Ergebnis Ergebnis von RSit (nach Cleaner!)
Logfile of random's system information tool 1.06 (written by random/random) Run by jutta at 2009-07-24 21:42:29 Microsoft Windows XP Home Edition Service Pack 3 System drive C: has 40 GB (53%) free of 76 GB Total RAM: 511 MB (48% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:42:44, on 24.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\a-squared Free\a2service.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe C:\WINDOWS\system32\cisvc.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Dokumente und Einstellungen\XXXX\Desktop\PC PROGRAMME\RSIT.exe C:\WINDOWS\system32\cidaemon.exe C:\Programme\Trend Micro\HijackThis\XXXX.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.rd.yahoo.com/customize/ycomp/defaults/sb/*http://de.yahoo.com/search/ie.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" O4 - HKLM\..\Run: [USSShReg] C:\PROGRA~1\ULEADS~1\ULEADP~1.2\SSaver\Ussshreg.exe /r O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - C:\WINDOWS\System32\shdocvw.dll (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/ O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-09.sun.com/s/ESD7/JSCDL/jdk/6u13-b03/jinstall-6u13-windows-i586-jc.cab?e=1241986112715&h=b1fcbcd1c1c52c347077acb7ea1248cf/&filename=jinstall-6u13-windows-i586-jc.cab O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://www.flatcast.info/objects/NpFv415.dll O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe O23 - Service: Google Update Service (gupdate1c9f7318ebdcc52) (gupdate1c9f7318ebdcc52) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Sandboxie Service (SbieSvc) - Unknown owner - C:\Programme\Sandboxie\SbieSvc.exe (file missing) O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/XXX/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg O24 - Desktop Component 1: (no name) - file:///C:/DOKUME~1/XXX/LOKALE~1/Temp/msohtml1/02/clip_image002.jpg -- End of file - 6664 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}] Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}] RealPlayer Download and Record Plugin for Internet Explorer - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll [2009-04-29 312928] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}] IEVkbdBHO Class - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll [2009-05-25 68112] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-05-10 35840] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E33CF602-D945-461A-83F0-819F76A199F8}] FilterBHO Class - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll [2009-05-25 264720] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-05-10 73728] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Microsoft Works Update Detection"=C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe [2002-07-24 28672] "SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-05-10 148888] "TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2009-04-29 198160] "AVP"=C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe [2009-05-25 303376] "USSShReg"=C:\PROGRA~1\ULEADS~1\ULEADP~1.2\SSaver\Ussshreg.exe [1997-11-23 20992] "PCMService"=C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe [2003-02-17 57344] "Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon] C:\WINDOWS\system32\klogon.dll [2009-05-25 219664] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] C:\WINDOWS\system32\WgaLogon.dll [2006-06-19 702768] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=255 "DontSetAutoplayCheckbox"=1 "NoAutorun"=1 "HonorAutorunSetting"=1 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= "NoDriveTypeAutoRun"= "DontSetAutoplayCheckbox"= "NoAutorun"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Programme\Internet Explorer\iexplore.exe"="C:\Programme\Internet Explorer\iexplore.exe:*:Enabled:Internet Explorer" "C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test" "C:\WINDOWS\system32\rundll32.exe"="C:\WINDOWS\system32\rundll32.exe:*:Enabled:Eine DLL-Datei als Anwendung ausführen" "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files\Kaspersky Internet Security 2010 9.0.0.459\German\setup.exe"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files\Kaspersky Internet Security 2010 9.0.0.459\German\setup.exe:*:Enabled:setup" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" ======List