Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Drooper DR/Softomate.AA.a mit AntiVir festgestellt

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 01.12.2007, 14:05   #1
gudmanef
 
Drooper DR/Softomate.AA.a mit AntiVir festgestellt - Standard

Drooper DR/Softomate.AA.a mit AntiVir festgestellt



Hallo liebe Profis!

Ich hoffe ihr könnt mir helfen. Antivir spuckt ständig die Meldung aus o.g. Drooper gefunden zu haben im Pfad: c:\dokumente und Einstellungen\+++\Lokale Einstellungen\temp\mediabar.exe

Was hat das zu bedeuten? Ich habe die Datei vorsichtshalber unter Quarantände gestellt.

Ich benutze Wín XP mit SP2

Hier mein Logfile:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:42:22, on 01.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe
F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe
F:\Programme\Office\Wiso\börse\bin\watchdog.exe
C:\WINDOWS\SOUNDMAN.EXE
F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
F:\Programme\Multimedia\Winamp\Winampa.exe
F:\Programme\Brennen\CloneCD\CloneCDTray.exe
F:\Programme\Sicherheit\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
F:\Programme\Brennen\Daemon Tools\daemon.exe
F:\Programme\Internet\emule\emule.exe
F:\Programme\Multimedia\Nikon\pictureproject\NkbMonitor.exe
C:\Programme\RALINK\Common\RaUI.exe
F:\Programme\Internet\Mozilla Thunderbird\thunderbird.exe
C:\WINDOWS\System32\svchost.exe
F:\Programme\Sicherheit\Spybot - Search & Destroy\SpybotSD.exe
F:\Programme\Office\OFFICE11\WINWORD.EXE
F:\Programme\Internet\Mozilla Firefox\firefox.exe
F:\Programme\Sicherheit\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.talti.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Programme\Sicherheit\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {FC1C4B37-87E1-49B9-93EF-D857FCA18C60} - C:\WINDOWS\system32\btpanuid.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe"
O4 - HKLM\..\Run: [WinampAgent] "F:\Programme\Multimedia\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [CloneCDTray] "F:\Programme\Brennen\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Programme\Sicherheit\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "F:\Programme\Brennen\Daemon Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [eMuleAutoStart] F:\Programme\Internet\emule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NkbMonitor.exe.lnk = F:\Programme\Multimedia\Nikon\pictureproject\NkbMonitor.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Programme\Spiele\Partypoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Programme\Spiele\Partypoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A45F25B4-7184-4568-A211-0442F51A4990}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WisoBoerseWatchDog - market maker Software AG - F:\Programme\Office\Wiso\börse\bin\watchdog.exe

--
End of file - 7157 bytes
         
Vielen Dank im Voraus für eure Mühe!

Gudman

Alt 01.12.2007, 20:02   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Drooper DR/Softomate.AA.a mit AntiVir festgestellt - Standard

Drooper DR/Softomate.AA.a mit AntiVir festgestellt



Hallo.

Du hast dir anscheinend Bearshare installiert. Du solltest es besser nicht nutzen und deinstallieren, da es mit Spy-/Adware daherkommt. Es gibt bessere Alternativen wie z.B. eMule. Sei aber allgemein sehr vorsichtig was das Thema Filesharing anbelangt, die Downloads sind meist illegal und in vielen Fällen auch mit Schädlingen verseucht.

Du solltest folgende Einträge mit HijackThis im abgesicherten Modus fixen:

Code:
ATTFilter
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
O2 - BHO: (no name) - {FC1C4B37-87E1-49B9-93EF-D857FCA18C60} - C:\WINDOWS\system32\btpanuid.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Programme\Spiele\Partypoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Programme\Spiele\Partypoker\PartyPoker\RunApp.exe (file missing)
         
Starte dannn den Rechner wieder neu (normaler Modus) und erstelle und poste ein neues HJT-Logfile.

Werte die Datei C:\WINDOWS\system32\btpanuid.dll bei Virustotal aus und poste die Ergebnisse inkl. Angaben zur Dateigröße und Prüfsummen.

Führ mal für weitere Analysen folgende Tools bzw. Anleitungen aus und poste die Logfiles:
- eScan
- Silentrunners
- combofix
Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:
Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________

__________________

Alt 09.12.2007, 22:39   #3
gudmanef
 
Drooper DR/Softomate.AA.a mit AntiVir festgestellt - Standard

Drooper DR/Softomate.AA.a mit AntiVir festgestellt



Hallo,

hier der neue HJ-Log:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:58:31, on 09.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe
F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe
F:\Programme\Office\Wiso\börse\bin\watchdog.exe
C:\WINDOWS\SOUNDMAN.EXE
F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
F:\Programme\Multimedia\Winamp\Winampa.exe
F:\Programme\Brennen\CloneCD\CloneCDTray.exe
F:\Programme\Sicherheit\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
F:\Programme\Brennen\Daemon Tools\daemon.exe
F:\Programme\Internet\emule\emule.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
F:\Programme\Multimedia\Nikon\pictureproject\NkbMonitor.exe
C:\Programme\RALINK\Common\RaUI.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wuauclt.exe
F:\Programme\Sicherheit\Hijackthis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.talti.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Programme\Sicherheit\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe"
O4 - HKLM\..\Run: [WinampAgent] "F:\Programme\Multimedia\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [CloneCDTray] "F:\Programme\Brennen\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Programme\Sicherheit\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "F:\Programme\Brennen\Daemon Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [eMuleAutoStart] F:\Programme\Internet\emule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NkbMonitor.exe.lnk = F:\Programme\Multimedia\Nikon\pictureproject\NkbMonitor.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A45F25B4-7184-4568-A211-0442F51A4990}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WisoBoerseWatchDog - market maker Software AG - F:\Programme\Office\Wiso\börse\bin\watchdog.exe

--
End of file - 6188 bytes
         
und der von Virustotal:

Code:
ATTFilter
 Datei btpanui.dll empfangen 2007.12.09 22:00:43 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 41 und 59 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2007.12.8.0	2007.12.07	-
AntiVir	7.6.0.40	2007.12.07	-
Authentium	4.93.8	2007.12.08	-
Avast	4.7.1098.0	2007.12.09	-
AVG	7.5.0.503	2007.12.09	-
BitDefender	7.2	2007.12.09	-
CAT-QuickHeal	9.00	2007.12.08	-
ClamAV	0.91.2	2007.12.09	-
DrWeb	4.44.0.09170	2007.12.09	-
eSafe	7.0.15.0	2007.12.09	-
eTrust-Vet	31.3.5361	2007.12.08	-
Ewido	4.0	2007.12.09	-
FileAdvisor	1	2007.12.09	-
Fortinet	3.14.0.0	2007.12.09	-
F-Prot	4.4.2.54	2007.12.08	-
F-Secure	6.70.13030.0	2007.12.09	-
Ikarus	T3.1.1.12	2007.12.09	-
Kaspersky	7.0.0.125	2007.12.09	-
McAfee	5181	2007.12.08	-
Microsoft	1.3007	2007.12.09	-
NOD32v2	2711	2007.12.07	-
Norman	5.80.02	2007.12.07	-
Panda	9.0.0.4	2007.12.09	-
Prevx1	V2	2007.12.09	-
Rising	20.21.42.00	2007.12.07	-
Sophos	4.24.0	2007.12.09	-
Sunbelt	2.2.907.0	2007.12.07	-
Symantec	10	2007.12.09	-
TheHacker	6.2.9.154	2007.12.09	-
VBA32	3.12.2.5	2007.12.07	-
VirusBuster	4.3.26:9	2007.12.09	-
Webwasher-Gateway	6.6.2	2007.12.08	-
weitere Informationen
File size: 50688 bytes
MD5: 9e86ec4d367a619233f4bef2c0084ea2
SHA1: 6c3a639915df0728076df7abb13b9eef5cf002ce
PEiD: -
         

Bei escan funktioniert im abgesichterten modus mit netzwerkunterstützung die internetverbindung nicht.
silentrunner krieg ich irgendwie nicht zum laufen.
Und bei combofix zeigt mir an das es keine win32 anwendung ist.

Viele Grüße

guddy
__________________

Alt 09.12.2007, 22:45   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Drooper DR/Softomate.AA.a mit AntiVir festgestellt - Standard

Drooper DR/Softomate.AA.a mit AntiVir festgestellt



Zitat:
Bei escan funktioniert im abgesichterten modus mit netzwerkunterstützung die internetverbindung nicht.
Nimm die Anleitung für user ohne Router => http://files.trojaner-board.de/escan_ohne_router.pdf
Du lädst dann also die Updates im normalen Modus bei bestehender Internetverbindung und führst den scan im abgesicherten Modus durch, brauchste dann auch keine Netzwerkunterstützung mehr.

Zitat:
silentrunner krieg ich irgendwie nicht zum laufen.
Fehlermeldung?

Zitat:
Und bei combofix zeigt mir an das es keine win32 anwendung ist.
Der Link zum combofix ist hin und wieder kaputt.
Nimm diesen => ComboFix - Download - INSTALKI.pl
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 09.12.2007, 23:12   #5
gudmanef
 
Drooper DR/Softomate.AA.a mit AntiVir festgestellt - Standard

Drooper DR/Softomate.AA.a mit AntiVir festgestellt



Hey,

Silentrunner läuft und bringt mir folgendes Ergebnis:

Code:
ATTFilter
"Silent Runners.vbs", revision 53, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"DAEMON Tools" = ""F:\Programme\Brennen\Daemon Tools\daemon.exe" -lang 1033" ["DT Soft Ltd."]
"eMuleAutoStart" = "F:\Programme\Internet\emule\emule.exe -AutoStart" ["http://www.emule-project.net"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"avgnt" = ""F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"BluetoothAuthenticationAgent" = "rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" [MS]
"POINTER" = "point32.exe" [MS]
"IntelliType" = ""C:\Programme\Microsoft Hardware\Keyboard\type32.exe"" [MS]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"TerraTec Remote Control" = ""C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe"" [file not found]
"WinampAgent" = ""F:\Programme\Multimedia\Winamp\Winampa.exe"" [null data]
"CloneCDTray" = ""F:\Programme\Brennen\CloneCD\CloneCDTray.exe" /s" ["SlySoft, Inc."]
"ZoneAlarm Client" = ""F:\Programme\Sicherheit\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "F:\Programme\Sicherheit\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "SSVHelper Class"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
                   \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "F:\Programme\system\Winrar\rarext.dll" [null data]
"{1CAA843A-6DBD-40EF-AB71-8F7B209997C0}" = "IntelliType Pro Key Settings Control Panel Property Page"
  -> {HKLM...CLSID} = "ITPropertyPage Class"
                   \InProcServer32\(Default) = "C:\Programme\Microsoft Hardware\Keyboard\itcpl.dll" [MS]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
  -> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" [file not found]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
  -> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" [file not found]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "F:\Programme\Office\OFFICE11\msohev.dll" [MS]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
  -> {HKLM...CLSID} = "Microsoft Office Outlook"
                   \InProcServer32\(Default) = "F:\PROGRA~1\Office\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
  -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
                   \InProcServer32\(Default) = "F:\PROGRA~1\Office\OFFICE11\OLKFSTUB.DLL" [MS]
"{506F4668-F13E-4AA1-BB04-B43203AB3CC0}" = "{506F4668-F13E-4AA1-BB04-B43203AB3CC0}"
  -> {HKLM...CLSID} = "ImageExtractorShellExt Class"
                   \InProcServer32\(Default) = "F:\Programme\Office\Visio11\VISSHE.DLL" [null data]
"{D66DC78C-4F61-447F-942B-3FB6980118CF}" = "{D66DC78C-4F61-447F-942B-3FB6980118CF}"
  -> {HKLM...CLSID} = "CInfoTipShellExt Class"
                   \InProcServer32\(Default) = "F:\Programme\Office\Visio11\VISSHE.DLL" [null data]
"{D9872D13-7651-4471-9EEE-F0A00218BEBB}" = "Multiscan"
  -> {HKLM...CLSID} = "ZLAVShExt Class"
                   \InProcServer32\(Default) = "F:\Programme\Sicherheit\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
  -> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" [file not found]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
  -> {HKLM...CLSID} = "PDF Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "F:\Programme\system\Winrar\rarext.dll" [null data]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
  -> {HKLM...CLSID} = "ZLAVShExt Class"
                   \InProcServer32\(Default) = "F:\Programme\Sicherheit\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "F:\Programme\system\Winrar\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "F:\Programme\system\Winrar\rarext.dll" [null data]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
  -> {HKLM...CLSID} = "ZLAVShExt Class"
                   \InProcServer32\(Default) = "F:\Programme\Sicherheit\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Torsten-admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "Torsten-admin" & "All Users" startup folders:
---------------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"NkbMonitor.exe" -> shortcut to: "F:\Programme\Multimedia\Nikon\pictureproject\NkbMonitor.exe" ["Nikon Corporation"]
"Ralink Wireless Utility" -> shortcut to: "C:\Programme\RALINK\Common\RaUI.exe -s" ["Ralink Technology, Corp."]


Enabled Scheduled Tasks:
------------------------

"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Computer, Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\system32\wshbth.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 24
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "F:\PROGRA~1\Office\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"
  -> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
  -> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, "F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Bluetooth Support Service, BthServ, "C:\WINDOWS\system32\svchost.exe -k bthsvcs" {"C:\WINDOWS\System32\bthserv.dll" [MS]}
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]
WisoBoerseWatchDog, WisoBoerseWatchDog, "F:\Programme\Office\Wiso\börse\bin\watchdog.exe" ["market maker Software AG"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Canon BJ Language Monitor S400\Driver = "CNMLM2P.DLL" ["CANON INC."]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]


---------- (launch time: 2007-12-09 23:07:47)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
  DLL launch points, use the -supp parameter or answer "No" at the
  first message box and "Yes" at the second message box.
---------- (total run time: 75 seconds, including 28 seconds for message bo
         
combofix:

Code:
ATTFilter
ComboFix 07-12-09.1 - Torsten-admin 2007-12-09 22:55:58.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.910 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Torsten-admin\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\wanpacket.dll
C:\WINDOWS\system32\wpcap.dll

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_NPF
-------\NPF


(((((((((((((((((((((((   Dateien erstellt von 2007-11-09 bis 2007-12-09  ))))))))))))))))))))))))))))))
.

2007-12-03 10:25 . 2007-12-03 10:25	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\World Money
2007-12-03 10:24 . 2007-12-03 10:24	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\DataDesign
2007-12-03 10:24 . 2007-04-12 15:38	135,168	---------	C:\WINDOWS\system32\LexEBankCommon10VC8.dll
2007-12-03 10:24 . 2006-05-15 15:58	117,760	---------	C:\WINDOWS\system32\LexEBankCommon.dll
2007-12-03 10:23 . 2007-12-03 10:23	<DIR>	d--------	C:\Programme\Lexware
2007-12-03 10:23 . 2007-12-03 10:23	<DIR>	d--------	C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\Lexware
2007-12-03 10:23 . 2007-12-03 10:23	<DIR>	d--------	C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\InstallShield
2007-12-03 10:18 . 2007-12-03 10:24	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lexware
2007-12-03 10:15 . 2007-12-03 17:54	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Lexware
2007-11-26 17:40 . 2007-11-26 17:40	<DIR>	d--------	C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\eMule
2007-11-20 15:22 . 2007-11-20 15:22	<DIR>	d--------	C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\Microsoft Web Folders

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-09 22:00	9,478,176	--sha-w	C:\WINDOWS\system32\drivers\fidbox.dat
2007-12-09 21:58	119,408	--sha-w	C:\WINDOWS\system32\drivers\fidbox.idx
2007-12-09 15:32	---------	d-----w	C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\Skype
2007-12-04 19:57	---------	d-----w	C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\foobar2000
2007-12-03 16:57	---------	d--h--w	C:\Programme\InstallShield Installation Information
2007-12-03 09:17	---------	d-----w	C:\Programme\Gemeinsame Dateien\InstallShield
2007-12-01 18:29	---------	d-----w	C:\Programme\Java
2007-11-25 18:25	---------	d-----w	C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\ChessBase
2007-11-24 07:22	17,847,315	----a-w	C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_11_24_08_21_10_full.dmp.zip
2007-11-14 12:31	6,042,474	----a-w	C:\WINDOWS\Internet Logs\tvDebug.zip
2007-11-06 17:08	---------	d-----w	C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\The Bat!
2007-10-30 15:26	---------	d-----w	C:\Dokumente und Einstellungen\Guddy\Anwendungsdaten\Talkback
2007-10-29 08:04	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Downloaded Installations
2007-10-24 07:58	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2007-10-13 15:22	---------	d-----w	C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\DataDesign
2007-10-13 10:59	---------	d-----w	C:\Programme\Gemeinsame Dateien\Buhl Data Service
2007-10-13 10:58	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Börse 2007
2007-10-12 18:32	---------	d-----w	C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\Buhl Data Service GmbH
2007-10-12 18:32	---------	d-----w	C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\Buhl Data Service
2007-10-12 18:32	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
2007-10-12 18:27	---------	d-----w	C:\Programme\DataDesign
2007-05-13 14:28	20,770,584	----a-w	C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_05_13_16_20_41_full.dmp.zip
2007-03-22 19:08	20	---h--w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLec.DAT
2006-12-12 14:58	16,368	----a-w	C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00]
"DAEMON Tools"="F:\Programme\Brennen\Daemon Tools\daemon.exe" [2007-04-03 23:29]
"eMuleAutoStart"="F:\Programme\Internet\emule\emule.exe" [2007-05-13 15:57]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2003-01-10 04:39 C:\WINDOWS\SOUNDMAN.EXE]
"avgnt"="F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-13 10:25]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 13:00 C:\WINDOWS\system32\bthprops.cpl]
"POINTER"="point32.exe" []
"IntelliType"="C:\Programme\Microsoft Hardware\Keyboard\type32.exe" [2002-03-22 05:41]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"TerraTec Remote Control"="C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe" []
"WinampAgent"="F:\Programme\Multimedia\Winamp\Winampa.exe" [2003-04-17 07:54]
"CloneCDTray"="F:\Programme\Brennen\CloneCD\CloneCDTray.exe" [2006-09-28 20:21]
"ZoneAlarm Client"="F:\Programme\Sicherheit\ZoneAlarm\zlclient.exe" [2007-09-06 15:14]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00]
			
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\emMON]
			emMON.exe

R2 WisoBoerseWatchDog;WisoBoerseWatchDog;F:\Programme\Office\Wiso\börse\bin\watchdog.exe
S3 kvpndev;Kerio VPN adapter;C:\WINDOWS\system32\DRIVERS\kvpndrv.sys
S3 PTV337;Mini DigitalTV USB;C:\WINDOWS\system32\DRIVERS\PTV337.SYS
S3 USB28xxBGA;Cinergy Hybrid T USB XS;C:\WINDOWS\system32\DRIVERS\emBDA.sys
S3 USB28xxOEM;Cinergy T USB XS Custom Filter;C:\WINDOWS\system32\DRIVERS\emOEM.sys

.
Inhalt des "geplante Tasks" Ordners
"2007-10-12 05:11:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1331 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-09 23:00:46
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen 
versteckte Dateien: 0 

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-09 23:01:53 - machine was rebooted
.
	--- E O F ---
         

Der neue escanlink funktioniert nicht.

Grüße

guddy


Alt 09.12.2007, 23:15   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Drooper DR/Softomate.AA.a mit AntiVir festgestellt - Standard

Drooper DR/Softomate.AA.a mit AntiVir festgestellt



=> escan-Anleitung
Scroll da runter zur Anleitung für User OHNE Router. Acker das ab, ich schau mir derweil die Logfiles an...
__________________
--> Drooper DR/Softomate.AA.a mit AntiVir festgestellt

Alt 10.12.2007, 18:39   #7
gudmanef
 
Drooper DR/Softomate.AA.a mit AntiVir festgestellt - Standard

Drooper DR/Softomate.AA.a mit AntiVir festgestellt



Servus,

hab es wie in der Anleitung gemacht. Leider startet das Programm nicht im abgesicherten Modus. Irgendwie findet er die com Datei nicht.

Grüße

guddy

Alt 11.12.2007, 16:20   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Drooper DR/Softomate.AA.a mit AntiVir festgestellt - Standard

Drooper DR/Softomate.AA.a mit AntiVir festgestellt



Wenn du WinRAR hast, solltest du mal die MWAV.EXE (die du runtergeladen hast) über Rechtsklicks entpacken (ja man kann auch *.exe entpacken) - im normalen Modus dann im entpackten MWAV-Ordner die MWAVSCAN.COM starten und bei bestehender Internetverbindung Update starten - isses durch, Rechenr im abgesicherten Modus starten und die MWAVSCAN.COM im MWAV-Ordner öffnen. Den Rest nach Anleitung.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 16.12.2007, 21:13   #9
gudmanef
 
Drooper DR/Softomate.AA.a mit AntiVir festgestellt - Standard

Drooper DR/Softomate.AA.a mit AntiVir festgestellt



Hey,

hier der escanlog:

Code:
ATTFilter
b]Header[/b] 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  
find.bat Version 2007.06.16.01 

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL 
    
eScan Version: 9.5.9 
Sprache: German 
C:\DOKUME~1\TORSTE~1\LOKALE~1\Temp\MWAV.LOG
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Infektionsmeldungen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 System found infected with spyware.imfmonitor Spyware/Adware ({2a652f47-a8ce-414c-bbb4-203a59031056})! Action taken: Keine Aktion vorgenommen. 
 System found infected with spyware.imfmonitor Spyware/Adware ({3c43bba2-9e93-4758-8669-adce56687e0c})! Action taken: Keine Aktion vorgenommen. 
 System found infected with spyware.imfmonitor Spyware/Adware ({4898d118-1d1e-4a2d-a8a3-4a75bf333cd5})! Action taken: Keine Aktion vorgenommen. 
 System found infected with spyware.imfmonitor Spyware/Adware ({517f778c-078d-4d33-953b-afbf1720c947})! Action taken: Keine Aktion vorgenommen. 
 System found infected with spyware.imfmonitor Spyware/Adware ({76d230aa-fc0c-4dd4-bf9e-4032d60369f1})! Action taken: Keine Aktion vorgenommen. 
 System found infected with spyware.imfmonitor Spyware/Adware ({87b24642-366e-4393-851a-b6cec5d7e641})! Action taken: Keine Aktion vorgenommen. 
 System found infected with spyware.imfmonitor Spyware/Adware ({8c22668a-d7d8-42f5-99e8-4f30ed0d18b0})! Action taken: Keine Aktion vorgenommen. 
 System found infected with spyware.imfmonitor Spyware/Adware ({963dfd8c-2e6a-4db4-bcb3-9d5c78142e41})! Action taken: Keine Aktion vorgenommen. 
 System found infected with spyware.imfmonitor Spyware/Adware ({a06d036f-984f-4482-ad5c-ebd11a638b4c})! Action taken: Keine Aktion vorgenommen. 
 System found infected with spyware.imfmonitor Spyware/Adware ({a434ac6f-7286-42c3-982b-20f00263501b})! Action taken: Keine Aktion vorgenommen. 
 System found infected with spyware.imfmonitor Spyware/Adware ({c5a786b9-3bd6-4a4e-b4d7-9b752138dc4b})! Action taken: Keine Aktion vorgenommen. 
 System found infected with spyware.imfmonitor Spyware/Adware ({d044d89c-01e4-4722-8812-8df543680606})! Action taken: Keine Aktion vorgenommen. 
 System found infected with spyware.imfmonitor Spyware/Adware ({d3e78b93-4b65-405d-9095-e82b78555173})! Action taken: Keine Aktion vorgenommen. 
 System found infected with spyware.imfmonitor Spyware/Adware ({e6857874-b535-46d7-a3eb-4103614e91fc})! Action taken: Keine Aktion vorgenommen. 
 System found infected with spyware.imfmonitor Spyware/Adware ({fbd42940-b837-40eb-bdb4-86ae00e1d0d1})! Action taken: Keine Aktion vorgenommen. 
 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. 
 
 
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
 Offending file found: C:\WINDOWS\system32\swreg.exe 
 Offending file found: C:\WINDOWS\system32\swsc.exe 
 Offending file found: C:\WINDOWS\system32\unrar.dll 
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
 Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\codecs\k-lite codec pack\tools 
 Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\codecs\k-lite codec pack\tools 
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Diverses 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~ 
Prozesse und Module 
~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~ 
Scanfehler 
~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~ 
Hosts-Datei 
~~~~~~~~~~~~~~~~~~~~~~ 
DataBasePath: %SystemRoot%\System32\drivers\etc 
Zeilen die nicht dem Standard entsprechen: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Scan-Optionen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Specherüberprüfung: Aktiviert 
 Registry Überprüfung: Aktiviert 
 System-Ordner Überprüfung: Aktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Festplatten: Deaktiviert 
 Überprüfung aller Festplatten :Aktiviert 
 
Batchstart: 20:52:30,81 
Batchende: 20:52:39,92
         
Mfg

Guddy

Alt 18.12.2007, 01:44   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Drooper DR/Softomate.AA.a mit AntiVir festgestellt - Standard

Drooper DR/Softomate.AA.a mit AntiVir festgestellt



Okay, ich fass mal zusammen:

- im Silentrunners nichts auffälliges
- im combofix nichts auffälliges
- escan (mal wieder ) Fehlalarme erzeugt

Dein Rechner macht absolut keinen kompromittierten Eindruck.

Zitat:
C:\Programme\Adobe\Acrobat 7.0
Aber Acrobat hätte mal ein Update verdient.

Verhält sich das System denn noch merkwürdig?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 18.12.2007, 09:39   #11
gudmanef
 
Drooper DR/Softomate.AA.a mit AntiVir festgestellt - Standard

Drooper DR/Softomate.AA.a mit AntiVir festgestellt



Hallo,

scheint alles in Ordnung zu sein. Noch eine Frage: Was kannst du mir als kostenlose oder kostengünstige Programme empfehlen die ich zum Schutz vor Viren und anderen Schädlingen installieren sollte.

Vielen Dank für deine Mühe! Schnell und Kompetent!

Viele Grüße

guddy

Alt 18.12.2007, 17:34   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Drooper DR/Softomate.AA.a mit AntiVir festgestellt - Standard

Drooper DR/Softomate.AA.a mit AntiVir festgestellt



Zitat:
Was kannst du mir als kostenlose oder kostengünstige Programme empfehlen die ich zum Schutz vor Viren und anderen Schädlingen installieren sollte.
In erster Linie: BRAIN => Kompromittierung unvermeidbar?

Unterstützen kann dich dabei jew. einer der folgenden Kostenlose Virenscanner:

- AntiVir
- AVG Free
- Avast

Mit Spybot S&D kannst du rel. zuverlässig übriggebliebene Spywarereste noch entfernen, achte aber darauf, dass du den Teatimer nicht mitinstallierst, denn der muckt bei fast jeder Aktion auf...

Und vergiss nicht, regelmäßig Backups zu erstellen!
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Drooper DR/Softomate.AA.a mit AntiVir festgestellt
adobe, antivir, avira, bho, dll, einstellungen, excel, explorer, firefox, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla, mozilla firefox, mozilla thunderbird, pdf, quara, remote control, rundll, s-1-5-18, sicherheit, software, system, temp, trend micro, windows, windows xp, wiso



Ähnliche Themen: Drooper DR/Softomate.AA.a mit AntiVir festgestellt


  1. Trojaner von Antivir festgestellt TR/Crypt.Xpack.38852 nach öffnen einer Anwaltsmail
    Plagegeister aller Art und deren Bekämpfung - 28.01.2014 (28)
  2. Drooper.Generic7.clbu auf alter CD gefunden. Ist mein System noch sauber?
    Plagegeister aller Art und deren Bekämpfung - 01.06.2013 (11)
  3. Exploit.Drop.UR.2 und Adware Softomate --> weißer Bildschirm nach Film im Internet keine Internetverbindung kein Taskmanager
    Plagegeister aller Art und deren Bekämpfung - 09.10.2012 (43)
  4. Trojaner Sirefe.FT / Drooper.PE4 / Rootkit.0Acces usw
    Plagegeister aller Art und deren Bekämpfung - 11.06.2012 (3)
  5. Softomate und Spyeyes machen den Rechner langsam
    Log-Analyse und Auswertung - 11.10.2011 (5)
  6. TR/Kazy.mekml.1 aus einer email eingefangen, obwohl Antivir nix festgestellt hat
    Log-Analyse und Auswertung - 13.05.2011 (32)
  7. viele trojaner (drooper, alureon) und umleitung über ukrainische seite, was tun?
    Log-Analyse und Auswertung - 12.03.2010 (2)
  8. TR/Drooper.gen Problem
    Log-Analyse und Auswertung - 12.03.2010 (8)
  9. b.exe hat ein Problem festgestellt...
    Plagegeister aller Art und deren Bekämpfung - 06.09.2009 (47)
  10. TR/Drooper.Gen Mit anti vir gefunden Hilfe !!
    Antiviren-, Firewall- und andere Schutzprogramme - 18.08.2009 (9)
  11. Tjojan-Drooper.SEH, Adware.softomate und Trojan.CDur
    Plagegeister aller Art und deren Bekämpfung - 04.03.2009 (6)
  12. tr/drooper.gen
    Log-Analyse und Auswertung - 28.02.2009 (6)
  13. Virtuemonde, drivecleaner, softomate. kämpfe schon lang
    Plagegeister aller Art und deren Bekämpfung - 10.06.2007 (1)
  14. not-a-virus:AdWare.Win32.Softomate.u
    Plagegeister aller Art und deren Bekämpfung - 21.12.2006 (9)
  15. explorer.exe hat Problem festgestellt u. muss beendet werden - wie gut ist Antivir??
    Antiviren-, Firewall- und andere Schutzprogramme - 22.05.2006 (3)
  16. wie werd ich ihn wieder los? not-a-virus:adware:win32.softomate.g
    Log-Analyse und Auswertung - 19.02.2006 (3)
  17. drooper gefunden ? hijackthis-log inside / help
    Log-Analyse und Auswertung - 26.10.2005 (1)

Zum Thema Drooper DR/Softomate.AA.a mit AntiVir festgestellt - Hallo liebe Profis! Ich hoffe ihr könnt mir helfen. Antivir spuckt ständig die Meldung aus o.g. Drooper gefunden zu haben im Pfad: c:\dokumente und Einstellungen\+++\Lokale Einstellungen\temp\mediabar.exe Was hat das zu - Drooper DR/Softomate.AA.a mit AntiVir festgestellt...
Archiv
Du betrachtest: Drooper DR/Softomate.AA.a mit AntiVir festgestellt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.