| |
| |||||||
Log-Analyse und Auswertung: Trojaner in Quarantäne und schädliches Programm mit Hijackthis gefundenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
15.07.2007, 01:33
| #1 |
| |  Trojaner in Quarantäne und schädliches Programm mit Hijackthis gefunden Hallo Bei der automatischen Auswertung vom Hijackthisfile wurden zwei Schädlichkeitsmeldungen ausgegeben. Erkannt wurde eine sog. "Fuzzy Algorithmusprüfung". Am besten schaut ihr (Experten :-) ) euch mal den Logfile an: Scan saved at 01:59:25, on 15.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Gemeinsame Dateien\NMSAccessU.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\FreePDF_XP\fpassist.exe C:\WINDOWS\Mixer.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\GNU\GnuPG\WinPT.exe C:\Programme\PowerMenu\PowerMenu.exe C:\Programme\Sphairon\UB801R USB Wireless LAN Card\Installer\WINXP\ScConfig2500USB.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/ F3 - REG:win.ini: run= O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [ScanRegistry] C:\W O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WinPT - Schlüsselmanager] C:\Programme\GNU\GnuPG\WinPT.exe O4 - HKCU\..\Run: [Power Menu - transparency & systemtray] C:\Programme\PowerMenu\PowerMenu.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: ScConfig2500USB.lnk = C:\Programme\Sphairon\UB801R USB Wireless LAN Card\Installer\WINXP\ScConfig2500USB.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe O23 - Service: NMSAccessU - Unknown owner - C:\Programme\Gemeinsame Dateien\NMSAccessU.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe -- End of file - 5960 bytes Wie soll ich nun verfahren? Außerdem habe ich bei eine AntiVir-Meldung bekommen; daraufhin habe ich die beiden Dateien in Quarantäne verschoben, weil sie vom Heuristik-Verfahren aufgespürt wurden. Bei der ersten Datei steht als Meldung "Enthält verdächtigen Code: HEUR/Exploit.HTML", sie befindet sich unter c:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\...\E5BE6C6Fd01 bei der zweiten steht "Ist das Trojanische Pferd TR/Crypt.XPACK.Gen", sie befindet sich in c:\DOKUME~1\Name\Lokale~1\Temp\fdzkro63.pif. Natürlich habe ich die Dateien nicht ausführen lassen von AntiVir. Auch hier meine Frage: wie soll ich mich verhalten? Noch als Anmerkung: Ich habe einige Stunden zuvor schon diese Meldung bekommen, dass das System von NT-Autorität heruntergefahren wird. Mit "schutdown -a" habe ich das gestoppt und habe einen Neustart gemacht. Danach tauchte die Meldung nicht mehr auf. Auch befand sich keine verdächtige Datei im Windows-Ordner, die auf Sasser oder Blaster schließen lässt. Der Virenscan zeigte keine weiteren Dateien an. Über eine Antwort würde ich mich sehr freuen. Vielen Dank! Euli |
|
15.07.2007, 13:25
| #2 | |||
  |  Trojaner in Quarantäne und schädliches Programm mit Hijackthis gefunden Hallo Euli,
__________________aus dem log werde ich ehrlich gesagt nicht so recht schlau. Zitat:
Zitat:
Zitat:
 Können durchaus false-positives sein. Lade mal beide Dateien aus der Quarantäne bei virustotal.com hoch und poste die Ergebnisse inkl. Dateigröße und HASH.Vermutlich habe ich Tomaten auf den Augen, aber ich finde nix Vernünftiges bei Google unter "NMSAccessU".  Da es nicht viel Mühe macht, lade bitte auch "C:\Programme\Gemeinsame Dateien\NMSAccessU.exe" bei virustotal.com hoch.Poste auch ein log von silentrunners. Da sieht man etwas mehr als bei HJT. Gruß |
|
15.07.2007, 14:10
| #3 |
| | Trojaner in Quarantäne und schädliches Programm mit Hijackthis gefunden Hi ordell1234!
__________________Danke für deine schnelle Antwort. Inhalt der WIN.INI: ; for 16-bit app support [fonts] [extensions] [mci extensions] [files] [Mail] MAPI=1 CMC=1 CMCDLLNAME=mapi.dll CMCDLLNAME32=mapi32.dll MAPIX=1 MAPIXVER=1.0.0.1 OLEMessaging=1 [MCI Extensions.BAK] aif=MPEGVideo aifc=MPEGVideo aiff=MPEGVideo asf=MPEGVideo2 asx=MPEGVideo2 au=MPEGVideo m1v=MPEGVideo m3u=MPEGVideo2 mp2=MPEGVideo mp2v=MPEGVideo mp3=MPEGVideo2 mpa=MPEGVideo mpe=MPEGVideo mpeg=MPEGVideo mpg=MPEGVideo mpv2=MPEGVideo snd=MPEGVideo wax=MPEGVideo2 wm=MPEGVideo2 wma=MPEGVideo2 wmv=MPEGVideo2 wmx=MPEGVideo2 wvx=MPEGVideo2 wpl=MPEGVideo [TRANTOR_SETUP_PROGRAM_LOADED_TEMPORARY_INFO] INSTANCE=5270 TASK=4183 [Windows Hilfe] H_WindowPosition=[341,256,341,256,0] [Indigo Rose] C:\WINDOWS\iun3405.exe=1 [MSUCE] Advanced=0 CodePage=Unicode Font=Arial [SciCalc] layout=1 [CorelGraphics4] Dir=C:\COREL40\CONFIG [AAPLAY Animation] WaveAudio=c,522 Sequencer=x,523 FullScreen=AAVGA.DLL DualScreen=no Ich nutze kein Winzip, aber dafür IZArc. „scanregw.exe“ konnte bei der Suche (auch versteckte und Systemelemente durchsucht) nicht gefunden werden. Aber ich könnte mir auch gut vorstellen, dass du mit der Vermutung, es handele sich um ein false-positive, Recht hast. Immerhin habe ich bei AntiVir alle Heuristiken aktiviert und auf hoher Erkennungsstufe gestellt. Allerdings ist das, wenn es wirklich ein false-positive ist, der erste Fehlalarm von AntiVir. Aber lieber ein Alarm zu viel als zu wenig ;-). Ergebnisse von virustotal.com: 1) Antivirus Version Last Update Result AhnLab-V3 2007.7.14.0 2007.07.14 no virus found AntiVir 7.4.0.39 2007.07.13 no virus found Authentium 4.93.8 2007.07.13 no virus found Avast 4.7.997.0 2007.07.13 no virus found AVG 7.5.0.476 2007.07.14 no virus found BitDefender 7.2 2007.07.15 no virus found CAT-QuickHeal 9.00 2007.07.14 no virus found ClamAV devel-20070416 2007.07.15 no virus found DrWeb 4.33 2007.07.15 no virus found eSafe 7.0.15.0 2007.07.10 no virus found eTrust-Vet 30.8.3784 2007.07.14 no virus found Ewido 4.0 2007.07.14 no virus found FileAdvisor 1 2007.07.15 no virus found Fortinet 2.91.0.0 2007.07.14 no virus found F-Prot 4.3.2.48 2007.07.13 no virus found Ikarus T3.1.1.8 2007.07.15 no virus found Kaspersky 4.0.2.24 2007.07.15 no virus found McAfee 5074 2007.07.13 no virus found Microsoft 1.2704 2007.07.15 no virus found NOD32v2 2399 2007.07.14 no virus found Norman 5.80.02 2007.07.13 no virus found Panda 9.0.0.4 2007.07.14 no virus found Sophos 4.19.0 2007.07.06 no virus found Sunbelt 2.2.907.0 2007.07.14 no virus found Symantec 10 2007.07.15 no virus found TheHacker 6.1.6.146 2007.07.13 no virus found VBA32 3.12.0.2 2007.07.14 no virus found VirusBuster 4.3.23:9 2007.07.14 no virus found Webwasher-Gateway 6.0.1 2007.07.15 no virus found Aditional information File size: 21945 bytes MD5: 04e3985e9e1d400ae01d9b37dd84cc0e SHA1: d92ca716ed3290809397ec8ad2a82288f60fedb8 2) Antivirus Version Last Update Result AhnLab-V3 2007.7.14.0 2007.07.14 no virus found AntiVir 7.4.0.39 2007.07.13 no virus found Authentium 4.93.8 2007.07.13 no virus found Avast 4.7.997.0 2007.07.13 no virus found AVG 7.5.0.476 2007.07.14 no virus found BitDefender 7.2 2007.07.15 no virus found CAT-QuickHeal 9.00 2007.07.14 no virus found ClamAV devel-20070416 2007.07.15 no virus found DrWeb 4.33 2007.07.15 no virus found eSafe 7.0.15.0 2007.07.10 no virus found eTrust-Vet 30.8.3784 2007.07.14 no virus found Ewido 4.0 2007.07.14 no virus found FileAdvisor 1 2007.07.15 no virus found Fortinet 2.91.0.0 2007.07.14 no virus found F-Prot 4.3.2.48 2007.07.13 no virus found Ikarus T3.1.1.8 2007.07.15 no virus found Kaspersky 4.0.2.24 2007.07.15 no virus found McAfee 5074 2007.07.13 no virus found Microsoft 1.2704 2007.07.15 no virus found NOD32v2 2399 2007.07.14 no virus found Norman 5.80.02 2007.07.13 no virus found Panda 9.0.0.4 2007.07.14 no virus found Sophos 4.19.0 2007.07.06 no virus found Sunbelt 2.2.907.0 2007.07.14 no virus found Symantec 10 2007.07.15 no virus found TheHacker 6.1.6.146 2007.07.13 no virus found VBA32 3.12.0.2 2007.07.14 no virus found VirusBuster 4.3.23:9 2007.07.14 no virus found Webwasher-Gateway 6.0.1 2007.07.15 no virus found Aditional information File size: 103292 bytes MD5: bc5c020a31a41cdae8299960b3639e65 SHA1: b8b7d5c2600106f317f731a592ff6ffc9be3ebec 3) Ergebnis für NMSAccessU.exe: Antivirus Version Last Update Result AhnLab-V3 2007.7.14.0 2007.07.14 no virus found AntiVir 7.4.0.39 2007.07.13 no virus found Authentium 4.93.8 2007.07.13 no virus found Avast 4.7.997.0 2007.07.13 no virus found AVG 7.5.0.476 2007.07.14 no virus found BitDefender 7.2 2007.07.15 no virus found CAT-QuickHeal 9.00 2007.07.14 no virus found ClamAV devel-20070416 2007.07.15 no virus found DrWeb 4.33 2007.07.15 no virus found eSafe 7.0.15.0 2007.07.10 no virus found eTrust-Vet 30.8.3784 2007.07.14 no virus found Ewido 4.0 2007.07.14 no virus found FileAdvisor 1 2007.07.15 no virus found Fortinet 2.91.0.0 2007.07.14 no virus found F-Prot 4.3.2.48 2007.07.13 no virus found Ikarus T3.1.1.8 2007.07.15 no virus found Kaspersky 4.0.2.24 2007.07.15 no virus found McAfee 5074 2007.07.13 no virus found Microsoft 1.2704 2007.07.15 no virus found NOD32v2 2399 2007.07.14 no virus found Norman 5.80.02 2007.07.13 no virus found Panda 9.0.0.4 2007.07.14 no virus found Sophos 4.19.0 2007.07.06 no virus found Sunbelt 2.2.907.0 2007.07.14 no virus found Symantec 10 2007.07.15 no virus found TheHacker 6.1.6.146 2007.07.13 no virus found VBA32 3.12.0.2 2007.07.14 no virus found VirusBuster 4.3.23:9 2007.07.14 no virus found Webwasher-Gateway 6.0.1 2007.07.15 no virus found Aditional information File size: 65536 bytes MD5: c2a0c464f810d75524bdd532e3d1c171 SHA1: 47e65617591d8fb541422ec283473b96cb97f738 Ich habe die Datei „Silent Runners.vbs“ schon heruntergeladen, aber ich weiß leider nicht, wie (oder womit) ich die Datei öffnen und somit den Logfile erstellen soll. Danke nochmal für deine Hilfe. Grüße Euli |
|
15.07.2007, 14:22
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner in Quarantäne und schädliches Programm mit Hijackthis gefunden Werte auch mal sicherheitshalber diese Datei online aus: C:\WINDOWS\iun3405.exe Silentrunners ist ein VB-Script, einfach doppelklicken! 