of files/folders created in the last 1 months====== 2009-07-22 01:27:18 ----D---- C:\Dokumente und Einstellungen\jutta\Anwendungsdaten\WinRAR 2009-07-22 01:26:26 ----D---- C:\Programme\WinRAR 2009-07-22 00:01:51 ----D---- C:\Dokumente und Einstellungen\jutta\Anwendungsdaten\dvdcss 2009-07-18 23:06:35 ----D---- C:\Dokumente und Einstellungen\jutta\Anwendungsdaten\vlc 2009-07-18 23:02:22 ----D---- C:\Programme\VideoLAN 2009-07-18 21:54:40 ----D---- C:\Programme\7-Zip 2009-07-18 21:47:20 ----SHD---- C:\Config.Msi 2009-07-18 15:44:17 ----D---- C:\Programme\Kaspersky Lab 2009-07-18 15:44:17 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2009-07-18 15:32:57 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files 2009-07-16 21:43:08 ----A---- C:\WINDOWS\system32\KDSInterface.txt 2009-07-16 21:36:09 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Fighters 2009-07-16 21:34:15 ----A---- C:\Dokumente und Einstellungen\jutta\Anwendungsdaten\install.txt 2009-07-07 01:14:17 ----D---- C:\Programme\a-squared Free 2009-07-06 17:55:50 ----A---- C:\WINDOWS\system32\tmp.txt 2009-07-06 16:51:56 ----D---- C:\SDFix 2009-07-06 16:29:45 ----D---- C:\WINDOWS\ERUNT 2009-07-05 16:02:37 ----D---- C:\rsit 2009-07-03 16:02:46 ----D---- C:\Programme\Spybot - Search & Destroy 2009-06-27 16:13:10 ----D---- C:\Programme\Google ======List of files/folders modified in the last 1 months====== 2009-07-24 21:42:13 ----D---- C:\WINDOWS\Prefetch 2009-07-24 21:36:42 ----D---- C:\WINDOWS\Temp 2009-07-24 21:35:12 ----D---- C:\WINDOWS 2009-07-24 02:26:26 ----A---- C:\WINDOWS\SchedLgU.Txt 2009-07-24 00:28:38 ----D---- C:\WINDOWS\system32\CatRoot2 2009-07-23 13:55:39 ----RASH---- C:\boot.ini 2009-07-23 13:55:39 ----A---- C:\WINDOWS\win.ini 2009-07-23 13:55:39 ----A---- C:\WINDOWS\system.ini 2009-07-23 13:17:23 ----RD---- C:\Programme 2009-07-23 13:17:13 ----D---- C:\WINDOWS\ShellNew 2009-07-23 13:16:46 ----D---- C:\WINDOWS\system32 2009-07-18 21:50:19 ----D---- C:\Programme\WinZip 2009-07-18 21:47:31 ----SHD---- C:\WINDOWS\Installer 2009-07-18 21:47:24 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip 2009-07-18 21:39:25 ----D---- C:\WINDOWS\Help 2009-07-18 16:04:58 ----D---- C:\WINDOWS\system32\drivers 2009-07-18 15:45:59 ----D---- C:\WINDOWS\system32\CatRoot 2009-07-18 15:45:36 ----HD---- C:\WINDOWS\inf 2009-07-18 15:41:11 ----D---- C:\Programme\Gemeinsame Dateien 2009-07-18 15:41:11 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2009-07-18 15:39:54 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp 2009-07-17 22:50:57 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2009-07-17 19:32:21 ----SHD---- C:\System Volume Information 2009-07-17 19:32:21 ----D---- C:\WINDOWS\system32\Restore 2009-07-17 00:31:01 ----D---- C:\WINDOWS\network diagnostic 2009-07-16 17:07:31 ----D---- C:\WINDOWS\Debug 2009-07-16 13:55:03 ----HD---- C:\WINDOWS\$hf_mig$ 2009-07-16 13:54:49 ----RSHDC---- C:\WINDOWS\system32\dllcache 2009-07-07 17:10:56 ----A---- C:\WINDOWS\system32\MRT.exe 2009-07-07 14:31:41 ----D---- C:\Dokumente und Einstellungen\jutta\Anwendungsdaten\S.A.D 2009-07-07 14:20:01 ----D---- C:\WEKA 2009-07-07 14:14:23 ----D---- C:\WINDOWS\WinSxS 2009-07-07 14:11:36 ----HD---- C:\Programme\InstallShield Installation Information 2009-07-07 14:10:04 ----SD---- C:\Dokumente und Einstellungen\jutta\Anwendungsdaten\Microsoft 2009-07-07 14:05:28 ----RSD---- C:\WINDOWS\assembly 2009-07-07 14:00:59 ----AC---- C:\WINDOWS\Ulead32.ini 2009-07-05 21:06:08 ----D---- C:\WINDOWS\ULEAD.DAT 2009-07-05 16:50:53 ----D---- C:\WINDOWS\system32\LogFiles 2009-07-05 14:57:05 ----D---- C:\WINDOWS\system32\config 2009-07-05 14:55:33 ----D---- C:\WINDOWS\system32\wbem 2009-07-05 14:55:29 ----D---- C:\WINDOWS\Registration 2009-07-01 14:29:55 ----SD---- C:\WINDOWS\Tasks 2009-06-27 04:49:32 ----D---- C:\Programme\No23 Recorder 2009-06-26 01:40:24 ----A---- C:\WINDOWS\cdplayer.ini 2009-06-25 14:40:27 ----D---- C:\WINDOWS\Microsoft.NET ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2008-04-14 40448] R1 KLIF;Kaspersky Lab Driver; C:\WINDOWS\system32\DRIVERS\klif.sys [2009-07-18 296976] R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-06-09 28520] R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2002-10-28 947884] R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2008-04-13 60800] R3 asapiW2k;ASAPIW2K; C:\WINDOWS\System32\Drivers\ASAPIW2K.sys [2002-04-17 11264] R3 ati2mtag;ati2mtag; C:\WINDOWS\System32\DRIVERS\ati2mtag.sys [2003-01-19 546688] R3 Cap7134;MEDION (7134) WDM Video Capture; C:\WINDOWS\System32\DRIVERS\Cap7134.sys [2002-11-04 422976] R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368] R3 Intels51;Creatix V.9X DSP Data Fax Modem; C:\WINDOWS\System32\DRIVERS\ctxs51.sys [2002-07-01 638366] R3 klim5;Kaspersky Anti-Virus NDIS Filter; C:\WINDOWS\system32\DRIVERS\klim5.sys [2009-05-13 31760] R3 klmouflt;Kaspersky Lab KLMOUFLT; C:\WINDOWS\system32\DRIVERS\klmouflt.sys [2009-05-16 19472] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288] R3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944] R3 MxlW2k;MxlW2k; C:\WINDOWS\system32\drivers\MxlW2k.sys [2003-02-09 28164] R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2008-04-13 61824] R3 pfc;Padus ASPI Shell; C:\WINDOWS\system32\drivers\pfc.sys [2002-04-19 13780] R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3; C:\WINDOWS\System32\DRIVERS\PhTVTune.sys [2002-11-04 27520] R3 SISNIC;SiS PCI Fast Ethernet Adapter Driver; C:\WINDOWS\System32\DRIVERS\sisnic.sys [2002-07-10 32256] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-13 30208] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-13 59520] R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2008-04-13 17152] R3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2008-04-13 26368] S3 ATWPKT;ATWPKT; \??\C:\WINDOWS\system32\Drivers\ATWPKT.SYS [] S3 catchme;catchme; \??\C:\DOKUME~1\jutta\LOKALE~1\Temp\catchme.sys [] S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [2008-04-13 17024] S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver; C:\WINDOWS\System32\Drivers\dsltestSp5.sys [] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504] S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\System32\DRIVERS\NABTSFEC.sys [2008-04-13 85248] S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [2008-04-13 10880] S3 PSI;PSI; C:\WINDOWS\system32\DRIVERS\psi_mf.sys [2009-03-24 7808] S3 SbieDrv;SbieDrv; \??\C:\Programme\Sandboxie\SbieDrv.sys [] S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\System32\DRIVERS\SLIP.sys [2008-04-13 11136] S3 streamip;BDA-IPSink; C:\WINDOWS\System32\DRIVERS\StreamIP.sys [2008-04-13 15232] S3 TSMPacket;DSL-Manager Service; C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\System32\DRIVERS\usbprint.sys [2008-04-13 25856] S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104] S3 wanatw;WAN Miniport (ATW); C:\WINDOWS\System32\DRIVERS\wanatw4.sys [] S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\System32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200] S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944] S3 X10UIF;%DESCRIPTION%; C:\WINDOWS\System32\Drivers\x10uif.sys [2001-11-14 10761] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] S4 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2002-08-29 12032] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 a2free;a-squared Free Service; C:\Programme\a-squared Free\a2service.exe [2009-07-17 719392] R2 AVP;Kaspersky Internet Security; C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe [2009-05-25 303376] R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-05-10 152984] R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe [2001-02-23 270336] R3 x10nets;X10 Device Network Service; C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe [2001-11-12 20480] S2 gupdate1c9f7318ebdcc52;Google Update Service (gupdate1c9f7318ebdcc52); C:\Programme\Google\Update\GoogleUpdate.exe [2009-06-27 133104] S2 SbieSvc;Sandboxie Service; C:\Programme\Sandboxie\SbieSvc.exe [] S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632] S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104] S3 idsvc;Windows CardSpace; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664] S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576] S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336] S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096] Ich merke übrigens keinerlei Auswirkungen eines Schädlings, aber das muss ja nichts heißen. Hoffentlich kann jemand damit was anfangen Liebe Grüße Jule Dieser Beitrag wurde am 24.07.2009 um 23:33 Uhr von Juleken editiert.
