| |
| |||||||
Log-Analyse und Auswertung: Mich hat's erwischt...Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
14.10.2008, 09:21
| #1 |
| |  Mich hat's erwischt... Hi Leute! Nachdem ich eine bitterböse Mail von meinem Provider bekam, habe ich mein System mal auf Verdächtiges hin überprüft. Offensichtlich verschickt das Mistding massenhaft Spam's (wahrscheinlich über: "server109.labinaservers.com"). Auf die Registry kann ich auch nicht mehr zugreifen, diese sei "vom Administrator gesperrt" (oder so ähnlich). Weiß jemand welche Malware dahinter steckt? Wie kann ich auf die Registry wieder zugreifen? Danke für Eure Bemühungen!!! Hier mal die Auswertung: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:00:48, on 14.10.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Microsoft Hardware\Keyboard\type32.exe c:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe C:\Programme\Gemeinsame Dateien\Cloanto\Software Manager\softmngr.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\cmd.exe C:\Programme\Mozilla Firefox\firefox.exe C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\taskmgr.exe C:\WINDOWS\explorer.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HxxP://searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = HxxPs://www.iposo.de/mainmenu/index.asp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\GANYME~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HxxP://searchbar.findthewebsiteyouneed.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\GANYME~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - c:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: FreshDownload Bar - {ED0E8CA5-42FB-4B18-997B-769E0408E79D} - C:\Programme\FreshDevices\FreshDownload\fdiebar.dll O3 - Toolbar: Norton-Symbolleiste anzeigen - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - c:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [CloantoSoftwareManager] "C:\Programme\Gemeinsame Dateien\Cloanto\Software Manager\softmngr.exe" /s O4 - HKLM\..\Run: [I downloaded pirated Software from P2P ] C:\WINDOWS\system32\0106.exe O4 - HKLM\..\Run: [012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789 012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678912345678] C:\Programme\wupdtmngr.exe O4 - HKLM\..\Run: [keyboard] C:\\keyboard1.exe O4 - HKLM\..\Run: [mousepad] C:\\mousepad1.exe O4 - HKLM\..\Run: [gimmysmileys] C:\\gimmysmileys1.exe O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [osCheck] "c:\Programme\Norton Internet Security\osCheck.exe" O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programme\Logitech\Profiler\lwemon.exe" /noui O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: LUMIX Simple Viewer.lnk = ? O4 - Global Startup: Office-Bibliothek-Direktsuche.lnk = C:\Programme\Office-Bibliothek\PCLib.exe O4 - Global User Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global User Startup: LUMIX Simple Viewer.lnk = ? O4 - Global User Startup: Office-Bibliothek-Direktsuche.lnk = C:\Programme\Office-Bibliothek\PCLib.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: FreshDownload - {FADB8595-102D-471E-B522-E307DD1D01EE} - C:\Programme\FreshDevices\FreshDownload\fd.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - HxxP://www.midasplayer.com/midasa.cab O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:C:\stassp.chm::/on-line.exe O16 - DPF: {10B80396-96A7-11D3-B7A6-00A0C94C6AE0} (ParallelGraphics Cortona VRML 1.0 to VRML 2.0 convertor) - HxxP://www.parallelgraphics.com/bin/cortvrml10.cab O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!HxxP://cashsearch.biz/sher/x.chm::/load.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - HxxP://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - HxxP://download.ebay.com/turbo_lister/DE/install.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - HxxP://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - HxxP://a1540.g.akamai.net/7/1540/52/20020124/qtinstall.info.apple.com/qt505/de/win/QuickTimeInstaller.exe O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - HxxP://www.king.com/ctl/kingcomie.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - HxxP://207.188.7.150/190e8ce7e6686ffac606/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - HxxP://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096458218890 O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - HxxP://launch.gamespyarcade.com/software/launch/alaunch.cab O16 - DPF: {713AE1D4-897C-11D2-B2A0-00C04F94B4D5} (WUCorpSuppControl Class) - HxxP://corporate.windowsupdate.microsoft.com/de/wucorpct.CAB O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - HxxP://www.parallelgraphics.com/bin/cortvrml.cab O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - HxxPs://homepage.t-online.de/app/static/activex/msxml4.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - HxxP://security2.norton.com/SSC/SharedContent/sc/bin/cabsa.cab O16 - DPF: {E504EE6E-47C6-11D5-B8AB-00D0B78F3D48} (Yahoo! Webcam Viewer Wrapper) - HxxP://chat.yahoo.com/cab/yvwrctl.cab O16 - DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} (NTR ActiveX 1.1.8) - HxxPs://eu.ntrsupport.com/nv/inquiero/mod/setup/ntractivex118_28.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - HxxP://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O16 - DPF: {EDDD6406-4684-410F-A90D-780E8C73D2C4} (aldi-fotoservice-druck_de_bilduebertragung) - HxxP://www.aldi-fotoservice-druck.de/upload/aldi_nord_bilduebertragung.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - HxxP://fdl.msn.com/public/chat/msnchat45.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F7F4FB16-3533-4EC0-8485-135465A675C3}: NameServer = 192.168.120.252,192.168.120.253 O18 - Filter: text/plain - {42F75891-14C2-4ABF-9905-BF88FE4E8F35} - C:\WINDOWS\System32\mof.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - c:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe O23 - Service: LiveUpdate - Symantec Corporation - c:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE O23 - Service: LiveUpdate Notice - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe -- End of file - 11606 bytes |
|
14.10.2008, 10:05
| #2 |
  | Mich hat's erwischt... Hallo,
__________________Du hast verschiedene Backdoors auf Deinem Rechner, eigentlich kommt nur Neuaufsetzen in Frage! Notlösung: Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\keyboard1.exe
C:\mousepad1.exe
C:\gimmysmileys1.exe
C:\Programme\wupdtmngr.exe
C:\WINDOWS\system32\0106.exe
C:\Programme\Gemeinsame Dateien\Cloanto\Software Manager\softmngr.exe
C:\WINDOWS\System32\mof.dll
Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:  2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|keyboard
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|mousepad
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|gimmysmileys
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|I downloaded pirated Software from P2P
Files to delete:
C:\keyboard1.exe
C:\mousepad1.exe
C:\gimmysmileys1.exe
C:\Programme\wupdtmngr.exe
C:\WINDOWS\system32\0106.exe
Folders to delete:
C:\DOKUME~1\GANYME~1\LOKALE~1\Temp
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:C:\stassp.chm::/on-line.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!HxxP://cashsearch.biz/sher/x.chm::/load.exe
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - HxxP://launch.gamespyarcade.com/software/launch/alaunch.cab
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P ] C:\WINDOWS\system32\0106.exe
O4 - HKLM\..\Run: [01234567890123456789012345678901234567890123456789 01234567890123456789012345678901234567890123456789 01234567890123456789012345678901234567890123456789 01234567890123456789012345678901234567890123456789 01234567890123456789012345678901234567890123456789 12345678] C:\Programme\wupdtmngr.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\GANYME~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\GANYME~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HxxP://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HxxP://searchbar.findthewebsiteyouneed.com
Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird Chris
__________________ |
|
14.10.2008, 20:15
| #3 |
| | Mich hat's erwischt... Hallo Chris!
