Trojan TR/PSW.Papras.AB & TR/Orsam.A.2712 ; Worm WORM/Conficker.K

#0
29.07.2010, 07:54
Member

Beiträge: 40
#1 Hallo alle zusammen,
keine Ahnung wer oder wie, aber mein Rechner hat gerade den Jackpot gewonnen, ich habe trojan und worms für alle ;(
Zusaätzliches Problem, ich hatte zwischendurch noch meine externe Festplatte (mit vielen gesicherten Daten) angeschlossen (siehe ersten beiden Scans) könnte sich auf der schon was festgesetzt haben? Ansonsten hab ich erst einen Scan mit Antivir, dann einen mit SuperAntiSpyware und dann wieder einen mit Antivir gemacht und jedesmal brav die Quarantäne gelehrt. Im Anschluss noch ein Scan mit Hijack This.
1. Antivir Log:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 28. Juli 2010 09:55

Es wird nach 2578598 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : MELLI

Versionsinformationen:
BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19.11.2009 19:40:24
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:40:23
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 19:40:23
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 12:39:26
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 11:51:36
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 21:24:17
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 17:31:33
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 13:14:54
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 16:34:58
VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 16:34:58
VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 16:34:58
VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 16:34:58
VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 16:34:58
VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 16:34:58
VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 06:18:40
VBASE014.VDF : 7.10.9.199 2048 Bytes 26.07.2010 06:18:40
VBASE015.VDF : 7.10.9.200 2048 Bytes 26.07.2010 06:18:40
VBASE016.VDF : 7.10.9.201 2048 Bytes 26.07.2010 06:18:40
VBASE017.VDF : 7.10.9.202 2048 Bytes 26.07.2010 06:18:40
VBASE018.VDF : 7.10.9.203 2048 Bytes 26.07.2010 06:18:40
VBASE019.VDF : 7.10.9.204 2048 Bytes 26.07.2010 06:18:40
VBASE020.VDF : 7.10.9.205 2048 Bytes 26.07.2010 06:18:40
VBASE021.VDF : 7.10.9.206 2048 Bytes 26.07.2010 06:18:40
VBASE022.VDF : 7.10.9.207 2048 Bytes 26.07.2010 06:18:40
VBASE023.VDF : 7.10.9.208 2048 Bytes 26.07.2010 06:18:40
VBASE024.VDF : 7.10.9.209 2048 Bytes 26.07.2010 06:18:40
VBASE025.VDF : 7.10.9.210 2048 Bytes 26.07.2010 06:18:40
VBASE026.VDF : 7.10.9.211 2048 Bytes 26.07.2010 06:18:40
VBASE027.VDF : 7.10.9.212 2048 Bytes 26.07.2010 06:18:41
VBASE028.VDF : 7.10.9.213 2048 Bytes 26.07.2010 06:18:41
VBASE029.VDF : 7.10.9.214 2048 Bytes 26.07.2010 06:18:41
VBASE030.VDF : 7.10.9.215 2048 Bytes 26.07.2010 06:18:41
VBASE031.VDF : 7.10.9.225 100864 Bytes 27.07.2010 06:18:41
Engineversion : 8.2.4.26
AEVDF.DLL : 8.1.2.0 106868 Bytes 23.04.2010 19:20:27
AESCRIPT.DLL : 8.1.3.41 1364346 Bytes 20.07.2010 16:08:46
AESCN.DLL : 8.1.6.1 127347 Bytes 16.05.2010 17:22:13
AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 19:20:27
AERDL.DLL : 8.1.8.2 614772 Bytes 20.07.2010 16:08:33
AEPACK.DLL : 8.2.3.2 471414 Bytes 20.07.2010 16:08:24
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 21.07.2010 16:10:16
AEHEUR.DLL : 8.1.2.6 2793846 Bytes 20.07.2010 16:08:12
AEHELP.DLL : 8.1.13.2 242039 Bytes 20.07.2010 16:07:18
AEGEN.DLL : 8.1.3.17 385396 Bytes 21.07.2010 16:10:13
AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 19:20:26
AECORE.DLL : 8.1.16.2 192887 Bytes 20.07.2010 16:07:06
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 19:20:26
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 09.09.2009 04:06:43
AVREP.DLL : 8.0.0.7 159784 Bytes 17.02.2010 20:28:27
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 27.04.2009 15:21:34
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 09.06.2009 10:26:05
RCTEXT.DLL : 9.0.73.0 87297 Bytes 19.11.2009 19:40:23

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, H:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Mittwoch, 28. Juli 2010 09:55

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '48184' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'vlc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vlc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cidaemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cidaemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'X10nets.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TAPPSRV.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hsswd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hsssrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'openvpnas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehrecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cisvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFSvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CATSysDemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BJMYPRT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDPop3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDMedia.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDCountdown.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDClock.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LGDCore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EM_EXEC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TFncKy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPSBattM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NDSTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPSMain.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'THotkey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '67' Prozesse mit '67' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '69' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\CV5R17\cd1\INTEL\CATCronMon
[0] Archivtyp: CAB (Microsoft)
--> intel_a\resources\msgcatalog\Italian\CATIA.CATNls
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\WINDOWS\system32\ipv6tvdm.dll
[FUND] Ist das Trojanische Pferd TR/PSW.Papras.AB
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'H:\' <EXTERNE kl>
H:\RECYCLER\S-1-5-21-776561741-1614895754-839522115-1003\Di23\BF + DC\Keygen.exe
[FUND] Ist das Trojanische Pferd TR/Orsam.A.2712
H:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Conficker.K
H:\System Volume Information\_restore{B7310253-0E96-46CC-8F3A-F0BD779AF5C6}\RP90\A0013182.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
H:\System Volume Information\_restore{B7310253-0E96-46CC-8F3A-F0BD779AF5C6}\RP90\A0013183.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen

Beginne mit der Desinfektion:
C:\WINDOWS\system32\ipv6tvdm.dll
[FUND] Ist das Trojanische Pferd TR/PSW.Papras.AB
[WARNUNG] Die Datei wurde ignoriert.
H:\RECYCLER\S-1-5-21-776561741-1614895754-839522115-1003\Di23\BF + DC\Keygen.exe
[FUND] Ist das Trojanische Pferd TR/Orsam.A.2712
[WARNUNG] Die Datei wurde ignoriert.
H:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Conficker.K
[WARNUNG] Die Datei wurde ignoriert.
H:\System Volume Information\_restore{B7310253-0E96-46CC-8F3A-F0BD779AF5C6}\RP90\A0013182.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[WARNUNG] Die Datei wurde ignoriert.
H:\System Volume Information\_restore{B7310253-0E96-46CC-8F3A-F0BD779AF5C6}\RP90\A0013183.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[WARNUNG] Die Datei wurde ignoriert.


Ende des Suchlaufs: Mittwoch, 28. Juli 2010 16:59
Benötigte Zeit: 6:57:49 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

16426 Verzeichnisse wurden überprüft
1363898 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
1363890 Dateien ohne Befall
19622 Archive wurden durchsucht
10 Warnungen
2 Hinweise
48184 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

dann der 2. Log, diesesmal mit SuperAntiSpyware:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 11/23/2009 at 02:20 PM

Application Version : 4.30.1004

Core Rules Database Version : 4210
Trace Rules Database Version: 2117

Scan type : Custom Scan
Total Scan Time : 00:03:22

Memory items scanned : 585
Memory threats detected : 0
Registry items scanned : 6539
Registry threats detected : 0
File items scanned : 1
File threats detected : 15

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\mellislap\Cookies\mellislap@doubleclick[1].txt
C:\Dokumente und Einstellungen\mellislap\Cookies\mellislap@ar.atwola[1].txt
C:\Dokumente und Einstellungen\mellislap\Cookies\mellislap@tradedoubler[1].txt
C:\Dokumente und Einstellungen\mellislap\Cookies\mellislap@atwola[1].txt
C:\Dokumente und Einstellungen\mellislap\Cookies\mellislap@bs.serving-sys[1].txt
C:\Dokumente und Einstellungen\mellislap\Cookies\mellislap@zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\mellislap\Cookies\mellislap@tracking.mindshare[1].txt
C:\Dokumente und Einstellungen\mellislap\Cookies\mellislap@serving-sys[2].txt
C:\Dokumente und Einstellungen\mellislap\Cookies\mellislap@zanox[1].txt
C:\Dokumente und Einstellungen\mellislap\Cookies\mellislap@tracking.quisma[2].txt
C:\Dokumente und Einstellungen\mellislap\Cookies\mellislap@unitymedia[2].txt
C:\Dokumente und Einstellungen\mellislap\Cookies\mellislap@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\mellislap\Cookies\mellislap@ad.zanox[1].txt
C:\Dokumente und Einstellungen\mellislap\Cookies\mellislap@atdmt[1].txt
C:\Dokumente und Einstellungen\mellislap\Cookies\mellislap@track.adform[2].txt

der 3. Suchlauf, wieder mit Antivir:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 28. Juli 2010 22:18

Es wird nach 2581037 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : MELLI

Versionsinformationen:
BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19.11.2009 19:40:24
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:40:23
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 19:40:23
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 12:39:26
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 11:51:36
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 21:24:17
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 17:31:33
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 13:14:54
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 16:34:58
VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 16:34:58
VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 16:34:58
VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 16:34:58
VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 16:34:58
VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 16:34:58
VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 06:18:40
VBASE014.VDF : 7.10.9.230 121856 Bytes 28.07.2010 20:16:39
VBASE015.VDF : 7.10.9.231 2048 Bytes 28.07.2010 20:16:39
VBASE016.VDF : 7.10.9.232 2048 Bytes 28.07.2010 20:16:39
VBASE017.VDF : 7.10.9.233 2048 Bytes 28.07.2010 20:16:40
VBASE018.VDF : 7.10.9.234 2048 Bytes 28.07.2010 20:16:40
VBASE019.VDF : 7.10.9.235 2048 Bytes 28.07.2010 20:16:40
VBASE020.VDF : 7.10.9.236 2048 Bytes 28.07.2010 20:16:40
VBASE021.VDF : 7.10.9.237 2048 Bytes 28.07.2010 20:16:40
VBASE022.VDF : 7.10.9.238 2048 Bytes 28.07.2010 20:16:40
VBASE023.VDF : 7.10.9.239 2048 Bytes 28.07.2010 20:16:40
VBASE024.VDF : 7.10.9.240 2048 Bytes 28.07.2010 20:16:40
VBASE025.VDF : 7.10.9.241 2048 Bytes 28.07.2010 20:16:40
VBASE026.VDF : 7.10.9.242 2048 Bytes 28.07.2010 20:16:40
VBASE027.VDF : 7.10.9.243 2048 Bytes 28.07.2010 20:16:40
VBASE028.VDF : 7.10.9.244 2048 Bytes 28.07.2010 20:16:40
VBASE029.VDF : 7.10.9.245 2048 Bytes 28.07.2010 20:16:40
VBASE030.VDF : 7.10.9.246 2048 Bytes 28.07.2010 20:16:40
VBASE031.VDF : 7.10.9.249 27648 Bytes 28.07.2010 20:16:40
Engineversion : 8.2.4.26
AEVDF.DLL : 8.1.2.0 106868 Bytes 23.04.2010 19:20:27
AESCRIPT.DLL : 8.1.3.41 1364346 Bytes 20.07.2010 16:08:46
AESCN.DLL : 8.1.6.1 127347 Bytes 16.05.2010 17:22:13
AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 19:20:27
AERDL.DLL : 8.1.8.2 614772 Bytes 20.07.2010 16:08:33
AEPACK.DLL : 8.2.3.2 471414 Bytes 20.07.2010 16:08:24
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 21.07.2010 16:10:16
AEHEUR.DLL : 8.1.2.6 2793846 Bytes 20.07.2010 16:08:12
AEHELP.DLL : 8.1.13.2 242039 Bytes 20.07.2010 16:07:18
AEGEN.DLL : 8.1.3.17 385396 Bytes 21.07.2010 16:10:13
AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 19:20:26
AECORE.DLL : 8.1.16.2 192887 Bytes 20.07.2010 16:07:06
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 19:20:26
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 09.09.2009 04:06:43
AVREP.DLL : 8.0.0.7 159784 Bytes 17.02.2010 20:28:27
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 27.04.2009 15:21:34
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 09.06.2009 10:26:05
RCTEXT.DLL : 9.0.73.0 87297 Bytes 19.11.2009 19:40:23

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, H:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Mittwoch, 28. Juli 2010 22:18

Der Suchlauf nach versteckten Objekten wird begonnen.
Der Suchlauf wurde abgebrochen!


Ende des Suchlaufs: Mittwoch, 28. Juli 2010 22:19
Benötigte Zeit: 00:11 Minute(n)

Der Suchlauf wurde abgebrochen!

0 Verzeichnisse wurden überprüft
0 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
0 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
0 Hinweise
7274 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

und nun das Log von Hijack This:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:31:54, on 29.07.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Hotspot Shield\bin\openvpnas.exe
C:\Programme\Hotspot Shield\HssWPR\hsssrv.exe
C:\Programme\Hotspot Shield\bin\hsswd.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.tu-harburg.de/cgi-bin/proxy-conf
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Programme\Hotspot Shield\HssIE\HssIE.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to AMV Converter... - C:\Programme\MP3 Player Utilities 4.18\AMVConverter\grab.html
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1234288382718
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1234288567046
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B2AB6532-D7D8-4D6F-B35D-C76438C6B073}: NameServer = 192.168.178.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Cisco Systems, Inc. Installer service (CiscoVpnInstallService) - Unknown owner - C:\DOKUME~1\MELLIS~1\LOKALE~1\Temp\IXP000.TMP\INSTAL~1.EXE (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Programme\Hotspot Shield\bin\openvpnas.exe
O23 - Service: Hotspot Shield Routing Service (HssSrv) - AnchorFree Inc. - C:\Programme\Hotspot Shield\HssWPR\hsssrv.exe
O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Programme\Hotspot Shield\bin\HssTrayService.EXE
O23 - Service: Hotspot Shield Monitoring Service (HssWd) - Unknown owner - C:\Programme\Hotspot Shield\bin\hsswd.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 11117 bytes

Und als Info, egal was ich öffne, der trojan TR/PSW.Papras.AB versucht sofort drauf zuzugreifen...
Wäre total lieb, wenn mir jemand bei diesem Urwald von trojan und worm auf meinem rechner helfen könnte.
MfG
Ymelli
Seitenanfang Seitenende
29.07.2010, 09:18
Member
Avatar Gool

Beiträge: 4730
#2 Arbeite bitte dies hier ab: http://board.protecus.de/t23188.htm
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende