PC fährt herunter - flacor.dat ?

#0
12.03.2010, 17:50
Passwort: gast
Avatar Gastaccount

Beiträge: 0
#1 Habe mich wohl infiziert:

Folgende Situtation:

PC fährt sich nach einer gewissen Zeit seit ungefähr 1 Woche herunter (vorher kommt die Anzeige von Windows, wie als ob man shutdown im CMD genutzt hätte).

Dann ein HJT erstellt und überprüft, dabei ist die flacor.dat aufgefallen und im Internet habe ich auch Hinweise zu dieser gefunden.

Hier sollte ihr alle Infos finden (Namen entfernt):
Wenn weitere Infos benötigt, bitte melden.

Die Dateien, die MBAM gefunden habe, habe ich bei Virustotal hochgeladen, aber wurde nichts gefunden.
Muss ich eine Windows Neuinstallation vornehmen oder gibt es noch eine Chance?

(Das Thema läuft parallel auch im [url option="http://forum.chip.de/viren-trojaner-wuermer/pc-faehrt-herunter-flacor-dat-1357411.html"]CHIP Forum[/url])

Hijackthis Log:

Zitat

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:13:54, on 11.03.2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Fast.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\Programme\QuickTime\qttask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe

C:\WINDOWS\System32\svchost.exe

C:\Dokumente und Einstellungen\ \Desktop\hjt\HijackThis Portable\HijackThis Portable.exe

C:\Dokumente und Einstellungen\ \Desktop\hjt\HijackThis Portable\net-und-web_App\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min /nosplash

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Getdo] rundll32.exe "C:\Dokumente und Einstellungen\ \Anwendungsdaten\Adobe\Update\flacor.dat""

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab

O16 - DPF: {E4CF4E86-D0DC-4864-8F0E-4F6EA2526334} (UI File Upload Control) - https://img.ui-portal.de/1und1/smart...pload_2002.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{EA717DFD-A977-4509-AD57-639D3BBE0C8F}: NameServer = 192.168.123.252,192.168.123.253

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE

O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe

O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/P~1/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg



--

End of file - 5093 bytes
Virustotal Report zur flacor.dat

Zitat

Datei flacor.dat empfangen 2010.03.11 17:16:16 (UTC)