|
|
|
||
25.07.2009, 02:10
Ehrenmitglied
Beiträge: 6028 |
#4
Entferne C:\SDFix\backups
Anscheinend hast du hin und wider probleme mit MS Office? __________ MfG Argus |
|
|
||
25.07.2009, 17:33
...neu hier
Themenstarter Beiträge: 8 |
#5
Hallo
vielen Dank, dass du dich gemeldet hast den Backup-Ordner hatte ich schon gelöscht Mit dem MS Office hatte ich noch keine Probleme bemerkt Ist denn gar nichts zu finden? Nicht, dass ich mir das wünsche, aber da ich häufiger Trojanerfunde habe (gelöscht) wurde mir schon etwas mulmig. was ist von diesem Fund zu halten? Ist das was Schlimmes???? am 6.7. von SDFix: "Trojan Files Fund in C:\windows\system32\TFTP1960" deleted dies war der Bericht dazu: SDFix: Version 1.240 Run by j on 06.07.2009 at 17:09 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : Trojan Files Found: C:\WINDOWS\system32\TFTP1960 - Deleted Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-07-06 17:22:02 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden services & system hive ... scanning hidden registry entries ... [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" "DeviceNotSelectedTimeout"="15" "GDIProcessHandleQuota"=dword:00002710 "Spooler"="yes" "swapdisk"="" "TransmissionRetryTimeout"="90" "USERProcessHandleQuota"=dword:00002710 scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\Programme\\Internet Explorer\\iexplore.exe"="C:\\Programme\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer" "C:\\Programme\\eMule\\emule.exe"="C:\\Programme\\eMule\\emule.exe:*:Enabled:eMule" "C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test" "C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*:Enabled:Eine DLL-Datei als Anwendung ausführen" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" Remaining Files : File Backups: - C:\SDFix\backups\backups.zip Files with Hidden Attributes : Mon 14 Apr 2008 1,695,232 ..SH. --- "C:\Programme\Messenger\msmsgs.exe" Mon 13 Oct 2008 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak" Fri 8 Aug 2008 24,064 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL0001.tmp" Thu 24 Apr 2008 24,064 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL0003.tmp" Mon 21 Jul 2008 24,064 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL0004.tmp" Mon 20 Apr 2009 24,064 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL0005.tmp" Thu 24 Apr 2008 24,576 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL0245.tmp" Tue 2 Dec 2008 24,064 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL0671.tmp" Tue 10 Jul 2007 140,800 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL0706.tmp" Tue 10 Jul 2007 150,016 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL1661.tmp" Sat 9 Jun 2007 25,088 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL1681.tmp" Tue 10 Jul 2007 152,064 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL1698.tmp" Tue 10 Jul 2007 153,088 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL1714.tmp" Tue 10 Jul 2007 152,064 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL1760.tmp" Tue 10 Jul 2007 138,240 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL1899.tmp" Mon 20 Apr 2009 33,280 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL2174.tmp" Tue 10 Jul 2007 152,576 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL2448.tmp" Tue 10 Jul 2007 185,856 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL2613.tmp" Mon 20 Apr 2009 27,136 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL2762.tmp" Mon 20 Apr 2009 28,160 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL3293.tmp" Thu 21 Jun 2007 27,136 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL3693.tmp" Tue 10 Jul 2007 150,016 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL3740.tmp" Tue 10 Jul 2007 143,872 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL4064.tmp" Mon 13 Oct 2008 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv02.tmp" Sun 5 Jul 2009 96 A..H. --- "C:\Programme\Common Files\X10\Common\x10prod.sys" Wed 4 Aug 2004 73,728 A.SH. --- "C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe" Tue 10 Jul 2007 182,784 ...H. --- "C:\Dokumente und Einstellungen\j\Anwendungsdaten\Microsoft\Vorlagen\~WRL0575.tmp" Wed 11 Jul 2007 189,952 ...H. --- "C:\Dokumente und Einstellungen\j\Anwendungsdaten\Microsoft\Word\~WRL2634.tmp" Wed 11 Jul 2007 189,952 ...H. --- "C:\Dokumente und Einstellungen\j\Anwendungsdaten\Microsoft\Word\~WRL3577.tmp" Sat 9 May 2009 147,968 A..H. --- "C:\Dokumente und Einstellungen\j\Desktop\DESK1\20.5.2009\CHANNELING\ESU\~WRL0002.tmp" Mon 11 May 2009 148,992 A..H. --- "C:\Dokumente und Einstellungen\j\Desktop\DESK1\20.5.2009\CHANNELING\ESU\~WRL0004.tmp" Sat 11 Oct 2008 24,064 A..H. --- "C:\Dokumente und Einstellungen\j\Eigene Dateien\111AAADESKTOP ZUSAMMEN\DESK10000\POLITIK\RFID\~WRL0299.tmp" Dieser Beitrag wurde am 26.07.2009 um 13:48 Uhr von Juleken editiert.
|
|
|
||
26.07.2009, 00:24
Ehrenmitglied
Beiträge: 6028 |
#6
Ein sehr guter scanner gegen Trojaner
Download Trojan Remover v.6.7.9 Nur fuer Windows 98/ME/2000/XP/Vista,nicht fuer 64bit versionen von Windows akzeptiere den Lizenzvertrag und installiere T&R Update T&R Wenn eine Meldung kommt das es keine Internetz verbindung gibt waehle ein anderen Server(Server2) Starte T&R und klicke “Contenue” Klicke>>File und waehle “Scan for Active Malware” Wenn eine warnung kommt ueber ein Guard,deaktiviere sie 30Tage Version __________ MfG Argus |
|
|
||
26.07.2009, 13:47
...neu hier
Themenstarter Beiträge: 8 |
#7
Hallo Argus,
Danke für deine Antwort. Ich habe schon für eine 14Tage Testversion Kaspersky mein Avia Premium deinstalliert. jetzt möchte ich dieses ungern wiederum gegen eine andere Testversion austauschen. Das dauernde Scannen hilft mir ja auch nicht weiter bei der Beurteilung, wie gefährlich die von SDFix gefundenen Bedrohungen sind/waren. Ist es denn unmöglich einzuschätzen, was der Fund C:\WINDOWS\system32\TFTP1960 - Deleted bedeutet??? Ein Freund meinte, es könne ein Backdoor Spybot sein und mein System sei möglicherweise kompromittiert. das wäre natürlich ein Hammer und ich sollte so schnell wie möglich raus bekommen, ob das stimmt. Dass das Ding gelöscht ist, könnte somit eine trügerische Sicherheit sein. Bitte schreib mir doch deine Meinung dazu. Wie schon geschrieben, merke ich nichts von einem Virus. Außer, dass meine CPU oft bis 100% ausgelastet ist. Aber es läuft immer ein erklärlicher Prozess. Und ich habe nur 512 MB Speicher. Im Taskmanager befindet sich 2 X "iexplorer.exe" und 5 X "svchost.exe" Scheint aber nichts Ungewöhnliches zu sein. Ich beobachte das Geschehen dort ständig. Ob unter DIENSTE alles normal ist, kann ich nicht beurteilen LG Jule Dieser Beitrag wurde am 26.07.2009 um 13:58 Uhr von Juleken editiert.
|
|
|
||
26.07.2009, 17:22
Ehrenmitglied
Beiträge: 6028 |
#8
Ich glaub nicht das es ein Trojaner ist
Zitat Trojan Files FoundWass waehre wenn man Vista benutzt,SDFix arbeitet ja nur mit XP Es gibt nur wenig scanner die diese TFTP* files finden(AVG 8.5 und PandaActivescan) Trojan Remover ist kein Virenscanner im Sinne von KAV und Avira(realtime) __________ MfG Argus |
|
|
||
26.07.2009, 20:42
...neu hier
Themenstarter Beiträge: 8 |
#9
ich wollte gerade den AVG 8.5 installieren. Habe dafür den Kaspersky deaktiviert. das scheint aber nicht zu reichen, denn es wurde ein error beim Installieren angezeigt bei der Registratur.
Keine Ahnung, was ich jetzt machen soll. Soll ich Kaspersky runterschmeißen? Ist der AVG 8.5 besser? So viele Fragen und Unsicherheiten...... (Ich hatte vorhin nochmal mit SDFix gescannt. Kein Fund) LG Jule |
|
|
||
26.07.2009, 21:21
Ehrenmitglied
Beiträge: 6028 |
#10
Nein
Zitat Soll ich Kaspersky runterschmeißenEs gibt ein ein unterschied zwischen ein Free und eine kauf version Auch bei AVG selber http://www.avg.com/upgrade-free?cmpid=fs022 http://www.kaspersky.com/de/compare Selber benutze ich Avira Premium Security Suite In der Heutigen Zeit braucht man ein guten scanner ! Auch wenn man ein guten scanner hat solte man hin und wieder mal ein onlinescan machen Onlinescanner NOD32 F-Secure mit Rootkitscanner Bitdefender Housecall CA Antivirus Panda Active Scan Dabei steckt in SDFix in Normal Modus nochmal 4 Scanner http://www.virus-protect.org/artikel/tools/sdfix.html __________ MfG Argus |
|
|
||
26.07.2009, 22:05
...neu hier
Themenstarter Beiträge: 8 |
#11
ich hatte ja ursprünglich auch Avira Premium. Das hatte ich zugunsten Kaspersky Testversion runtergeschmissen, weil mir das jemand empfohlen hatte zu tun.. Aber ich habe noch die Avira Lizenz bis Januar 2010.
Zusätzlich scanne ich immer mal wieder mit Malwarebites, Spybot oder free a-square. das ganze Theater fing eigentlich an, als ich mir Spywaredoctor runtergeladen hatte. Der fand einige tracking cookies und ADVARE.CONDUCENT.TIMESINK in C:\Windows\system32\Addon2VB.dll ich hatte mich nicht getraut, diese dll einfach zu löschen und hatte sie mir deshalb neu runtergeladen und ersetzt. Am nächsten Tag hieß der Timesink plötzlich BACKDOOR.TSADBOT in derselben dll. Durch googlen bekam ich den Verdacht, dass diese Warnung dafür ist, dass man den Spywaredoctor kauft, um den Schädling loszuwerden. Trotzdem wurde ich irgendwie hysterisch und ließ alle möglichen scanner durchlaufen, bis SDFix "endlich" diesen Fund C:\WINDOWS\system32\TFTP1960 anzeigte. Der wurde in einem anderen Forum als W32/Sdbot bezeichnet und mein System als kompromittiert angesehen. Weder Avira noch Malewarebites noch Kaspersky meldeten aber einen solchen Fund, obwohl ihnen der Wurm bekannt ist. Deshalb habe ich mein System bislang noch nicht neu aufgesetzt, was ich sowieso nicht selber kann. Avira hatte allerdings im Laufe von 2-3 Wochen einige Trojaner angezeigt, die aber fast alle angeblich Fehlalarme waren.z.B. TR/Dldr. Bandload.aetm in C:\system Volume Information\restore\....\A0075827.exe später auch dort in ....A0085323.exr den APPL/PrcView.E (Fehlalarm?) und einen Trojaner in einer e-mail. Alles wurde gelöscht Früher hatte ich nie einen Trojaner. Erst als ich mir mit eMule eine Serie runtergeladen hatte, fing es an. Kann aber auch Zufall sein. So, jetzt kennst du meine gesamte "Krankheitsgeschichte". Bitte entschuldige, dass ich dich mit diesem langen Roman belästige. Aber vielleicht wird dadurch einiges klarer. Ich werde jetzt erstmal Kaspersky wieder durch mein Avira Premium austauschen Liebe Grüße Jule |
|
|
||
26.07.2009, 22:32
Ehrenmitglied
Beiträge: 6028 |
#12
Zitat C:\system Volume Information\restore\Das ist die Systemwiederherstellung Systemwiederherstellung (de)aktivieren __________ MfG Argus |
|
|
||
26.07.2009, 23:43
...neu hier
Themenstarter Beiträge: 8 |
#13
ja, ich weiß.
ich habe beim googeln eine Anleitung gefunden, wie man diese datei öffnen kann, um Schädlinge manuell zu löschen. Leider gilt das nur für XP Professionell.Ich habe Home. Aber der Ordner wird bei mir als leer angegeben. Ich hoffe, das ist ein gutes Zeichen Jetzt hab ich wieder AVIRA Premium. Ich werde erstmal nichts weiter unternehmen, sondern abwarten, ob sich wass Verdächtiges tut. Also vielen Dank für deine Hilfe. Ich fühle mich zumindest sicherer jetzt, dass ich keinen Backdoor erwischt habe, bzw er mich. Machs gut und liebe Grüße von Jule |
|
|
||
26.07.2009, 23:59
Ehrenmitglied
Beiträge: 6028 |
#14
Hier gebe ich mal ein Vorbild von infizierte Seiten
http://www.google.nl/search?hl=nl&q=17july10.myftpsite.net&btnG=Google+zoeken&meta=&aq=f&oq= Wuerde man diese Seite 17july10.myftpsite.net gleich anklicken wird man infiziert mit Total Security ein Fake Antiviren program Anhang: totalsecurity2.JPG __________ MfG Argus |
|
|
||
Gestern wurden beim Scan mit SDFix folgende Trojaner gemeldet und angeblich gelöscht.
Könnte bitte mal jemand beurteilen, ob mein System jetzt sauber ist?
Ich habe nach dem Fund folgendes gemacht:
1.CCleaner ausgeführt
2.Malewarebites gescannt: Kein Fund
3.Kaspersky gescannt: Kein Fund
4.HijackThis logfile
5.A-squared gescannt: Fund: Riskware.RiskTool.Win32.Reboot.f!A2 - ist angeblich nichts Gefährliches (gegoogegt). Wird oft ausschließlich von a-quered gefunden
Ich sag mal gleich vorweg, dass ich leider nicht besonders viel Ahnung habe. Und falls mir (hoffentlich) jemand hilft, bitte Geduld mit mir haben sollte, wenn ich die Anweisungen nicht gleich kapiere.
Und hier die Protokolle:
SDFix: Version 1.240
Run by XXXX on 23.07.2009 at 14:11
Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix
Checking Services :
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
Checking Files :
Trojan Files Found:
C:\DOKUME~1\XXXX\LOKALE~1\Temp\tmp8.tmp - Deleted
C:\DOKUME~1\XXXXX\LOKALE~1\Temp\tmpBD.tmp - Deleted
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-23 14:35:56
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Internet Explorer\\iexplore.exe"="C:\\Programme\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*:Enabled:Eine DLL-Datei als Anwendung ausführen"
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2010 9.0.0.459\\German\\setup.exe"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2010 9.0.0.459\\German\\setup.exe:*:Enabled:setup"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
Remaining Files :
File Backups: - C:\SDFix\backups\backups.zip
Files with Hidden Attributes :
Mon 14 Apr 2008 1,695,232 ..SH. --- "C:\Programme\Messenger\msmsgs.exe"
Mon 13 Oct 2008 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Sun 19 Jul 2009 24,064 ...H. --- "C:\Dokumente und Einstellungen\xxxx\Desktop\~WRL0003.tmp"
Sun 19 Jul 2009 828,416 ...H. --- "C:\Dokumente und Einstellungen\xxxx\Desktop\~WRL0067.tmp"
Sun 19 Jul 2009 1,186,304 ...H. --- "C:\Dokumente und Einstellungen\xxxx\Desktop\~WRL0070.tmp"
Sun 19 Jul 2009 774,144 ...H. --- "C:\Dokumente und Einstellungen\xxxx\Desktop\~WRL0397.tmp"
Sun 19 Jul 2009 43,520 ...H. --- "C:\Dokumente und Einstellungen\xxxx\Desktop\~WRL0770.tmp"
Sun 19 Jul 2009 163,328 ...H. --- "C:\Dokumente und Einstellungen\xxxx\Desktop\~WRL0813.tmp"
Mon 20 Jul 2009 747,520 ...H. --- "C:\Dokumente und Einstellungen\xxxx\Desktop\~WRL0917.tmp"
Sun 19 Jul 2009 643,072 ...H. --- "C:\Dokumente und Einstellungen\xxxx\Desktop\~WRL0923.tmp"
Sun 19 Jul 2009 1,014,272 ...H. --- "C:\Dokumente und Einstellungen\xxxx\Desktop\~WRL1290.tmp"
Mon 20 Jul 2009 1,073,152 ...H. --- "C:\Dokumente und Einstellungen\xxxx\Desktop\~WRL1293.tmp"
Mon 20 Jul 2009 710,656 ...H. --- "C:\Dokumente und Einstellungen\xxxx\Desktop\~WRL1618.tmp"
Sun 19 Jul 2009 528,384 ...H. --- "C:\Dokumente und Einstellungen\xxxx\Desktop\~WRL1636.tmp"
Sun 19 Jul 2009 1,353,728 ...H. --- "C:\Dokumente und Einstellungen\xxxx\Desktop\~WRL2031.tmp"
Mon 20 Jul 2009 1,261,568 ...H. --- "C:\Dokumente und Einstellungen\xxxx\Desktop\~WRL2267.tmp"
Mon 20 Jul 2009 1,000,960 ...H. --- "C:\Dokumente und Einstellungen\xxxx\Desktop\~WRL2450.tmp"
Sun 19 Jul 2009 891,904 ...H. --- "C:\Dokumente und Einstellungen\xxxx\Desktop\~WRL2567.tmp"
Mon 20 Jul 2009 926,720 ...H. --- "C:\Dokumente und Einstellungen\\Desktop\~WRL2672.tmp"
Sun 19 Jul 2009 534,016 ...H. --- "C:\Dokumente und Einstellungen\\Desktop\~WRL3120.tmp"
Sun 19 Jul 2009 274,432 ...H. --- "C:\Dokumente und Einstellungen\\Desktop\~WRL3248.tmp"
Sun 19 Jul 2009 802,816 ...H. --- "C:\Dokumente und Einstellungen\\Desktop\~WRL3250.tmp"
Sun 19 Jul 2009 423,424 ...H. --- "C:\Dokumente und Einstellungen\\Desktop\~WRL3327.tmp"
Mon 20 Jul 2009 677,376 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL3379.tmp"
Mon 20 Jul 2009 1,368,576 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL3618.tmp"
Sun 19 Jul 2009 692,736 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL3654.tmp"
Sun 19 Jul 2009 1,278,976 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL3910.tmp"
Mon 20 Jul 2009 860,160 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL3954.tmp"
Mon 13 Oct 2008 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv02.tmp"
Thu 23 Jul 2009 96 A..H. --- "C:\Programme\Common Files\X10\Common\x10prod.sys"
Wed 4 Aug 2004 73,728 A.SH. --- "C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe"
Tue 10 Jul 2007 182,784 ...H. --- "C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Microsoft\Vorlagen\~WRL0575.tmp"
Wed 11 Jul 2007 189,952 ...H. --- "C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Microsoft\Word\~WRL2634.tmp"
Wed 11 Jul 2007 189,952 ...H. --- "C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Microsoft\Word\~WRL3577.tmp"
Tue 21 Jul 2009 13,278,194 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Bases\Cache\av2DFA.tmp"
Sat 18 Jul 2009 12,138,798 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Bases\Cache\av53.tmp"
Thu 23 Jul 2009 0 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Bases\Cache\av6.tmp"
Sat 9 May 2009 147,968 A..H. --- "C:\Dokumente und Einstellungen\XXXX\Desktop\DESK1\20.5.2009\CHANNELING\ESU\~WRL0002.tmp"
Mon 11 May 2009 148,992 A..H. --- "C:\Dokumente und Einstellungen\XXXX\Desktop\DESK1\20.5.2009\CHANNELING\ESU\~WRL0004.tmp"
Sat 11 Oct 2008 24,064 A..H. --- "C:\Dokumente und Einstellungen\XXXX\Eigene Dateien\111AAADESKTOP ZUSAMMEN\DESK10000\POLITIK\RFID\~WRL0299.tmp"
Finished!