__________________ Logfiles bitte immer in CODE-Tags posten |
|
15.07.2007, 14:34
| #5 |
| | Trojaner in Quarantäne und schädliches Programm mit Hijackthis gefunden Hi! Ich kann aber die VisualBasic-Datei nicht ausführen: "Der Zugriff auf Windows Script Host wurde für diesem Computer deaktiviert. Wenden Sie sich an Ihren Administrator, um weitere Details in Erfahrung zu bringen." lautet die Fehlermeldung. Blöd nur, dass ich mein eigener Administrator bin  .Die Auswertung von iun3405.exe ergab: Antivirus Version Last Update Result AhnLab-V3 2007.7.14.0 2007.07.14 no virus found AntiVir 7.4.0.39 2007.07.13 no virus found Authentium 4.93.8 2007.07.13 no virus found Avast 4.7.997.0 2007.07.13 no virus found AVG 7.5.0.476 2007.07.14 no virus found BitDefender 7.2 2007.07.15 no virus found CAT-QuickHeal 9.00 2007.07.14 no virus found ClamAV devel-20070416 2007.07.15 no virus found DrWeb 4.33 2007.07.15 no virus found eSafe 7.0.15.0 2007.07.10 no virus found eTrust-Vet 30.8.3784 2007.07.14 no virus found Ewido 4.0 2007.07.14 no virus found FileAdvisor 1 2007.07.15 no virus found Fortinet 2.91.0.0 2007.07.14 no virus found F-Prot 4.3.2.48 2007.07.13 no virus found Ikarus T3.1.1.8 2007.07.15 no virus found Kaspersky 4.0.2.24 2007.07.15 no virus found McAfee 5074 2007.07.13 no virus found Microsoft 1.2704 2007.07.15 no virus found NOD32v2 2399 2007.07.14 no virus found Norman 5.80.02 2007.07.13 no virus found Panda 9.0.0.4 2007.07.15 no virus found Sophos 4.19.0 2007.07.06 no virus found Sunbelt 2.2.907.0 2007.07.14 no virus found Symantec 10 2007.07.15 no virus found TheHacker 6.1.6.146 2007.07.13 no virus found VBA32 3.12.0.2 2007.07.14 no virus found VirusBuster 4.3.23:9 2007.07.14 no virus found Webwasher-Gateway 6.0.1 2007.07.15 no virus found Aditional information File size: 216064 bytes MD5: e589b3aded02d02d8ddfdfda6aa30f74 SHA1: 338cc7d630f14744e248a7435569729cf6298ab9 |
|
15.07.2007, 14:54
| #6 | |
| > MalwareDB | Trojaner in Quarantäne und schädliches Programm mit Hijackthis gefundenZitat:
Start-> Ausführen-> regedit Pfad suchen: Hkey_Local_Machine\Software\Microsoft\Windows Script Host\Settings Doppelklick auf Enabled , Wert ändern auf 1 Gruß Bata |
|
15.07.2007, 15:21
| #7 |
| | Trojaner in Quarantäne und schädliches Programm mit Hijackthis gefunden Danke, der Tipp hat super geklappt. Jetzt kann ich euch den Log von Silent Runner zeigen: "Silent Runners.vbs", revision R50, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "WinPT - Schlüsselmanager" = "C:\Programme\GNU\GnuPG\WinPT.exe" [empty string] "Power Menu - transparency & systemtray" = "C:\Programme\PowerMenu\PowerMenu.exe" ["Thong Nguyen"] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] "SmcService" = "C:\PROGRA~1\Sygate\SPF\smc.exe -startgui" ["Sygate Technologies, Inc."] "ScanRegistry" = "C:\W" [file not found] "FreePDF Assistant" = "C:\Programme\FreePDF_XP\fpassist.exe" [null data] "KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" "Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"] "StartCCC" = "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [null data] "C-Media Mixer" = "Mixer.exe /startup" ["C-Media Electronic Inc. (w*w.cmedia.com.tw)"] "EPSON Stylus DX3800 Series" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"" ["SEIKO EPSON CORPORATION"] "QuickTime Task" = ""C:\Programme\QuickTime\QTTask.exe" -atboottime" ["Apple Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [file not found] "{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682}" = "IZArc DragDrop Menu" -> {HKLM...CLSID} = "IZArc DragDrop Menu" \InProcServer32\(Default) = "C:\Programme\IZArc\IZArcCM.dll" [null data] "{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}" = "IZArc Shell Context Menu" -> {HKLM...CLSID} = "IZArc Shell Context Menu" \InProcServer32\(Default) = "C:\Programme\IZArc\IZArcCM.dll" [null data] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung" \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS] "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{8D1636FD-CA49-4B4E-90E4-0A20E03A15E8}" = "jetAudio" -> {HKLM...CLSID} = "JetFlExt Class" \InProcServer32\(Default) = "C:\Programme\JetAudio\JetFlExt.dll" ["JetAudio, Inc."] "{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension" -> {HKLM...CLSID} = "SimpleShlExt Class" \InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll" [empty string] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ GPGee\(Default) = "{A0820A59-3343-450B-A902-B481029CD9E8}" -> {HKLM...CLSID} = "GNU Privacy Guard Explorer Extension" \InProcServer32\(Default) = "C:\Programme\GNU\GnuPG\GPGee.dll" ["Kurt Fitzner <kfitzner@excelcia.org>"] ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [file not found] IZArcCM\(Default) = "{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}" -> {HKLM...CLSID} = "IZArc Shell Context Menu" \InProcServer32\(Default) = "C:\Programme\IZArc\IZArcCM.dll" [null data] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ GPGee\(Default) = "{A0820A59-3343-450B-A902-B481029CD9E8}" -> {HKLM...CLSID} = "GNU Privacy Guard Explorer Extension" \InProcServer32\(Default) = "C:\Programme\GNU\GnuPG\GPGee.dll" ["Kurt Fitzner <kfitzner@excelcia.org>"] ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [file not found] IZArcCM\(Default) = "{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}" -> {HKLM...CLSID} = "IZArc Shell Context Menu" \InProcServer32\(Default) = "C:\Programme\IZArc\IZArcCM.dll" [null data] jetAudio\(Default) = "{8D1636FD-CA49-4B4E-90E4-0A20E03A15E8}" -> {HKLM...CLSID} = "JetFlExt Class" \InProcServer32\(Default) = "C:\Programme\JetAudio\JetFlExt.dll" ["JetAudio, Inc."] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "ClearRecentDocsOnExit" = (REG_DWORD) hex:0x00000001 {unrecognized setting} HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Startup items in "***" & "All Users" startup folders: ------------------------------------------------------ C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS] "ScConfig2500USB" -> shortcut to: "C:\Programme\Sphairon\UB801R USB Wireless LAN Card\Installer\WINXP\ScConfig2500USB.exe" ["Sphairon Access Systems GmbH"] Enabled Scheduled Tasks: ------------------------ "AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -task" ["Apple Inc."] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in 1.6.0_01" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.6.0_01" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll" ["Sun Microsystems, Inc."] {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "C:\Programme\ICQLite\ICQLite.exe" [file not found] {E59EB121-F339-4851-A3BA-FE49C35617C2}\ "ButtonText" = "ICQ6" "MenuText" = "ICQ6" "Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"] AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"] Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."] InterBaseGuardian, InterBaseGuardian, "C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE -s" ["Inprise Corporation"] InterBaseServer, InterBaseServer, "C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe -s -g" ["Inprise Corporation"] Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS] NMSAccessU, NMSAccessU, "C:\Programme\Gemeinsame Dateien\NMSAccessU.exe" [null data] Sygate Personal Firewall, SmcService, "C:\Programme\Sygate\SPF\smc.exe" ["Sygate Technologies, Inc."] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ EPSON Stylus DX3800 Series 2KMonitor5E\Driver = "E_FLMACE.DLL" ["SEIKO EPSON CORPORATION"] Redirected Port\Driver = "redmonnt.dll" [null data] ---------- <<!>>: Suspicious data at a malware launch point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 64 seconds, including 10 seconds for message boxes) Und gerade hatte ich wieder das Problem, dass das System heruntergefahren werden soll. Sypmtome sind ähnlich wie bei Sasser, jedoch lassen sich entsprechende Dateien im Windowsverzeichnis nicht finden. Ich habe euch mal einen Screenshot von der Fehlermeldung gemacht, damit ihr besser versteht was ich meine. Also ich bin hier echt mit meinem Latein am Ende...  |
|
15.07.2007, 16:19
| #8 |
| | Trojaner in Quarantäne und schädliches Programm mit Hijackthis gefunden Hmm, das silentrunners-log ist unauffällig, aber etwas stimmt nicht. Ich vermute Malware, und zwar hartnäckige. Führe mal Blacklight aus und combofix und poste die reports. Erstelle bitte zusätzlich eine Dateiliste mittels filelist.bat (Danke an KarlKarl) und poste die Einträge der letzten 30 Tage. Gruß btw: Neuaufsetzen ist vermutlich sicherer und schneller. edit: Der Eintrag in der win.ini sowie die Absturzmeldung sind zumindest Indizien für bot-Befall. /edit |
|
15.07.2007, 17:04
| #9 |
| | Trojaner in Quarantäne und schädliches Programm mit Hijackthis gefunden f-secure Blacklight hat nichts gefunden: Code:
ATTFilter 07/15/07 17:31:16 [Info]: BlackLight Engine 1.0.64 initialized
07/15/07 17:31:16 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/15/07 17:31:16 [Note]: 7019 4
07/15/07 17:31:16 [Note]: 7005 0
07/15/07 17:31:20 [Note]: 7006 0
07/15/07 17:31:20 [Note]: 7011 1444
07/15/07 17:31:20 [Note]: 7026 0
07/15/07 17:31:20 [Note]: 7026 0
07/15/07 17:31:24 [Note]: FSRAW library version 1.7.1022
07/15/07 17:43:36 [Note]: 2000 1012
07/15/07 17:43:36 [Note]: 2000 1012
07/15/07 17:43:48 [Note]: 7007 0
Code:
ATTFilter "***" - 2007-07-15 17:46:17 - ComboFix 07-07-13.8 - Service Pack 2 NTFS
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
-------\LEGACY_NM
-------\nm
((((((((((((((((((((((((( Files Created from 2007-06-15 to 2007-07-15 )))))))))))))))))))))))))))))))
2007-07-15 17:45 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-15 15:50 <DIR> d-------- C:\Programme\Photobie
2007-07-15 14:09 <DIR> d-------- C:\DOKUME~1\***\.scribus
2007-07-15 14:08 <DIR> d-------- C:\Programme\Scribus 1.3.3.9
2007-07-15 01:08 <DIR> d-------- C:\DOKUME~1\***\ANWEND~1\Ambient Design
2007-07-15 00:06 <DIR> d-------- C:\Programme\MyPaint
2007-07-15 00:06 <DIR> d-------- C:\DOKUME~1\***\.mypaint
2007-07-14 10:55 <DIR> d-------- C:\Programme\PowerMenu
2007-07-13 14:28 <DIR> d-------- C:\Programme\QuickTime
2007-07-13 14:27 <DIR> d-------- C:\Programme\Apple Software Update
2007-07-13 14:27 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple
2007-07-13 04:57 <DIR> d-------- C:\Programme\Tools&More
2007-07-13 01:48 <DIR> d-------- C:\DOKUME~1\***\ANWEND~1\gtk-2.0
2007-07-13 01:34 <DIR> d-------- C:\DOKUME~1\***\ANWEND~1\Inkscape
2007-07-13 01:33 <DIR> d-------- C:\Programme\Inkscape
2007-07-12 22:01 <DIR> d-------- C:\Programme\Corel
2007-07-11 03:14 99,200 --a------ C:\WINDOWS\system\OLE2NLS.DLL
2007-07-11 03:14 90,144 --a------ C:\WINDOWS\system\OLE2DISP.DLL
2007-07-11 03:14 57,328 --a------ C:\WINDOWS\system\OLE2CONV.DLL
2007-07-11 03:14 55,808 --a------ C:\WINDOWS\system\OLE2PROX.DLL
2007-07-11 03:14 313,344 --a------ C:\WINDOWS\system\OLE2.DLL
2007-07-11 03:14 24,598 --a------ C:\WINDOWS\system\OLE2.REG
2007-07-11 03:14 16,752 --a------ C:\WINDOWS\system\REGLOAD.EXE
2007-07-11 03:14 157,184 --a------ C:\WINDOWS\system\STORAGE.DLL
2007-07-11 03:14 102,400 --a------ C:\WINDOWS\system\COMPOBJ.DLL
2007-07-11 03:13 84,448 --a------ C:\WINDOWS\system\PCDLIB.DLL
2007-07-11 03:13 5,136 --a------ C:\WINDOWS\system\QTRAW.DLL
2007-07-11 03:13 43,444 --a------ C:\WINDOWS\system\PCDXTIF.DLL
2007-07-11 03:13 39,504 --a------ C:\WINDOWS\system\QTSMC.DLL
2007-07-11 03:13 39,244 --a------ C:\WINDOWS\system\PCDXEPS.DLL
2007-07-11 03:13 30,776 --a------ C:\WINDOWS\system\PCDXPCX.DLL
2007-07-11 03:13 3,952 --a------ C:\WINDOWS\system\QTNOTIFY.EXE
2007-07-11 03:13 3,120 --a------ C:\WINDOWS\system\QTIMCMGR.DLL
2007-07-11 03:13 28,016 --a------ C:\WINDOWS\system\PCDXBMP.DLL
2007-07-11 03:13 26,496 --a------ C:\WINDOWS\system\QTRPZA.DLL
2007-07-11 03:13 26,000 --a------ C:\WINDOWS\system\QTJPEG.DLL
2007-07-11 03:13 20,640 --a------ C:\WINDOWS\system\QTRLE.DLL
2007-07-11 03:13 175,760 --a------ C:\WINDOWS\system\QTIM.DLL
2007-07-11 03:13 136,208 --a------ C:\WINDOWS\system\CAAPLAY.DLL
2007-07-11 03:13 12,816 --a------ C:\WINDOWS\system\AAVGA.DLL
2007-07-11 03:13 106,096 --a------ C:\WINDOWS\system\QCMC.DLL
2007-07-10 05:13 <DIR> d-------- C:\StudioLine3
2007-07-10 02:31 <DIR> d-------- C:\Programme\Picasa2
2007-07-09 16:18 765,952 -ra------ C:\WINDOWS\system\crlds3d.dll
2007-07-09 16:18 712,704 -ra------ C:\WINDOWS\system32\Audio3D.dll
2007-07-09 16:18 379,150 -ra------ C:\WINDOWS\system32\drivers\cmaudio.sys
2007-07-09 16:18 32,768 -ra------ C:\WINDOWS\system32\cmnprop.dll
2007-07-09 16:18 135,168 -ra------ C:\WINDOWS\cmuninst.exe
2007-07-09 16:18 1,495,040 -ra------ C:\WINDOWS\mixer.exe
2007-07-09 04:45 <DIR> d-------- C:\DOKUME~1\***\ANWEND~1\Talkback
2007-07-09 04:44 <DIR> d-------- C:\Programme\Mozilla Thunderbird
2007-07-09 03:56 <DIR> d-------- C:\Programme\GNU
2007-07-09 03:49 <DIR> d-------- C:\Programme\Registry System Wizard
2007-07-09 03:36 <DIR> d-------- C:\Programme\GNU Solfege
2007-07-09 00:57 <DIR> d-------- C:\Programme\Mozilla Thunderbird(2)
2007-07-09 00:57 <DIR> d-------- C:\DOKUME~1\***\ANWEND~1\Thunderbird
2007-07-08 18:02 5,767,168 --a------ C:\DOKUME~1\***\ntuser.dat
2007-07-08 17:38 <DIR> d-------- C:\Programme\IZArc
2007-07-07 23:58 <DIR> d-------- C:\DOKUME~1\***\ANWEND~1\GetRightToGo
2007-07-07 23:21 520,192 --------- C:\WINDOWS\system32\ati2sgag.exe
2007-06-22 02:38 <DIR> d-------- C:\Programme\mp3DirectCut
2007-06-22 01:50 <DIR> d-------- C:\Programme\MP3Gain
2007-06-21 23:39 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\SiComponents
2007-06-21 23:38 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DVDVIDEOSOFT
2007-06-21 23:38 <DIR> d-------- C:\Programme\DVDVIDEOSOFT
2007-06-21 15:30 <DIR> d-------- C:\APLAC
2007-06-21 15:28 <DIR> d-------- C:\MSIMEV8
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-07-15 14:34:23 -------- d-----w C:\Programme\Winamp
2007-07-12 11:02:20 -------- d-----w C:\Programme\PhotoFiltre
2007-07-12 00:22:49 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-07-12 00:22:32 -------- d-----w C:\Programme\epson
2007-07-11 16:24:43 -------- d-----w C:\DOKUME~1\***\ANWEND~1\gnupg
2007-07-11 12:35:53 -------- d-----w C:\DOKUME~1\***\ANWEND~1\OpenOffice.org2
2007-07-11 10:17:47 77,328 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-07-11 10:17:47 419,954 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-07-10 19:18:50 -------- d-----w C:\DOKUME~1\***\ANWEND~1\Skype
2007-07-10 00:31:40 -------- d-----w C:\Programme\Google
2007-07-07 21:22:30 -------- d-----w C:\Programme\ATI Technologies
2007-07-05 11:41:48 -------- d-----w C:\Programme\ICQ6
2007-06-13 19:50:17 43,152 ----a-w C:\WINDOWS\system32\drivers\ativvpxx.vp
2007-06-13 19:25:36 339,968 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll
2007-06-13 19:24:32 268,288 ----a-w C:\WINDOWS\system32\ati2dvag.dll
2007-06-13 19:24:13 2,155,520 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys
2007-06-13 19:23:23 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll
2007-06-13 19:17:37 139,264 ----a-w C:\WINDOWS\system32\atipdlxx.dll
2007-06-13 19:17:26 118,784 ----a-w C:\WINDOWS\system32\Oemdspif.dll
2007-06-13 19:17:18 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe
2007-06-13 19:17:12 42,496 ----a-w C:\WINDOWS\system32\ati2edxx.dll
2007-06-13 19:16:59 118,784 ----a-w C:\WINDOWS\system32\ati2evxx.dll
2007-06-13 19:15:39 483,328 ----a-w C:\WINDOWS\system32\ati2evxx.exe
2007-06-13 19:14:51 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL
2007-06-13 19:10:33 8,097,792 ----a-w C:\WINDOWS\system32\atioglx2.dll
2007-06-13 19:07:26 2,922,208 ----a-w C:\WINDOWS\system32\ati3duag.dll
2007-06-13 18:57:21 1,512,960 ----a-w C:\WINDOWS\system32\ativvaxx.dll
2007-06-13 18:57:04 972,072 ----a-w C:\WINDOWS\system32\ativva6x.dat
2007-06-13 18:57:04 3,107,788 ----a-w C:\WINDOWS\system32\ativvaxx.dat
2007-06-13 18:57:04 3,107,788 ----a-w C:\WINDOWS\system32\ativva5x.dat
2007-06-13 18:46:28 5,431,296 ----a-w C:\WINDOWS\system32\atioglxx.dll
2007-06-13 18:43:53 262,144 ----a-w C:\WINDOWS\system32\atikvmag.dll
2007-06-13 18:42:29 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll
2007-06-13 18:41:46 49,152 ----a-w C:\WINDOWS\system32\drivers\ati2erec.dll
2007-06-13 18:41:06 50,176 ----a-w C:\WINDOWS\system32\atiok3x2.dll
2007-06-13 18:36:45 368,640 ----a-w C:\WINDOWS\system32\ati2cqag.dll
2007-05-29 02:16:50 -------- d-----w C:\Programme\A9Tech
2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-03-27 15:29:23 78,704 ----a-w C:\DOKUME~1\***\ANWEND~1\GDIPFONTCACHEV1.DAT
2007-01-25 01:52:26 65,536 ----a-w C:\Programme\Gemeinsame Dateien\NMSAccessU.exe
2005-05-01 13:24:10 196,096 ----a-w C:\Programme\b1guninst100.exe
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2006-10-22 23:08 62080 --a------ C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
2005-05-31 01:04 853672 --a------ C:\PROGRA~1\SPYBOT~1\SDHelper.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
2007-03-14 03:43 501400 --a------ C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-19 22:55]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-02-24 16:35]
"ScanRegistry"="C:\W" []
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-05-27 12:24]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35]
"C-Media Mixer"="Mixer.exe" [2005-12-23 13:15 C:\WINDOWS\mixer.exe]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-06-29 06:24]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57]
"WinPT - Schlüsselmanager"="C:\Programme\GNU\GnuPG\WinPT.exe" [2007-05-24 21:13]
"Power Menu - transparency & systemtray"="C:\Programme\PowerMenu\PowerMenu.exe" [2002-12-20 01:17]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LiveMonitor]
C:\Programme\MSI\Live Update 2\LMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
C:\WINDOWS\system32\\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
C:\Programme\Picasa2\PicasaMediaDetector.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8e363952-65b3-11db-8db8-f959d8dfadc7}]
AutoRun\command- F:\setupSNK.exe
*Newly Created Service* - HTTPFILTER
Contents of the 'Scheduled Tasks' folder
2007-07-13 12:27:33 C:\WINDOWS\tasks\AppleSoftwareUpdate.job
**************************************************************************
catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://w*w.gmer.net
Rootkit scan 2007-07-15 17:49:54
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
Completion time: 2007-07-15 17:51:39 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-07-15 17:51
--- E O F ---
|
|
15.07.2007, 17:06
| #10 |
| | Trojaner in Quarantäne und schädliches Programm mit Hijackthis gefunden F O R T S E T Z U N G Und nunnoch die filelist in Auszügen: Code:
ATTFilter ----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C46-55C1
Verzeichnis von C:\
15.07.2007 17:51 11.814 ComboFix.txt
15.07.2007 17:51 404 ComboFix-quarantined-files.txt
15.07.2007 17:49 805.306.368 pagefile.sys
10.07.2007 12:26 211 boot.ini
14.04.2007 00:27 785.895 bookmarks.html
[...]
13 Datei(en) 806.408.392 Bytes
0 Verzeichnis(se), 101.094.813.696 Bytes frei
----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C46-55C1
Verzeichnis von C:\WINDOWS\system32
14.07.2007 10:31 28 sfxmse.lox
11.07.2007 23:47 321.928 FNTCACHE.DAT
11.07.2007 16:59 139.776 swreg.exe
11.07.2007 12:17 404.732 perfh009.dat
11.07.2007 12:17 64.076 perfc009.dat
11.07.2007 12:17 419.954 perfh007.dat
11.07.2007 12:17 77.328 perfc007.dat
11.07.2007 12:17 939.200 PerfStringBackup.INI
09.07.2007 03:13 1.919 AUTOEXEC.NT
29.06.2007 06:24 65.536 QuickTimeVR.qtx
29.06.2007 06:24 49.152 QuickTime.qts
28.06.2007 23:57 2.206 wpa.dbl
28.06.2007 09:57 16.256.984 MRT.exe
13.06.2007 21:25 339.968 ATIDEMGX.dll
13.06.2007 21:24 268.288 ati2dvag.dll
13.06.2007 21:23 307.200 atiiiexx.dll
13.06.2007 21:17 139.264 atipdlxx.dll
13.06.2007 21:17 118.784 Oemdspif.dll
13.06.2007 21:17 26.112 Ati2mdxx.exe
13.06.2007 21:17 42.496 ati2edxx.dll
13.06.2007 21:16 118.784 ati2evxx.dll
13.06.2007 21:15 483.328 ati2evxx.exe
13.06.2007 21:14 53.248 ATIDDC.DLL
13.06.2007 21:10 8.097.792 atioglx2.dll
13.06.2007 21:07 2.922.208 ati3duag.dll
13.06.2007 20:57 1.512.960 ativvaxx.dll
13.06.2007 20:57 3.107.788 ativva5x.dat
13.06.2007 20:57 972.072 ativva6x.dat
13.06.2007 20:57 3.107.788 ativvaxx.dat
13.06.2007 20:46 5.431.296 atioglxx.dll
13.06.2007 20:43 262.144 atikvmag.dll
13.06.2007 20:42 17.408 atitvo32.dll
13.06.2007 20:41 50.176 atiok3x2.dll
13.06.2007 20:36 368.640 ati2cqag.dll
13.06.2007 14:29 520.192 ati2sgag.exe
16.05.2007 17:11 683.520 inetcomm.dll
04.05.2007 14:27 3.079.680 mshtml.dll
[...]
2126 Datei(en) 409.758.780 Bytes
0 Verzeichnis(se), 101.094.686.720 Bytes frei
----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C46-55C1
Verzeichnis von C:\WINDOWS\Prefetch
15.07.2007 17:58 12.054 CMD.EXE-087B4001.pf
15.07.2007 17:58 33.632 IZARC.EXE-2B73BBEB.pf
15.07.2007 17:54 62.884 WINWORD.EXE-259486DA.pf
15.07.2007 17:53 95.584 FIREFOX.EXE-1D57670A.pf
15.07.2007 17:52 16.510 NOTEPAD.EXE-336351A9.pf
15.07.2007 17:51 17.004 REGEDIT.EXE-1B606482.pf
15.07.2007 17:50 109.652 CCC.EXE-1B087988.pf
15.07.2007 17:50 14.660 GPG.EXE-0A27F38E.pf
15.07.2007 17:50 1.159.550 NTOSBOOT-B00DFAAD.pf
15.07.2007 17:48 17.232 LOGONUI.EXE-0AF22957.pf
15.07.2007 17:45 76.776 IEXPLORE.EXE-2CA9778D.pf
15.07.2007 17:30 44.092 UPDATE.EXE-13D57D76.pf
15.07.2007 17:30 12.594 PREUPD.EXE-358AA1C1.pf
15.07.2007 17:17 84.724 INKSCAPE.EXE-1D1713B6.pf
15.07.2007 17:01 17.748 VERCLSID.EXE-3667BD89.pf
15.07.2007 16:48 21.766 TASKMGR.EXE-20256C55.pf
15.07.2007 16:35 67.812 THUNDERBIRD.EXE-031A6371.pf
15.07.2007 16:34 86.372 WMIPRVSE.EXE-28F301A9.pf
15.07.2007 16:34 49.444 CLEARPROG.EXE-1934C98F.pf
15.07.2007 16:34 63.110 EXCEL.EXE-3281D776.pf
15.07.2007 16:34 29.924 AD-AWARE.EXE-308139F4.pf
15.07.2007 16:27 31.066 PHOTOFILTRE.EXE-07843663.pf
15.07.2007 16:25 22.450 SNDVOL32.EXE-383480B7.pf
15.07.2007 16:13 31.100 WSCRIPT.EXE-32960AB9.pf
15.07.2007 16:06 57.798 WUAUCLT.EXE-399A8E72.pf
15.07.2007 15:59 12.112 SHUTDOWN.EXE-12DAD820.pf
15.07.2007 15:57 118.624 FIREFOX.EXE-17EE503B.pf
15.07.2007 15:54 15.236 AU_.EXE-2EA7E833.pf
15.07.2007 15:54 13.404 UNINSTALL.EXE-295DCB45.pf
15.07.2007 15:51 60.910 PHOTOBIE.EXE-00A1A4FD.pf
15.07.2007 15:50 34.680 PHOTOBIEINSTALLER.EXE-11E29F35.pf
15.07.2007 15:30 17.324 XP-ANTISPY.EXE-0A1E13AC.pf
15.07.2007 15:22 17.220 REGSVR32.EXE-25EEFE2F.pf
15.07.2007 15:22 14.312 AVGNT.EXE-36CA4640.pf
15.07.2007 14:41 34.344 NTVDM.EXE-1A10A423.pf
15.07.2007 14:13 26.152 GSWIN32C.EXE-093C1A84.pf
15.07.2007 14:09 61.790 SCRIBUS.EXE-01D7A5E1.pf
15.07.2007 14:08 53.534 SCRIBUS-1.3.3.9-WIN32-INSTALL-1F6101C9.pf
15.07.2007 14:06 66.856 WINAMP.EXE-08C38ED9.pf
15.07.2007 13:58 54.054 AVCONFIG.EXE-3B8B9C26.pf
15.07.2007 13:57 53.484 AVCENTER.EXE-37584419.pf
15.07.2007 13:35 18.760 RUNDLL32.EXE-12E27DD0.pf
15.07.2007 13:21 28.396 JUCHECK.EXE-22809EFC.pf
15.07.2007 13:20 6.954 JAVA.EXE-10C79773.pf
15.07.2007 13:20 62.288 JAVAW.EXE-1E0E94C2.pf
15.07.2007 13:20 6.358 JAVACPL.EXE-15A81D3A.pf
15.07.2007 13:20 14.750 RUNDLL32.EXE-3001C307.pf
15.07.2007 03:14 117.270 LOGON.SCR-151EFAEA.pf
15.07.2007 02:52 496.386 Layout.ini
15.07.2007 02:37 50.416 AVSCAN.EXE-05AECC0E.pf
15.07.2007 01:58 15.880 HIJACKTHIS.EXE-057C47D6.pf
15.07.2007 01:45 19.034 GUARDGUI.EXE-1BD45C30.pf
15.07.2007 01:43 68.170 RUNDLL32.EXE-13404D23.pf
15.07.2007 01:34 24.734 PCBIBEXP.EXE-26AE55EB.pf
15.07.2007 01:27 63.988 ACRORD32.EXE-153330F0.pf
15.07.2007 01:08 18.780 _IU14D2N.TMP-3101FE6C.pf
15.07.2007 01:08 18.746 UNINS000.EXE-17CC182A.pf
15.07.2007 01:02 28.070 ARTRAGEFREE.EXE-38252009.pf
15.07.2007 01:01 20.584 IS-FTANJ.TMP-01B522BA.pf
15.07.2007 01:01 15.014 AR2WINFREE_DE.EXE-14E55F88.pf
15.07.2007 00:24 75.962 MYPAINT.EXE-012B30F3.pf
15.07.2007 00:06 39.704 MYPAINT-0.5.0-WIN32-INSTALLER-28D7AD96.pf
14.07.2007 23:20 38.888 RSW.EXE-281901CC.pf
14.07.2007 23:20 22.602 IS-3UJ9I.TMP-0D0144C9.pf
14.07.2007 23:20 15.714 RSWLITE.EXE-0748E2F4.pf
14.07.2007 23:10 30.870 MMC.EXE-1AD3CE60.pf
14.07.2007 23:09 11.836 EVENTVWR.EXE-017D42F6.pf
14.07.2007 23:08 16.122 RSWDEBUG.EXE-0A5B761E.pf
14.07.2007 23:00 19.828 RUNDLL32.EXE-29A2BA7C.pf
14.07.2007 22:58 19.258 RUNDLL32.EXE-327ED30F.pf
14.07.2007 22:58 29.402 RUNDLL32.EXE-31EBBE5F.pf
14.07.2007 22:57 18.128 UPDATE.EXE-2FB4B48A.pf
14.07.2007 22:57 18.192 XPSP1HFM.EXE-2576414E.pf
14.07.2007 22:57 23.736 WINDOWSXP-KB823980-X86-DEU.EX-28BCBEB4.pf
14.07.2007 22:36 33.698 DRWTSN32.EXE-2B4B52AC.pf
14.07.2007 22:16 28.294 PYTHON.EXE-02537D23.pf
14.07.2007 20:23 73.294 ACRORD32INFO.EXE-19D979CC.pf
14.07.2007 20:22 62.328 GSWIN32C.EXE-2555A5E6.pf
14.07.2007 20:22 25.500 FREEPDF.EXE-054FA9B2.pf
14.07.2007 20:22 10.434 FPREDMON.EXE-04FE2A32.pf
14.07.2007 20:22 13.566 REDRUN.EXE-0746FC9C.pf
14.07.2007 20:17 88.368 ICQ.EXE-3425F561.pf
14.07.2007 11:00 22.580 AUTOSTART-MANAGER.EXE-052F9D4E.pf
14.07.2007 10:57 14.122 UNINSTALLREASON.EXE-2CADCCA2.pf
14.07.2007 10:56 18.016 UNINS000.EXE-04E80FD0.pf
14.07.2007 10:55 11.030 POWERMENU.EXE-37A8A365.pf
14.07.2007 10:55 27.964 POWERMENUSETUP_1_5_1.EXE-3B4FA0AA.pf
14.07.2007 10:31 28.502 TRANSPARENTWINDOWMANAGER.EXE-36CEAC78.pf
14.07.2007 10:29 19.272 IS-3HUOR.TMP-311F29F5.pf
14.07.2007 10:29 15.014 TRANSPARENTWINDOWMANAGERSETUP-371E0C90.pf
14.07.2007 10:22 49.232 SOFTWAREUPDATE.EXE-1E90DF1F.pf
14.07.2007 10:18 50.292 ADOBEUPDATER.EXE-370FC314.pf
13.07.2007 20:23 18.516 GLASS2K.EXE-16B550E6.pf
13.07.2007 19:11 44.252 DFRGNTFS.EXE-269967DF.pf
13.07.2007 19:11 17.422 DEFRAG.EXE-273F131E.pf
13.07.2007 18:32 35.464 AVNOTIFY.EXE-22AE9451.pf
13.07.2007 15:45 18.224 E_FARNACE.EXE-1883ED8A.pf
13.07.2007 15:45 18.440 E_FAMTACE.EXE-1C9136DF.pf
13.07.2007 15:45 20.804 E_FPREACE.EXE-11D86CD9.pf
13.07.2007 15:44 16.964 E_FBSRACE.EXE-20EDFF58.pf
13.07.2007 14:30 7.742 QTTASK.EXE-2D7EEF34.pf
13.07.2007 14:27 16.612 QUICKTIMEINSTALLERADMIN.EXE-07CECA6C.pf
13.07.2007 14:26 113.026 MSIEXEC.EXE-2F8A8CAE.pf
13.07.2007 14:26 52.798 QUICKTIMEINSTALLER.EXE-00970C0B.pf
13.07.2007 04:56 13.832 AUTOSTARTMANAGER-SETUP.EXE-0E813163.pf
13.07.2007 02:47 23.432 RUNDLL32.EXE-29213F8A.pf
13.07.2007 02:47 31.732 RUNDLL32.EXE-2FED5747.pf
13.07.2007 02:29 36.342 RUNDLL32.EXE-2D2E4AFB.pf
13.07.2007 01:31 53.312 INKSCAPE-0.45.1-1.WIN32.EXE-151623BC.pf
13.07.2007 00:43 24.132 WINPT.EXE-0F8CE59A.pf
13.07.2007 00:43 11.906 TRAYIT!.EXE-1894DC9A.pf
12.07.2007 22:02 13.460 SETUP.EXE-0A3F86FC.pf
12.07.2007 22:01 27.278 CORELDRAWGRAPHICSSUITEX3.EXE-3024E13C.pf
12.07.2007 15:12 42.440 ESCNDV.EXE-2FFF20EB.pf
12.07.2007 15:02 18.070 SCCONFIG2500USB.EXE-035CFAD9.pf
12.07.2007 05:14 13.566 CALC.EXE-02CD573A.pf
12.07.2007 03:19 30.810 MSCONFIG.EXE-35E4DAE9.pf
12.07.2007 02:23 41.442 ECOPY.EXE-2B958F4E.pf
12.07.2007 02:23 24.212 IMAPI.EXE-0BF740A4.pf
12.07.2007 02:23 11.630 RUNDLL32.EXE-451FC2C0.pf
12.07.2007 02:22 43.586 SETUP.EXE-36BFD7E7.pf
12.07.2007 02:20 10.818 EPSETUP.EXE-045F517F.pf
12.07.2007 02:20 5.482 EPSSWT.EXE-1C8C565D.pf
12.07.2007 02:00 14.036 MP3DIRECTCUT.EXE-35F8F670.pf
11.07.2007 21:13 28.098 AUDACITY.EXE-23DBBCC2.pf
11.07.2007 17:11 10.480 REG.EXE-0D2A95F7.pf
11.07.2007 17:06 19.902 IMPRTWIZ.EXE-3415700E.pf
11.07.2007 17:06 57.266 PI.EXE-393E80C5.pf
11.07.2007 15:39 20.212 FONTVIEW.EXE-08548073.pf
11.07.2007 15:09 64.104 MSCORSVW.EXE-1BF30400.pf
130 Datei(en) 6.027.744 Bytes
0 Verzeichnis(se), 101.094.694.912 Bytes frei
----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C46-55C1
Verzeichnis von C:\WINDOWS
15.07.2007 17:50 1.250.375 WindowsUpdate.log
15.07.2007 17:49 0 0.log
15.07.2007 17:49 159 wiadebug.log
15.07.2007 17:49 50 wiaservc.log
15.07.2007 17:49 2.048 bootstat.dat
15.07.2007 17:48 32.588 SchedLgU.Txt
14.07.2007 23:32 1.409 QTFont.for
14.07.2007 23:32 54.156 QTFont.qfn
14.07.2007 22:57 6.450 xpsp1hfm.log
14.07.2007 22:57 660 KB823980.log
14.07.2007 10:31 28 sxhi.log
12.07.2007 13:01 12.862 EPISMG00.SWB
12.07.2007 02:20 5.692 epsswt_log.txt
11.07.2007 12:47 1.206.324 setupapi.log
11.07.2007 12:44 350.063 EPSTPLOG.TXT
11.07.2007 12:43 31 EPSMTL32.TXT
11.07.2007 03:14 95.509 LOGFILE.TXT
11.07.2007 03:14 44 MPLAYER.COR
11.07.2007 03:14 44 MPLAYER.INI
11.07.2007 03:14 246 SYSTEM.COR
11.07.2007 03:14 956 win.ini
11.07.2007 03:13 824 WIN.COR
10.07.2007 12:26 246 system.ini
10.07.2007 05:13 52 Relax.ini
09.07.2007 18:51 25 mixerdef.ini
09.07.2007 16:21 101 CMMIXER.INI
09.07.2007 03:44 89 CrypTool.INI
07.07.2007 23:58 7 INI2=No
07.07.2007 23:58 7 INI1=No
07.07.2007 23:15 32 wininit.ini
07.07.2007 03:29 495.340 ntbtlog.txt
04.07.2007 19:21 104.960 catchme.exe
02.07.2007 00:21 34 cdplayer.ini
21.06.2007 15:40 6.865 MSIM.INI
21.06.2007 15:37 136 fetbias.ini
21.06.2007 15:36 24 matrix.ini
21.06.2007 15:36 169 fplot.ini
21.06.2007 15:36 36 ZKONV.INI
21.06.2007 15:34 151 RUNEKIT.INI
17.06.2007 00:11 51.200 nircmd.exe
12.06.2007 23:53 139.799 ntdtcsetup.log
12.06.2007 23:53 231.154 comsetup.log
12.06.2007 23:53 1.374 imsins.log
12.06.2007 23:53 780.848 iis6.log
12.06.2007 23:53 34.126 tabletoc.log
12.06.2007 23:53 310.712 tsoc.log
12.06.2007 23:53 37.303 ocmsn.log
12.06.2007 23:53 20.947 KB933566.log
12.06.2007 23:53 333.051 ocgen.log
12.06.2007 23:53 33.744 msgsocm.log
12.06.2007 23:53 47.387 medctroc.Log
12.06.2007 23:53 117.009 netfxocm.log
12.06.2007 23:53 660.009 FaxSetup.log
12.06.2007 23:53 215.180 msmqinst.log
12.06.2007 23:53 33.809 updspapi.log
12.06.2007 23:53 1.374 imsins.BAK
12.06.2007 23:53 13.981 KB929123.log
12.06.2007 23:52 13.277 KB935840.log
12.06.2007 23:51 15.093 KB935839.log
[...]
263 Datei(en) 19.742.129 Bytes
0 Verzeichnis(se), 101.094.686.720 Bytes frei
----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C46-55C1
Verzeichnis von C:\WINDOWS\tasks
15.07.2007 17:49 6 SA.DAT
13.07.2007 14:27 276 AppleSoftwareUpdate.job
18.08.2001 21:00 65 desktop.ini
3 Datei(en) 347 Bytes
0 Verzeichnis(se), 101.094.690.816 Bytes frei
----- Wintemp --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C46-55C1
Verzeichnis von C:\WINDOWS\temp
----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C46-55C1
Verzeichnis von C:\DOKUME~1\Nils\LOKALE~1\Temp
15.07.2007 17:58 127.179 filelist.txt
15.07.2007 17:51 11.814 log.txt
15.07.2007 17:50 16.384 ~DFF912.tmp
3 Datei(en) 155.377 Bytes
0 Verzeichnis(se), 101.094.686.720 Bytes frei
Grüße Euli |
|
15.07.2007, 17:53
| #11 | |||
| | Trojaner in Quarantäne und schädliches Programm mit Hijackthis gefundenZitat:
 .Werte diese Datei bei virustotal aus Zitat:
Zitat:
Sieht danach aus. Wenn ja, kam der Patch zu spät. Du kannst einen escan nach dieser Anleitung machen und das Ergebnis der find.bat posten. In der Zeit hast du aber vermutlich auch neuaufgesetzt. Ich habe kein gutes Gefühl. Vielleicht sehen andere Mitglieder des Boards mehr als ich. Gruß und btw: Gutes Arbeiten mit dir! |
|
15.07.2007, 21:29
| #12 |
| | Trojaner in Quarantäne und schädliches Programm mit Hijackthis gefunden Beim zweiten Durchsehen der Dateiliste sind mir noch zwei Dateien aufgefallen: C:\WINDOWS\system32\sfxmse.lox - bitte auswerten und sxhi.log: Liegt vermutlich im Ordner system32. Schau mal, ob du was findest, wenn ja, poste den Inhalt (mit nem Editor öffnen) - vielleicht steht was Aufschlußreiches drin. Gruß |
|
17.07.2007, 12:37
| #13 |
| | Trojaner in Quarantäne und schädliches Programm mit Hijackthis gefunden Hi! Ja, ich habe inzwischen das System neu aufgespielt. Trotzdem vielen Dank für deine Hilfe, ordell1234! Jetzt will ich mal nicht hoffen, dass ich mir noch mal so etwas hartnäckiges einfange! Grüße Euli |
|
17.07.2007, 14:16
| #14 | ||
| | Trojaner in Quarantäne und schädliches Programm mit Hijackthis gefundenZitat:
Zitat:
 |
|
| Themen zu Trojaner in Quarantäne und schädliches Programm mit Hijackthis gefunden |
| antivir, avira, bho, desktop, down, drivers, einstellungen, excel, firefox, frage, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla, mozilla firefox, mozilla thunderbird, nt-autorität, programm, quara, registry, s-1-5-18, scan, software, system, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojaner, usb, vielen dank, windows, windows xp, wireless lan |