Antivirus Version letzte aktualisierung Ergebnis

a-squared 4.5.0.50 2010.03.11 -

AhnLab-V3 5.0.0.2 2010.03.11 -

AntiVir 8.2.1.180 2010.03.11 -

Antiy-AVL 2.0.3.7 2010.03.11 -

Authentium 5.2.0.5 2010.03.11 -

Avast 4.8.1351.0 2010.03.10 -

Avast5 5.0.332.0 2010.03.10 -

AVG 9.0.0.787 2010.03.11 -

BitDefender 7.2 2010.03.11 -

CAT-QuickHeal 10.00 2010.03.11 -

ClamAV 0.96.0.0-git 2010.03.11 -

Comodo 4226 2010.03.11 -

DrWeb 5.0.1.12222 2010.03.11 -

eSafe 7.0.17.0 2010.03.11 -

eTrust-Vet 35.2.7354 2010.03.11 -

F-Prot 4.5.1.85 2010.03.11 -

F-Secure 9.0.15370.0 2010.03.11 -

Fortinet 4.0.14.0 2010.03.09 -

GData 19 2010.03.11 -

Ikarus T3.1.1.80.0 2010.03.11 -

Jiangmin 13.0.900 2010.03.11 -

K7AntiVirus 7.10.995 2010.03.11 -

Kaspersky 7.0.0.125 2010.03.11 Backdoor.Win32.IRCBot.ogc

McAfee 5917 2010.03.11 -

McAfee+Artemis 5917 2010.03.11 -

McAfee-GW-Edition 6.8.5 2010.03.11 -

Microsoft 1.5502 2010.03.11 -

NOD32 4935 2010.03.11 -

Norman 6.04.08 2010.03.11 -

nProtect 2009.1.8.0 2010.03.11 -

Panda 10.0.2.2 2010.03.11 -

PCTools 7.0.3.5 2010.03.11 -

Prevx 3.0 2010.03.11 High Risk Fraudulent Security Program

Rising 22.38.03.04 2010.03.11 -

Sophos 4.51.0 2010.03.11 -

Sunbelt 5825 2010.03.11 -

Symantec 20091.2.0.41 2010.03.11 Suspicious.Insight

TheHacker 6.5.2.0.230 2010.03.11 -

TrendMicro 9.120.0.1004 2010.03.11 -

VBA32 3.12.12.2 2010.03.11 SSCope.Trojan.Agent.084

ViRobot 2010.3.11.2222 2010.03.11 -

VirusBuster 5.0.27.0 2010.03.11 -

weitere Informationen

File size: 111104 bytes

MD5...: 95cf6f12081df08263bfb7e512cbbe28

SHA1..: 18493c855b0cc3e58ca2b60755013d57f4871dfd

SHA256: efaebf28f37239ed9ca45783ef259a388d749cb068289d7f5b50377213a730e2

ssdeep: 3072:uGL44ACu8e7FfBoUPnDZvjNfTSdzJIViXO3KCl:r4cjet/FoIV+pCl<br>

PEiD..: -

PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x4ca8<br>timedatestamp.....: 0x4b990bd1 (Thu Mar 11 15:27:13 2010)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x6676 0x6800 6.19 7d7a95c56a67ea9d7883d67be9fdf5db<br>.rdata 0x8000 0x1096 0x1200 4.41 879ddc13bdc08074ea5bdcb493235a5f<br>.data 0xa000 0x13160 0x12c00 7.95 e480d0fc8f078415c68530e9438bd9f3<br>.reloc 0x1e000 0x678 0x800 4.76 dd97257c5c92592d7d0724f34ded261a<br><br>( 1 imports ) <br>&gt; KERNEL32.dll: GetProcAddress, GetModuleHandleA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, GetCurrentThreadId, TlsSetValue, TlsAlloc, TlsFree, TlsGetValue, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, DeleteCriticalSection, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, HeapDestroy, HeapCreate, VirtualFree, HeapFree, WriteFile, InitializeCriticalSection, EnterCriticalSection, LeaveCriticalSection, HeapAlloc, GetCPInfo, GetACP, GetOEMCP, VirtualAlloc, HeapReAlloc, LoadLibraryA, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, RtlUnwind<br><br>( 0 exports ) <br>

RDS...: NSRL Reference Data Set<br>-

pdfid.: -

trid..: Win32 Executable MS Visual C++ (generic) (62.9%)<br>Win32 Executable Generic (14.2%)<br>Win32 Dynamic Link Library (generic) (12.6%)<br>Clipper DOS Executable (3.3%)<br>Generic Win/DOS Executable (3.3%)

sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>

&lt;a href='http://info.prevx.com/aboutprogramtext.asp?PX5=59C374B900FFB6DCB22F01C94B85B2005E80ED5A' target='_blank'&gt;http://info.prevx.com/aboutprogramte...ED5A&lt;/a&gt;
DDS Log:

Zitat

DDS (Ver_09-12-01.01) - NTFSx86

Run by at 18:26:33,89 on 11.03.2010

Internet Explorer: 8.0.6001.18702

Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.511.290 [GMT 1:00]



AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}



============== Running Processes ===============



C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

svchost.exe

svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

svchost.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE

C:\WINDOWS\System32\svchost.exe -k imgsvc

C:\WINDOWS\system32\Fast.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\Programme\QuickTime\qttask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe

C:\WINDOWS\System32\svchost.exe -k HTTPFilter

C:\Dokumente und Einstellungen\All Users\Dokumente\Transfer\dds.scr



============== Pseudo HJT Report ===============



uStart Page = hxxp://www.google.de/

BHO: AcroIEHlprObj Class: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\programme\adobe\acrobat 6.0\acrobat\activex\AcroIEHelper.dll

BHO: AcroIEToolbarHelper Class: {ae7cd045-e861-484f-8273-0445ee161910} - c:\programme\adobe\acrobat 6.0\acrobat\AcroIEFavClient.dll

TB: Adobe PDF: {47833539-d0c5-4125-9fa8-0819e2eaac93} - c:\programme\adobe\acrobat 6.0\acrobat\AcroIEFavClient.dll

TB: {4982D40A-C53B-4615-B15B-B5B5E98D167C} - No File

TB: Yahoo! Toolbar: {ef99bd32-c1fb-11d2-892f-0090271d4f88} - c:\programme\yahoo!\companion\installs\cpn\yt.dll

EB: Adobe PDF: {182ec0be-5110-49c8-a062-beb1d02a220b} - c:\programme\adobe\acrobat 6.0\acrobat\AcroIEFavClient.dll

EB: Real.com: {fe54fa40-d68c-11d2-98fa-00c0f0318afe} - c:\windows\system32\Shdocvw.dll