__________________Danke, dass Du Dir die Zeit genommen hast auf meine Fragen einzugehen. Die "Ordneroptionen" waren verschwunden, ließen sich aber mit reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoFolderOptions und einem Neustart wieder reaktivieren Auf die Regedit konnte ich mit REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\policies\System /v DisableRegistryTools /t REG_DWORD /d 00000000 /f wieder zugreifen. (Ich erwähne es mal für den Fall, dass ein anderer die selben Probleme hat) Nun zu Deinem Vorschlag. Ich bin strickt nach Deiner Anleitung vorgegangen: Dateien Online überprüfen lassen: C:\keyboard1.exe (Datei war nicht vorhanden) C:\mousepad1.exe (Datei war nicht vorhanden) C:\gimmysmileys1.exe (Datei war nicht vorhanden) C:\Programme\wupdtmngr.exe (Datei war nicht vorhanden) C:\WINDOWS\system32\0106.exe (Datei war nicht vorhanden) C:\WINDOWS\System32\mof.dll (Datei war nicht vorhanden) C:\Programme\Gemeinsame Dateien\Cloanto\Software Manager\softmngr.exe Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.15.0 2008.10.14 -
AntiVir 7.8.1.34 2008.10.14 -
Authentium 5.1.0.4 2008.10.14 -
Avast 4.8.1248.0 2008.10.14 -
AVG 8.0.0.161 2008.10.14 -
BitDefender 7.2 2008.10.14 -
CAT-QuickHeal 9.50 2008.10.14 -
ClamAV 0.93.1 2008.10.14 -
DrWeb 4.44.0.09170 2008.10.14 -
eSafe 7.0.17.0 2008.10.12 -
eTrust-Vet 31.6.6148 2008.10.14 -
Ewido 4.0 2008.10.14 -
F-Prot 4.4.4.56 2008.10.14 -
F-Secure 8.0.14332.0 2008.10.14 -
Fortinet 3.113.0.0 2008.10.14 -
GData 19 2008.10.14 -
Ikarus T3.1.1.34.0 2008.10.14 -
K7AntiVirus 7.10.493 2008.10.14 -
Kaspersky 7.0.0.125 2008.10.14 -
McAfee 5405 2008.10.14 -
Microsoft 1.4005 2008.10.14 -
NOD32 3521 2008.10.14 -
Norman 5.80.02 2008.10.14 -
Panda 9.0.0.4 2008.10.14 -
PCTools 4.4.2.0 2008.10.14 -
Prevx1 V2 2008.10.14 -
Rising 20.66.12.00 2008.10.14 -
SecureWeb-Gateway 6.7.6 2008.10.14 -
Sophos 4.34.0 2008.10.14 -
Sunbelt 3.1.1722.1 2008.10.14 -
Symantec 10 2008.10.14 -
TheHacker 6.3.1.0.110 2008.10.14 -
TrendMicro 8.700.0.1004 2008.10.14 -
VBA32 3.12.8.6 2008.10.14 -
ViRobot 2008.10.14.1419 2008.10.14 -
VirusBuster 4.5.11.0 2008.10.14 -
weitere Informationen
File size: 320616 bytes
MD5...: a4072d1e2d9c926a69ca6c38ce91852e
SHA1..: 8cfa9134e82cb1b977c520b64aee9c075e0bbb6b
SHA256: db45096e2c1c25cad482044208a98aabe68eefdadfd5477ff847fdd9395ed948
SHA512: e7f5a6a0d86a244cdfae8ed257d71b351166fd7ff1569e83d1a5c4c16a5dceff
7245e3d325c6e485bdf31b32ae024c1e51dd35ace4c5453fb42ab1f80dbb7eae
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (59.5%)
Windows Screen Saver (20.6%)
Win32 Executable Generic (13.4%)
Generic Win/DOS Executable (3.1%)
DOS Executable Generic (3.1%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x424146
timedatestamp.....: 0x4078282d (Sat Apr 10 17:00:29 2004)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2bc85 0x2c000 6.53 a2ff0fb37c1423d78992a56b03a70510
.rdata 0x2d000 0x7326 0x8000 4.70 b9f083060b85c4bca99ea1f0e0be86e4
.data 0x35000 0x2e94 0x1000 3.39 033f158bc445317ea5f720b1359955fc
.rsrc 0x38000 0x165a8 0x17000 3.51 1cdc3d7b21226c496217e4ee98258490
( 10 imports )
> COMCTL32.dll: -, ImageList_Create, ImageList_ReplaceIcon, ImageList_SetOverlayImage, ImageList_Destroy, -
> VERSION.dll: GetFileVersionInfoA, GetFileVersionInfoSizeA, VerQueryValueA
> KERNEL32.dll: CreateDirectoryA, DeleteFileA, GetTempFileNameA, GetTempPathA, MoveFileA, WriteFile, GetSystemTimeAsFileTime, CopyFileA, lstrcpynA, GetTimeFormatA, GetDateFormatA, FileTimeToSystemTime, FileTimeToLocalFileTime, CreateEventA, CreateMutexA, WaitForSingleObject, ReleaseMutex, GetTickCount, WritePrivateProfileStringA, FindClose, FindNextFileA, FindFirstFileA, LockResource, LoadResource, FindResourceA, ReleaseSemaphore, GetExitCodeThread, CreateSemaphoreA, SystemTimeToFileTime, lstrcpyA, GetSystemInfo, VirtualProtect, InitializeCriticalSection, SetFilePointer, RemoveDirectoryA, GetStringTypeW, GetStringTypeA, HeapReAlloc, VirtualAlloc, GetCPInfo, GetOEMCP, IsBadCodePtr, IsBadWritePtr, IsBadReadPtr, VirtualQuery, InterlockedExchange, VirtualFree, HeapCreate, HeapDestroy, GetFileType, SetHandleCount, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStdHandle, UnhandledExceptionFilter, TerminateProcess, LCMapStringW, LCMapStringA, SetUnhandledExceptionFilter, EnterCriticalSection, LeaveCriticalSection, DeleteCriticalSection, HeapAlloc, HeapFree, TlsGetValue, TlsSetValue, TlsFree, TlsAlloc, GetCurrentProcessId, QueryPerformanceCounter, GetCommandLineA, GetStartupInfoA, GetModuleHandleA, CreateThread, GetCurrentThreadId, ExitThread, RaiseException, RtlUnwind, ExitProcess, GetCurrentProcess, CompareFileTime, CompareStringA, GetACP, MultiByteToWideChar, GetUserDefaultLCID, SetLastError, CreateFileA, GetFileSize, ReadFile, GetProcAddress, ExpandEnvironmentStringsA, LoadLibraryA, GetModuleFileNameA, FreeLibrary, GetFileAttributesA, GetLocaleInfoA, GetNumberFormatA, GetCurrentDirectoryA, SetCurrentDirectoryA, CloseHandle, FormatMessageA, GetLastError, GetSystemDirectoryA, WideCharToMultiByte, Sleep, GetVersionExA, LocalAlloc, LocalFree, GlobalAlloc, GlobalSize, GlobalFree, SetStdHandle, HeapSize, FlushFileBuffers
> USER32.dll: GetMessageA, SetRectEmpty, MapWindowPoints, EnumChildWindows, IsWindowEnabled, GetFocus, SendDlgItemMessageA, ReleaseCapture, ClipCursor, SetCapture, InflateRect, EndDialog, DestroyIcon, SendMessageTimeoutA, ChildWindowFromPoint, BringWindowToTop, UnregisterClassA, ReleaseDC, LoadCursorA, RegisterClassA, DefWindowProcA, SetTimer, KillTimer, IsWindow, IsDialogMessageA, TranslateMessage, CreateDialogParamA, PostQuitMessage, IsWindowVisible, IsIconic, EnumWindows, EndPaint, BeginPaint, GetUpdateRect, FrameRect, GetWindowRgn, GetForegroundWindow, FillRect, SendMessageA, DestroyMenu, InsertMenuItemA, GetMenuItemCount, LoadStringA, CreatePopupMenu, GetWindowThreadProcessId, SetWindowRgn, GetClassInfoA, GetDC, DestroyWindow, ClientToScreen, GetMenuItemInfoA, CopyIcon, InvalidateRect, GetCursorPos, PtInRect, SetCursor, GetSysColorBrush, GetClassNameA, CreateWindowExA, ShowWindow, GetUpdateRgn, InvalidateRgn, MapDialogRect, GetSysColor, SetFocus, GetClientRect, GetParent, wsprintfA, MessageBoxIndirectA, MessageBoxA, GetDesktopWindow, MsgWaitForMultipleObjects, DispatchMessageA, PeekMessageA, PostThreadMessageA, IsDlgButtonChecked, EnableWindow, CheckDlgButton, SystemParametersInfoA, SetDlgItemTextA, PostMessageA, GetDlgItemTextA, LoadImageA, GetSystemMetrics, DialogBoxParamA, GetWindowLongA, SetWindowLongA, GetDlgItem, SetWindowTextA, SetWindowPos, SetForegroundWindow, ScreenToClient, ChildWindowFromPointEx, GetDlgCtrlID, GetWindowRect, TrackPopupMenuEx, FindWindowA
> GDI32.dll: CreateRoundRectRgn, CreatePolygonRgn, CombineRgn, SetMapMode, SetTextAlign, SetBkMode, SetTextColor, TextOutW, GetStockObject, FrameRgn, SelectObject, CreateRectRgn, OffsetRgn, DeleteObject, CreateFontIndirectA, CreateCompatibleDC, EnumFontFamiliesExA, GetTextExtentPoint32W, DeleteDC
> comdlg32.dll: GetSaveFileNameA
> ADVAPI32.dll: RegCloseKey, RegOpenKeyExA, RegSetValueExA, RegCreateKeyExA, RegEnumValueA, RegDeleteKeyA, RegDeleteValueA, RegEnumKeyExA, RegQueryInfoKeyA, RegQueryValueExA
> SHELL32.dll: SHGetSpecialFolderLocation, SHGetPathFromIDListA, SHGetMalloc, ShellExecuteA, SHGetFileInfoA, ShellExecuteExA, FindExecutableA
> ole32.dll: CoCreateInstance, CoInitialize, OleInitialize, OleUninitialize, CoUninitialize
> OLEAUT32.dll: -, -, -, -
( 0 exports )
Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: file "C:\keyboard1.exe" not found!
Deletion of file "C:\keyboard1.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\mousepad1.exe" not found!
Deletion of file "C:\mousepad1.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\gimmysmileys1.exe" not found!
Deletion of file "C:\gimmysmileys1.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\Programme\wupdtmngr.exe" not found!
Deletion of file "C:\Programme\wupdtmngr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\system32\0106.exe" not found!
Deletion of file "C:\WINDOWS\system32\0106.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Folder "C:\DOKUME~1\GANYME~1\LOKALE~1\Temp" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|keyboard" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|mousepad" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|gimmysmileys" deleted successfully.
Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|I downloaded pirated Software from P2P"
Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|I downloaded pirated Software from P2P" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate.
AUSGEFÜHRT Malwarebytes Antimalware (MAM): Code:
ATTFilter Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1268
Windows 5.1.2600 Service Pack 2
14.10.2008 19:52:17
mbam-log-2008-10-14 (19-52-09).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 177218
Laufzeit: 2 hour(s), 3 minute(s), 3 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 9
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fci (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\fci (Rootkit.ADS) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\fci (Rootkit.ADS) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ICF (Rootkit.Agent) -> No action taken.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon (Trojan.NetMon) -> No action taken.
Infizierte Dateien:
C:\Program Files\Absolute Poker\browser.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ide21201.vxd (Adware.Winad) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon\domains.txt (Trojan.NetMon) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon\log.txt (Trojan.NetMon) -> No action taken.
C:\WINDOWS\Hosts (Trojan.Agent) -> No action taken.
C:\d1.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> No action taken.
C:\d.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\svchost.exe:ext.exe (Rootkit.ADS) -> No action taken.
Code:
ATTFilter ComboFix 08-10-14.01 - ganyes 2008-10-14 20:33:10.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\ganyes\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\.log
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\exefld
C:\WINDOWS\gimmygames.dat
C:\WINDOWS\keyboard11.dat
C:\WINDOWS\pi.exe
C:\WINDOWS\system32\dao350.dll
C:\WINDOWS\system32\mdm.exe
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_FCI
((((((((((((((((((((((( Dateien erstellt von 2008-09-14 bis 2008-10-14 ))))))))))))))))))))))))))))))
.
2008-10-14 20:46 . 2008-10-14 20:46 <DIR> d-------- C:\Temp\WPDNSE
2008-10-14 20:46 . 2008-10-14 20:46 53,248 --a------ C:\Temp\catchme.dll
2008-10-14 18:20 . 2008-10-14 19:09 <DIR> d-------- C:\Temp\plugtmp-11
2008-10-14 17:45 . 2008-10-14 17:45 <DIR> d-------- C:\Temp\is-UK3DP.tmp
2008-10-14 17:45 . 2008-10-14 20:46 <DIR> d-------- C:\Temp\is-KGR36.tmp
2008-10-14 17:45 . 2008-10-14 17:47 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-14 17:45 . 2008-10-14 17:45 <DIR> d-------- C:\Dokumente und Einstellungen\ganyes\Anwendungsdaten\Malwarebytes
2008-10-14 17:45 . 2008-10-14 17:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-14 17:45 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-14 17:45 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-14 10:00 . 2008-10-14 10:00 <DIR> d-------- C:\Programme\Trend Micro
2008-10-07 17:54 . 2008-10-07 19:18 <DIR> d-------- C:\Temp\plugtmp-10
2008-09-24 16:59 . 2008-10-14 20:46 <DIR> d-------- C:\Temp\~DPEA15B3AB
2008-09-23 19:23 . 2008-09-23 19:25 <DIR> d-------- C:\Programme\PDF Reader 2
2008-09-23 19:04 . 2008-09-23 19:04 0 --a------ C:\414018848
2008-09-23 18:51 . 2008-09-30 18:50 <DIR> d-------- C:\Temp\PixelPlanet
2008-09-23 18:51 . 2008-09-23 18:51 <DIR> d-------- C:\Programme\PdfGrabber 4.0
2008-09-23 18:51 . 2008-09-23 18:51 <DIR> d-------- C:\Programme\Gemeinsame Dateien\XPressUpdate
2008-09-23 18:51 . 2008-09-23 18:51 <DIR> d-------- C:\Programme\Gemeinsame Dateien\BCL Technologies
2008-09-23 18:51 . 2008-09-23 18:51 <DIR> d-------- C:\Dokumente und Einstellungen\ganyes\Anwendungsdaten\PixelPlanet
2008-09-23 18:51 . 2008-09-23 18:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PixelPlanet
2008-09-23 18:04 . 2008-09-23 19:13 <DIR> d-------- C:\Programme\NOS
2008-09-23 18:04 . 2008-09-23 19:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOS
2008-09-19 18:56 . 2008-09-19 18:56 <DIR> d-------- C:\Programme\ElcomSoft
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-14 18:42 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-10-13 16:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-09-28 09:47 --------- d-----w C:\Programme\Free Download Manager
2008-09-24 14:50 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-09-23 17:23 73,216 ----a-w C:\WINDOWS\cadkasdeinst01.exe
2008-05-27 08:32 49,024 ----a-w C:\Dokumente und Einstellungen\ganyes\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-01-22 03:38 185,649 --sha-r C:\Programme\patcher.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Start WingMan Profiler"="C:\Programme\Logitech\Profiler\lwemon.exe" [2005-04-18 73728]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IntelliType"="C:\Programme\Microsoft Hardware\Keyboard\type32.exe" [2001-06-12 69632]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-08-02 4493312]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2004-03-02 98304]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-08-02 86016]
"Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
"CloantoSoftwareManager"="C:\Programme\Gemeinsame Dateien\Cloanto\Software Manager\softmngr.exe" [2004-04-10 320616]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2005-12-10 133016]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\ipoint.exe" [2005-12-04 461584]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"PaperPort PTD"="C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 57393]
"IndexSearch"="C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 40960]
"SetDefPrt"="C:\Programme\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 49152]
"ControlCenter2.0"="C:\Programme\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 933888]
"ccApp"="c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2008-01-31 51048]
"osCheck"="c:\Programme\Norton Internet Security\osCheck.exe" [2007-08-25 714608]
"nwiz"="nwiz.exe" [2004-08-02 C:\WINDOWS\system32\nwiz.exe]
C:\WINDOWS\system32\WinSvc32\
Adobe Gamma Loader.exe.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2002-02-27 110592]
LUMIX Simple Viewer.lnk - C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe [2005-11-16 61440]
Office-Bibliothek-Direktsuche.lnk - C:\Programme\Office-Bibliothek\PCLib.exe [2005-03-25 323584]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\WINDOWS\\system32\\Gany1.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2002-08-28 21:37 46592 C:\WINDOWS\SOUNDMAN.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\eDonkey2000\\eMule\\emule.exe"=
"C:\\Programme\\The All-Seeing Eye\\eye.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Games\\Renegade\\Game.exe"=
"C:\\Programme\\Adobe\\Adobe GoLive CS2\\GoLive.exe"=
"C:\\Programme\\SmartFTP\\SmartFTP.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"C:\\Games\\Renegade\\Game2.exe"=
R1 SSHDRV65;SSHDRV65;C:\WINDOWS\System32\drivers\SSHDRV65.sys [2004-06-01 120320]
R1 SSHDRV77;SSHDRV77;C:\WINDOWS\System32\drivers\SSHDRV77.sys [2004-06-01 79360]
R1 SSHDRV85;SSHDRV85;C:\WINDOWS\system32\drivers\SSHDRV85.sys [2005-08-11 78848]
R2 cvintdrv;cvintdrv;C:\WINDOWS\system32\drivers\cvintdrv.sys [2000-09-13 7140]
R2 LiveUpdate Notice;LiveUpdate Notice;c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe [2008-01-31 149864]
R2 ppsio;PrmxPPDev;C:\WINDOWS\system32\drivers\ppsio.sys [1998-02-26 22688]
R2 SVKP;SVKP;C:\WINDOWS\system32\SVKP.sys [2005-10-18 2368]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 37568]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2001-08-17 444416]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [2007-08-31 243064]
S3 Alfiaode;Alfiaode;C:\WINDOWS\system32\drivers\mf.sys [2004-08-04 63744]
S3 COH_Mon;COH_Mon;C:\WINDOWS\system32\Drivers\COH_Mon.sys [2008-07-30 23888]
S3 IrCOMM2k;Virtueller Infrarot-Kommunikationsanschluß;C:\WINDOWS\system32\DRIVERS\ircomm2k.sys [ ]
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\system32\DRIVERS\NETFRITZ.SYS [2002-01-11 259072]
S3 OVT511;Dual Mode USB Camera ;C:\WINDOWS\system32\Drivers\omcamvid.sys [2001-09-19 167816]
S3 PCD65X2;PCD65X2;C:\DOKUME~1\GANYME~1\LOKALE~1\Temp\PCD65X2.sys [ ]
S3 SipIMNDI;T-Online Dialerschutz VoIP Service;C:\WINDOWS\system32\DRIVERS\SipIMNDI.sys [ ]
S3 TSCOMM;CommStudio Virtual Adapter by TamoSoft;C:\WINDOWS\system32\DRIVERS\tscomm.sys [ ]
S3 viafilter;VIA USB Filter;C:\WINDOWS\system32\Drivers\viausb1.sys [2001-09-19 9728]
S3 WmAdiHid;Logitech WingMan Digital Devices Driver;C:\WINDOWS\system32\drivers\WmAdiHid.sys [2002-06-20 20320]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\autorun.exe
\Shell\readit\command - notepad readme.doc
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\isre1.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\S3\Autorun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\Autorun.exe
*Newly Created Service* - COMHOST
.
Inhalt des "geplante Tasks" Ordners
2007-12-15 C:\WINDOWS\Tasks\Norton Internet Security Online - Systemprüfung ausführen - ganyes.job
- c:\Programme\Norton Internet Security\Norton AntiVirus\Navw32.exe [2007-08-27 03:19]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKLM-Run-Cmaudio - cmicnfg.cpl
MSConfigStartUp-seticlient - C:\Programme\SETI@home\SETI@home.exe
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\ganyes\Anwendungsdaten\Mozilla\Firefox\Profiles\6gynlrwr.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/search?num=100&hl=de&as_qdr=all&q=&meta=lr%3Dlang_de
FF -: plugin - C:\Programme\Adobe\Acrobat 5.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\Java\j2re1.4.1_02\bin\NPJava11.dll
FF -: plugin - C:\Programme\Java\j2re1.4.1_02\bin\NPJava12.dll
FF -: plugin - C:\Programme\Java\j2re1.4.1_02\bin\NPJava13.dll
FF -: plugin - C:\Programme\Java\j2re1.4.1_02\bin\NPJava32.dll
FF -: plugin - C:\Programme\Java\j2re1.4.1_02\bin\NPJPI141_02.dll
FF -: plugin - C:\Programme\Java\j2re1.4.1_02\bin\NPOJI610.dll
FF -: plugin - C:\Programme\Viewpoint\Viewpoint Media Player\npViewpoint.dll
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-14 20:46:40
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\TXTUSER.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-14 20:58:34 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-14 18:58:29
Vor Suchlauf: 6.294.663.168 Bytes frei
Nach Suchlauf: 6,247,079,936 Bytes frei
185
|
|
15.10.2008, 15:58
| #4 |
| | Mich hat's erwischt... Hi, Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\Programme\patcher.exe <- Achtung versteckt&system!
C:\WINDOWS\system32\Gany1.exe
C:\WINDOWS\system32\Drivers\COH_Mon.sys <- sollte OK sein
C:\DOKUME~1\GANYME~1\LOKALE~1\Temp\PCD65X2.sys <- sollte Ok sein
E:\isre1.exe <- ? USB-Stick/Festplatte?
Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
Files to delete:
C:\414018848
Folders to delete:
C:\Temp\plugtmp-10
C:\Temp\plugtmp-11
C:\Temp\is-UK3DP.tmp
C:\Temp\is-KGR36.tmp
4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Scanne noch mit Prevx und poste ggf. das Log (ausser Cookies): http://www.prevx.com/freescan.asp Deine Java-Plugins sind nun auch nicht die ausgeburt an Aktualität, mal updaten... Chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
16.10.2008, 08:22
| #5 |
| | Mich hat's erwischt... Hi Chris! So - habe ich alles gemacht! C:\Programme\patcher.exe Code:
ATTFilter AhnLab-V3 2008.10.16.0 2008.10.15 -
AntiVir 7.9.0.4 2008.10.15 -
Authentium 5.1.0.4 2008.10.15 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.15 -
BitDefender 7.2 2008.10.15 -
CAT-QuickHeal 9.50 2008.10.14 -
ClamAV 0.93.1 2008.10.15 -
DrWeb 4.44.0.09170 2008.10.15 -
eSafe 7.0.17.0 2008.10.15 Suspicious File
eTrust-Vet 31.6.6149 2008.10.15 -
Ewido 4.0 2008.10.15 -
F-Prot 4.4.4.56 2008.10.14 -
F-Secure 8.0.14332.0 2008.10.15 -
Fortinet 3.113.0.0 2008.10.15 -
GData 19 2008.10.15 -
Ikarus T3.1.1.34.0 2008.10.15 -
K7AntiVirus 7.10.496 2008.10.15 -
Kaspersky 7.0.0.125 2008.10.15 -
McAfee 5405 2008.10.14 -
Microsoft 1.4005 2008.10.15 -
NOD32 3524 2008.10.15 -
Norman 5.80.02 2008.10.15 -
Panda 9.0.0.4 2008.10.15 -
PCTools 4.4.2.0 2008.10.15 -
Prevx1 V2 2008.10.15 -
Rising 20.66.22.00 2008.10.15 -
SecureWeb-Gateway 6.7.6 2008.10.15 -
Sophos 4.34.0 2008.10.15 -
Sunbelt 3.1.1725.1 2008.10.15 -
Symantec 10 2008.10.15 -
TheHacker 6.3.1.0.112 2008.10.15 -
TrendMicro 8.700.0.1004 2008.10.15 -
VBA32 3.12.8.6 2008.10.14 -
ViRobot 2008.10.15.1421 2008.10.15 -
VirusBuster 4.5.11.0 2008.10.15 -
weitere Informationen
File size: 185649 bytes
MD5...: 013e5855e4bfce110c7913aa16238424
SHA1..: 9c9e56c17ee7467da85e18b0ffc3f96dbb1f52c1
SHA256: 7753145cacc1e3fa81de199f4abcc66679a1cbda20b2efcc6ce6d46f7d218209
SHA512: 2fda8978582baf2ad2eb795023e9d11ba31bb7b902cf4ca26ec5e54430f25900
7e20084b1fa9d8cbcfabca33061c47edd739f8c1292caa401a6f3cc1d8d62044
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x463f10
timedatestamp.....: 0x438f1a82 (Thu Dec 01 15:45:06 2005)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x38000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x39000 0x2c000 0x2b200 7.92 ea6883d672a1ffb8d8db7a48ad992850
.rsrc 0x65000 0x2000 0x1e00 4.88 8fdfc6e66bf93aafe936092629a07322
( 12 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> ADVAPI32.dll: RegCloseKey
> COMCTL32.dll: -
> comdlg32.dll: GetOpenFileNameA
> GDI32.dll: BitBlt
> ole32.dll: CoInitialize
> OLEAUT32.dll: -
> SHELL32.dll: DragFinish
> USER32.dll: GetDC
> VERSION.dll: VerQueryValueA
> WINMM.dll: mixerOpen
> WSOCK32.dll: -
( 0 exports )
Den letzten Absatz mußte ich rauskürzen, da der Beitrag nur 25000 Zeichen lang sein darf. Gany1.exe ist ein von mir modifiziertes Kernel gewesen, aber seit SP1 schon deaktiviert. Code:
ATTFilter AhnLab-V3 2008.10.16.0 2008.10.15 -
AntiVir 7.9.0.4 2008.10.15 -
Authentium 5.1.0.4 2008.10.15 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.15 -
BitDefender 7.2 2008.10.15 -
CAT-QuickHeal 9.50 2008.10.14 -
ClamAV 0.93.1 2008.10.15 -
DrWeb 4.44.0.09170 2008.10.15 -
eSafe 7.0.17.0 2008.10.15 -
eTrust-Vet 31.6.6149 2008.10.15 -
Ewido 4.0 2008.10.15 -
F-Prot 4.4.4.56 2008.10.14 -
F-Secure 8.0.14332.0 2008.10.15 -
Fortinet 3.113.0.0 2008.10.15 -
GData 19 2008.10.15 -
Ikarus T3.1.1.34.0 2008.10.15 -
K7AntiVirus 7.10.496 2008.10.15 -
Kaspersky 7.0.0.125 2008.10.15 -
McAfee 5405 2008.10.14 -
Microsoft 1.4005 2008.10.15 -
NOD32 3524 2008.10.15 -
Norman 5.80.02 2008.10.15 -
Panda 9.0.0.4 2008.10.15 -
PCTools 4.4.2.0 2008.10.15 -
Prevx1 V2 2008.10.15 -
Rising 20.66.22.00 2008.10.15 -
SecureWeb-Gateway 6.7.6 2008.10.15 -
Sophos 4.34.0 2008.10.15 -
Sunbelt 3.1.1725.1 2008.10.15 -
Symantec 10 2008.10.15 -
TheHacker 6.3.1.0.112 2008.10.15 -
TrendMicro 8.700.0.1004 2008.10.15 -
VBA32 3.12.8.6 2008.10.14 -
ViRobot 2008.10.15.1421 2008.10.15 -
VirusBuster 4.5.11.0 2008.10.15 -
weitere Informationen
File size: 2017152 bytes
MD5...: e4add5fe565b169ccc38ab5318196095
SHA1..: a41167ab47c7a116591fcd1d5d3c08f1ad807d08
SHA256: f85281189a9a8cbca4784d4b717321f4be5312928a9df5ac2f30be58c17be242
SHA512: bd15b7bc3bd9bc9ca190f1f3adc3cd1dca3a7ebbe0d0fe3c0e9a508e4c30f0c9
da9075b8d997c5e8611cb2ca726c1fab86e1b23d86087c34de2842e5e8715d44
PEiD..: -
TrID..: File type identification
OS/2 Executable (generic) (52.8%)
Win32 Executable Generic (32.0%)
Generic Win/DOS Executable (7.5%)
DOS Executable Generic (7.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x58feac
timedatestamp.....: 0x3c7ac994 (Mon Feb 25 23:32:36 2002)
machinetype.......: 0x14c (I386)
( 21 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x580 0x5ced0 0x5cf00 6.62 515ed515cee96c2e9a75f3f9fe2e8d36
POOLMI 0x5d480 0xfb3 0x1000 6.37 9c266f2110521206b87ec211c2e87f00
MISYSPTE 0x5e480 0x5f6 0x600 6.39 5975120e7bfb53aff1ac36138118646e
POOLCODE 0x5ea80 0x1236 0x1280 6.48 91b510fa41ce05b6a53f39a73170f2ec
.data 0x5fd00 0x128e0 0x12900 0.57 f8c3b8383149d822304f2e654032e1e2
PAGE 0x72600 0xd4146 0xd4180 6.62 752dc49d61c3d395977b34993fdb031a
PAGELK 0x146780 0xd574 0xd580 6.76 f87cd2452c4602b1081b0b82ed8ef4bd
PAGEVRFY 0x153d00 0xdfc2 0xe000 6.73 7151c242243afc43c85520c426673981
PAGEWMI 0x161d00 0x1629 0x1680 6.45 747ab3c58b43c0e0c338285d29a0f1e0
PAGEKD 0x163380 0x3a6d 0x3a80 6.57 cc86a11f39a93d5a093211738bbe800c
PAGESPEC 0x166e00 0xa7e 0xa80 6.47 bb09a2663c5626bbb0a4410ef397357d
PAGEHDLS 0x167880 0x1d1d 0x1d80 6.14 c87391257cf999f32046158596507b3d
.edata 0x169600 0xb173 0xb180 6.03 c63e46da2d7b1bda7350e1ea7ff57b68
PAGEDATA 0x174780 0x1590 0x1600 2.66 6b20070facbaf1a3c884ae89288153df
PAGEKD 0x175d80 0xc021 0xc080 0.00 b4981a9d05aeb49e6aaa0b270f6617fd
PAGECONS 0x181e00 0x18c 0x200 2.23 c5b74e30c198e5aa4c0ff61c36483f28
PAGEVRFC 0x182000 0x341d 0x3480 5.22 56f3b78e28b063e515137db2e0cf9c1b
PAGEVRFD 0x185480 0x648 0x680 2.71 80ee5392012375efd8d7bef1243cc323
INIT 0x185b00 0x27c1a 0x27c80 6.51 b42197d1be34dd170f79acd1c93ba4cb
.rsrc 0x1ad780 0x2fb40 0x2fb80 1.96 9376b2721505c0d9c31b582ad99da4b1
.reloc 0x1dd300 0xf43c 0xf480 6.71 44c9eb6f541a9ed67835a64d8c9eb010
( 3 imports )
> HAL.dll: HalReportResourceUsage, HalAllProcessorsStarted, HalQueryRealTimeClock, HalAllocateAdapterChannel, KeStallExecutionProcessor, HalTranslateBusAddress, KfReleaseSpinLock, KfAcquireSpinLock, HalGetBusDataByOffset, HalSetBusDataByOffset, KeQueryPerformanceCounter, HalReturnToFirmware, READ_PORT_UCHAR, READ_PORT_USHORT, READ_PORT_ULONG, WRITE_PORT_UCHAR, WRITE_PORT_USHORT, WRITE_PORT_ULONG, HalInitializeProcessor, HalCalibratePerformanceCounter, HalSetRealTimeClock, HalHandleNMI, HalBeginSystemInterrupt, HalEndSystemInterrupt, KeRaiseIrqlToSynchLevel, KeAcquireInStackQueuedSpinLockRaiseToSynch, HalInitSystem, HalDisableSystemInterrupt, HalEnableSystemInterrupt, KeRaiseIrql, KeLowerIrql, HalClearSoftwareInterrupt, KeReleaseSpinLock, KeAcquireSpinLock, ExTryToAcquireFastMutex, KeAcquireSpinLockRaiseToSynch, KeFlushWriteBuffer, HalProcessorIdle, HalReadDmaCounter, IoMapTransfer, IoFreeMapRegisters, IoFreeAdapterChannel, IoFlushAdapterBuffers, HalFreeCommonBuffer, HalAllocateCommonBuffer, HalAllocateCrashDumpRegisters, HalGetAdapter, HalSetTimeIncrement, HalGetEnvironmentVariable, HalSetEnvironmentVariable, KfRaiseIrql, HalGetInterruptVector, KeGetCurrentIrql, HalRequestSoftwareInterrupt, KeAcquireInStackQueuedSpinLock, KeReleaseInStackQueuedSpinLock, ExAcquireFastMutex, ExReleaseFastMutex, KeRaiseIrqlToDpcLevel, HalSystemVectorDispatchEntry, KfLowerIrql, HalStartProfileInterrupt, HalSetProfileInterval, HalStopProfileInterrupt
> BOOTVID.dll: VidInitialize, VidDisplayString, VidSetTextColor, VidSolidColorFill, VidBitBlt, VidBufferToScreenBlt, VidScreenToBufferBlt, VidResetDisplay, VidCleanUp, VidSetScrollRegion
> KDCOM.dll: KdD0Transition, KdD3Transition, KdRestore, KdReceivePacket, KdDebuggerInitialize0, KdSave, KdDebuggerInitialize1, KdSendPacket
( 1458 exports )
Code:
ATTFilter AhnLab-V3 2008.10.16.0 2008.10.15 -
AntiVir 7.9.0.4 2008.10.15 -
Authentium 5.1.0.4 2008.10.15 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.15 -
BitDefender 7.2 2008.10.15 -
CAT-QuickHeal 9.50 2008.10.14 -
ClamAV 0.93.1 2008.10.15 -
DrWeb 4.44.0.09170 2008.10.15 -
eSafe 7.0.17.0 2008.10.15 -
eTrust-Vet 31.6.6149 2008.10.15 -
Ewido 4.0 2008.10.15 -
F-Prot 4.4.4.56 2008.10.14 -
F-Secure 8.0.14332.0 2008.10.15 -
Fortinet 3.113.0.0 2008.10.15 -
GData 19 2008.10.15 -
Ikarus T3.1.1.34.0 2008.10.15 -
K7AntiVirus 7.10.496 2008.10.15 -
Kaspersky 7.0.0.125 2008.10.15 -
McAfee 5405 2008.10.14 -
Microsoft 1.4005 2008.10.15 -
NOD32 3524 2008.10.15 -
Norman 5.80.02 2008.10.15 -
Panda 9.0.0.4 2008.10.15 -
PCTools 4.4.2.0 2008.10.15 -
Prevx1 V2 2008.10.15 -
Rising 20.66.22.00 2008.10.15 -
SecureWeb-Gateway 6.7.6 2008.10.15 -
Sophos 4.34.0 2008.10.15 -
Sunbelt 3.1.1725.1 2008.10.15 -
Symantec 10 2008.10.15 -
TheHacker 6.3.1.0.112 2008.10.15 -
TrendMicro 8.700.0.1004 2008.10.15 -
VBA32 3.12.8.6 2008.10.14 -
ViRobot 2008.10.15.1421 2008.10.15 -
VirusBuster 4.5.11.0 2008.10.15 -
weitere Informationen
File size: 23888 bytes
MD5...: 6186b6b953bdc884f0f379b84b3e3a98
SHA1..: 92395ba8e2b937781103ba8ff071f8468f0c41ba
SHA256: 679dc67b74da3615d3ac88fcf8c9b5144b66ee69710b21b005b57198108c2bfc
SHA512: bc1783b8f9c453e4fd47bf13e5c7285a39e212ebf3434a3b0b73449271188946
a660fc682a566bb673d6b70bd5ec285ce5d66029901330fbe356beffa141d7e3
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x16005
timedatestamp.....: 0x4788ff66 (Sat Jan 12 17:56:54 2008)
machinetype.......: 0x14c (I386)
( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x29da 0x2a00 6.48 a6e23457839b82ca72b353db47d8ae7a
.rdata 0x4000 0x818 0xa00 2.76 dc07aa81dd3018f5183372f2f64cf6f2
.data 0x5000 0x44c 0x200 0.87 a5e7516a57500fbb07b473bc3b529afd
INIT 0x6000 0x43c 0x600 4.25 776a4ddde44540bf8c8b52cffe6987f2
.rsrc 0x7000 0x400 0x400 3.34 022294967b14baa72a80073e80651011
.reloc 0x8000 0x380 0x400 4.87 76a77fd12df7d8f9fa634cfa43d2b029
( 2 imports )
> ntoskrnl.exe: MmMapLockedPagesSpecifyCache, IofCompleteRequest, PsGetCurrentProcessId, IoCreateSymbolicLink, IoCreateDevice, PsGetVersion, ZwClose, RtlUnicodeStringToInteger, wcscspn, ZwQueryValueKey, ZwOpenKey, ZwSetValueKey, ZwCreateKey, wcslen, MmIsAddressValid, IoGetCurrentProcess, ObfDereferenceObject, RtlInitUnicodeString, IofCallDriver, KeInitializeEvent, IoBuildDeviceIoControlRequest, ZwLoadDriver, IoGetDeviceObjectPointer, ZwQueryInformationProcess, KeReleaseMutex, KeInitializeMutex, ZwQuerySystemInformation, ExFreePoolWithTag, ExAllocatePoolWithTag, KeQuerySystemTime, RtlUnwind, KeTickCount, KeBugCheckEx, IoDeleteSymbolicLink, KeWaitForSingleObject, IoDeleteDevice
> HAL.dll: ExReleaseFastMutex, ExAcquireFastMutex
( 0 exports )
Wurde bereits gelöscht E:\isre1.exe <- ? USB-Stick/Festplatte? Richtig! Ist ein Stick! Avenger Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "C:\414018848" deleted successfully.
Folder "C:\Temp\plugtmp-10" deleted successfully.
Folder "C:\Temp\plugtmp-11" deleted successfully.
Folder "C:\Temp\is-UK3DP.tmp" deleted successfully.
Folder "C:\Temp\is-KGR36.tmp" deleted successfully.
Registry value "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" replaced with dummy successfully.
Completed script processing.
*******************
Finished! Terminate.
Eine seltsame Software, zeigt mir an, dass Avenger und Gmouse (war mein alter Maustreiber in einem Datensicherungsverzeichnis) infiziert sei und weigert sich gleichzeitig dieses zu beheben, bevor ich nicht ein paar Euros springen lasse. |
|
16.10.2008, 09:09
| #6 |
| | Mich hat's erwischt... Hi, ist OK; Der Scanner von Prrevx ist sehr gut, daher verwende ich ihn gerne. Für die vollständige Lösung wollen sie tatsächlich Geld sehen (wollen auch von was leben), im Unterschied zu manch anderen Fake-Scannern (Antivirus 2008 z. B.) funktioniert er auch tatsächlich ;o). Das Avenger erkannt wurde ist OK, er benutzt schließlich die gleichen Mechanismen ... Bei dem Mousetreiber wird es sich um einen Fehlalarm handeln. So, wenn alles läuft noch einen kleinen Rootkitscann und dann aufräumen... Avira-Antirootkit Downloade Avira Antirootkit und Scanne dein system, poste das logfile. http://dl.antivir.de/down/windows/antivir_rootkit.zip Aufräumen (wenn Avira nichts findet): Backups von Avenger&Co (falls vorhanden) löschen: Falls der Rechner einwandfrei läuft, können die Backups der Bereinigungstools gelöscht werden (soweit vorhanden): C:\Qoobox - loeschen und Papierkorb leeren C:\avenger\backup.zip - loeschen und Papierkorb leeren C:\VundoFix Backups - loeschen und Papierkorb leeren C:\RVAXO-results.log -->Papierkorb leeren chris Ps.: Du modifizierst Kernels?
__________________ --> Mich hat's erwischt... |
|
17.10.2008, 08:43
| #7 |
| | Mich hat's erwischt... Hallo Chris!!! An dieser Stelle meinen allerherzlichsten Dank für Deine Hilfe. Mein Rechner ist wieder vollständig sauber und mein persönliches Wissen zu dieser Materie - vor wenigen Tagen noch annähernd Null - nun deutlich ergänzt. Ich hoffe, dass sich einmal die Gelegengheit zur Revanche ergibt! Lieben Gruß Peter P.S. Mit dem Kernel hatte ich mich mal etwa 2002 experimentativ beschäftigt. Da ich allerdings mittlerweile beruflich andere Wege eingeschlagen habe, bin ich - was die Informatik angeht - seit gut fünf Jahren quasi komatös... |
|
| Themen zu Mich hat's erwischt... |
| administrator, adobe, bho, browser, canon, controlcenter, document, excel, explorer, firefox, gesperrt, hijack, hijackthis, internet, internet explorer, internet security, intrusion prevention, malware, mousepad, mozilla, registry, rundll, security, server, software, spam, symantec, system, temp, windows, windows xp, wrapper |
Linear-Darstellung