EB: {32683183-48a0-441b-a342-7c2a440a9478} - No File

uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe

uRun: [Getdo] rundll32.exe "c:\dokumente und einstellungen\ \anwendungsdaten\adobe\update\flacor.dat""

mRun: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min /nosplash

mRun: [QuickTime Task] "c:\programme\quicktime\qttask.exe" -atboottime

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe

IE: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - {CAFEEFAC-0015-0000-0001-ABCDEFFEDCBC} - c:\programme\java\jre1.5.0_01\bin\npjpi150_01.dll

IE: {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - {FE54FA40-D68C-11d2-98FA-00C0F0318AFE} - c:\windows\system32\Shdocvw.dll

DPF: {17492023-C23A-453E-A040-C7C580BBF700} - hxxp://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_01-windows-i586.cab

DPF: {CAFEEFAC-0015-0000-0001-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_01-windows-i586.cab

DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

DPF: {E4CF4E86-D0DC-4864-8F0E-4F6EA2526334} - hxxps://img.ui-portal.de/1und1/smartdrive/activex/v1/1und1_de_osupload_2002.cab

TCP: {EA717DFD-A977-4509-AD57-639D3BBE0C8F} = 192.168.123.252,192.168.123.253

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll



================= FIREFOX ===================



FF - ProfilePath - c:\dokume~1\p~1\anwend~1\mozilla\firefox\profiles\ys3ahiwa.default\

FF - plugin: c:\programme\java\jre1.5.0_01\bin\NPJPI150_01.dll

FF - plugin: c:\programme\viewpoint\viewpoint experience technology\npViewpoint.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\microsoft.net\framework\v3.5\windows presentation foundation\dotnetassistantextension\



---- FIREFOX POLICIES ----

c:\programme\mozilla firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\programme\mozilla firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);

c:\programme\mozilla firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);

c:\programme\mozilla firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);

c:\programme\mozilla firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);

c:\programme\mozilla firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);

c:\programme\mozilla firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\programme\mozilla firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\programme\mozilla firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);

c:\programme\mozilla firefox\greprefs\all.js - pref("browser.formfill.debug", false);

c:\programme\mozilla firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);

c:\programme\mozilla firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);

c:\programme\mozilla firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);

c:\programme\mozilla firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);

c:\programme\mozilla firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);

c:\programme\mozilla firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);

c:\programme\mozilla firefox\greprefs\all.js - pref("html5.enable", false);

c:\programme\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);

c:\programme\mozilla firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);

c:\programme\mozilla firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");

c:\programme\mozilla firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");

c:\programme\mozilla firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\programme\mozilla firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\programme\mozilla firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");

c:\programme\mozilla firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");

c:\programme\mozilla firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);

c:\programme\mozilla firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);

c:\programme\mozilla firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);

c:\programme\mozilla firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

c:\programme\mozilla firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);

c:\programme\mozilla firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);

c:\programme\mozilla firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);

c:\programme\mozilla firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);



============= SERVICES / DRIVERS ===============



R1 avgio;avgio;c:\programme\avira\antivir desktop\avgio.sys [2009-9-28 11608]

R2 aadev;AVM ADSL Adapter Device;c:\windows\system32\drivers\Aadev.sys [2003-9-5 27648]

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\avira\antivir desktop\sched.exe [2009-9-28 108289]

R2 AntiVirService;Avira AntiVir Guard;c:\programme\avira\antivir desktop\avguard.exe [2009-9-28 185089]

R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2009-9-28 56816]

R3 Amps2prt;Trust Ami PS/2 Port Mouse Driver (6);c:\windows\system32\drivers\Amps2prt.sys [2001-10-19 9056]

R3 AVMDSLPPPOE;DSL PPPoE CAPI Treiber;c:\windows\system32\drivers\avmdsloe.sys [2003-3-10 39936]

R3 AVMNDSL;DSL NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmndsl.sys [2003-3-10 38992]

R3 FDSSBASE;Teledat 330 PCI (WinXP/2000);c:\windows\system32\drivers\fdssbase.sys [2003-9-5 700416]

R3 NETOEDSL;PPP over DSL;c:\windows\system32\drivers\NETOEDSL.SYS [2003-9-5 329728]

R3 TTTvTune;Cinergy 400 TV Tuner;c:\windows\system32\drivers\PhTvTune.sys [2003-12-8 16128]

S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"c:\programme\symantec\liveupdate\aluschedulersvc.exe" --> c:\programme\symantec\liveupdate\ALUSchedulerSvc.exe [?]

S3 ATWPKT;ATWPKT;c:\windows\system32\drivers\atwpkt.sys [2003-9-6 19140]

S3 DCamUSBSanyo;SANYO Digital Camera PC Camera;c:\windows\system32\drivers\sdscwebd.sys [2003-11-21 54656]

S3 FontCache6.0.5070.0;WinFX Font Cache 6.0.5070.0;c:\windows\microsoft.net\windows\v6.0.5070\PresentationFontCache.exe [2005-11-6 36864]



=============== Created Last 30 ================



2010-03-11 07:41:57 3558912 -c----w- c:\windows\system32\dllcache\moviemk.exe

2010-03-05 13:25:43 293376 ------w- c:\windows\system32\browserchoice.exe

2010-03-02 14:05:33 36 ----a-w- c:\windows\rasqervy.dll

2010-03-02 14:05:29 8 ----a-w- c:\windows\sdfinacs.dll

2010-03-02 14:05:17 5 ----a-w- c:\windows\sdfixwcs.dll

2010-03-02 13:39:30 80434 ----a-w- c:\windows\msacm32.drv

2010-03-02 13:39:30 102 ----a-w- c:\windows\wuasirvy.dll



==================== Find3M ====================



2010-02-27 14:14:04 76672 ----a-w- c:\dokume~1\p~1\anwend~1\GDIPFONTCACHEV1.DAT

2009-12-22 11:02:15 108177 ----a-w- c:\windows\fonts\AdobeFnt07.lst

2009-12-21 19:05:02 916480 ----a-w- c:\windows\system32\wininet.dll

2009-12-17 07:40:01 346624 ----a-w- c:\windows\system32\mspaint.exe

2009-12-14 07:08:20 33280 ----a-w- c:\windows\system32\csrsrv.dll

2008-04-14 02:22:14 1028096 --sha-w- c:\windows\system32\mfc42.dll

2003-04-02 12:00:00 57344 --sha-w- c:\windows\system32\mfc42loc.dll

2008-04-14 02:22:18 343040 --sha-w- c:\windows\system32\msvcrt.dll

2009-01-18 16:09:04 32768 --sha-w- c:\windows\system32\config\systemprofile\lokale einstellungen\verlauf\history.ie5\mshist012009011820090119\index.dat

2007-12-30 15:33:13 16384 --sha-w- c:\windows\temp\cookies\index.dat

2007-12-30 15:33:13 32768 --sha-w- c:\windows\temp\history\history.ie5\index.dat

2007-12-30 15:33:13 32768 --sha-w- c:\windows\temp\temporary internet files\content.ie5\index.dat



============= FINISH: 18:26:46,31 ===============
Malware Bytes Log:

Zitat

Malwarebytes' Anti-Malware 1.44

Datenbank Version: 3859

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702



12.03.2010 15:41:49

mbam-log-2010-03-12 (15-41-41).txt



Scan-Methode: Vollständiger Scan (C:\|)

Durchsuchte Objekte: 225023

Laufzeit: 42 minute(s), 39 second(s)



Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 1

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 5



Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)



Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)



Infizierte Registrierungsschlüssel:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntiVirus) -> No action taken.



Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)



Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)



Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)



Infizierte Dateien:

C:\WINDOWS\msacm32.drv (Trojan.Agent) -> No action taken.

C:\WINDOWS\wuasirvy.dll (Trojan.Banker) -> No action taken.

C:\WINDOWS\rasqervy.dll (Malware.Trace) -> No action taken.

C:\WINDOWS\sdfinacs.dll (Malware.Trace) -> No action taken.

C:\WINDOWS\sdfixwcs.dll (Malware.Trace) -> No action taken.
[/url]
Seitenanfang Seitenende
12.03.2010, 20:14
Member

Beiträge: 3716
#2 paralel geht nicht, entweder hier oder dort.
Seitenanfang Seitenende
12.03.2010, 21:39
Moderator

Beiträge: 7802
#3 Im Grunde genommen wurde dort ja schon das wichtigste gesagt.
Zu deiner Frage/Verwunderung, warum das nur so wenige AV Programme erkennen:

Die Malwarehersteller leben davon, das ihre Schaedlinge lange unerkannt bleiben und das testen sie sehr gut, bevor sie anfangen diese zu verteilen....
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »