Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.08.2007, 21:06   #1
Lupus
 
Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG - Standard

Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG



Hallo Wissende,

Habe mir wie es scheint einiges eingefangen, was ich jetzt nicht mehr los bekomme.
Die oben genannten Programme werden von meinen Virenprogramme immer wieder gefunden und können nicht gelöscht werden. Habs auch schon mit KillBox versucht, aber ohne erfolg.

Der Infostealer wird von meinem Norton angezeigt, was anscheinend ein häufiges Problem ist, wie ich bereits hier im Forum gelesen hab.
Der Spy.Banker.CSG wird von meinem AntiVir gefunden und kann ebenfalls nicht gelöscht werden. Der Fundort ist dabei bei allen gleich und zwar \Windows\Temp\"Dateiname".tmp

Da ich auf diesem Gebiet nicht wirklich viel Erfahrung habe, bitte ich um Nachsicht, falls ich wichtige Details oder Infos noch nicht gepostet hab, aber werde mein bestes tun.

Habt ihr da eine Idee was zu tun ist?

Danke schon im Voraus!

Gruß
Georg

Alt 18.08.2007, 01:59   #2
myrtille
/// TB-Ausbilder
 
Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG - Standard

Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG



Hi,
erstelle bitte erstmal ein HJT-Log. Die Anleitung befindet sich in der FAQ.

Desweiteren würde ich dir empfehlen Onlinebanking auf jedenfall Ruhen zu lassen, bis wir geklärt haben was auf deinem Rechner und das Konto evtl sperren zu lassen.
Laut avira schreibt der Trojaner auch deine Passwörter anderer Konten, sowie evtl Systeminformationen mit.

Solltest du also einen 2. Rechner zu Hand haben, dann würde ich dir empfehlen, den befallenen Rechner erstmal vom Netz zu nehmen und die Logs über den 2. Rechner zu posten.

lg myrtille
__________________


Alt 18.08.2007, 02:37   #3
Lupus
 
Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG - Standard

Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG



Hallo,

hab alles soweit befolgt und bin jetzt mit meinem alten Comp online. Hier is das HJT-Log. Hoffe ihr könnt was finden ohne dass ich meinen Rechner neu aufsetzen muss.

Logfile of HijackThis v1.99.1
Scan saved at 03:23:37, on 18.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
c:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\CameraFixer.exe
C:\WINDOWS\vsnpstd.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Programme\Roxio\Media Experience\DMXLauncher.exe
C:\Programme\Roxio\Drag-to-Disc\DrgToDsc.exe
C:\Programme\PokerOffice\bin\javaw.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ASUS WiFi-AP Solo\RtWLan.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\PartyGaming\PartyGaming.exe
C:\Programme\MySQL\MySQL Server 4.1\bin\mysqld.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Winamp\winamp.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\FATALI~1\LOKALE~1\Temp\Rar$EX00.360\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - c:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - c:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Microsoft Help - {B3A05538-8F91-49C1-8EE3-6EB142B41E2A} - C:\Programme\Microsoft Help\Microsoft.System.Help.Object.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - c:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - c:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Ai Nap] "C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe"
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\System32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [POEngine] "C:\Programme\PokerOffice\POEngine.exe" C:\Programme\PokerOffice
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [CameraFixer] C:\WINDOWS\CameraFixer.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [DMXLauncher] "C:\Programme\Roxio\Media Experience\DMXLauncher.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Drag-to-Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe"
O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - c:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Programme\Norton Internet Security\comHost.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - c:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Sonic Shared\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Sonic Shared\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - c:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe



Gruß
Georg
__________________

Alt 18.08.2007, 02:45   #4
myrtille
/// TB-Ausbilder
 
Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG - Standard

Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG



Hi,
im Log ist soweit nichts zu sehen. Was positiv sein kann aber nicht muss. Insbesondere da 2 Antivirenscanner die Datei gefunden haben.

Mache daher mal folgendes:
1)eScan(Die find.bat einfach per rechtsklick und "speichern unter" runterladen, in 12. den Teil mit der find.zip ignorieren und gleich bei der find.bat weitermachen.)
2)Blacklight
3)silentrunner-log

Stelle alle Logs hier rein, sollten diese auch alle (!) sauber sein, dürfte es sich um Fehlalarme handeln.

Entscheide dich bitte noch für ein Antivirenprogramm. 2 Programme können zu einem komplett zerstörten System führen.

lg myrtille

Alt 18.08.2007, 03:11   #5
Lupus
 
Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG - Standard

Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG



Ich weiß nicht, wie ich das Protokoll von escan posten soll, da es bei weitem zu groß ist.

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Skype" = ""C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"ICQ" = ""C:\Programme\ICQ6\ICQ.exe" silent" ["ICQ, Inc."]
"DAEMON Tools Pro Agent" = ""C:\Programme\DAEMON Tools Pro\DTProAgent.exe"" ["DT Soft Ltd."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Ai Nap" = ""C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe"" [null data]
"SoundMAX" = ""C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray" ["Analog Devices, Inc."]
"JMB36X IDE Setup" = "C:\WINDOWS\RaidTool\xInsIDE.exe" [null data]
"36X Raid Configurer" = "C:\WINDOWS\System32\xRaidSetup.exe boot" ["JMicron Technology Corp."]
"SoundMAXPnP" = "C:\Programme\Analog Devices\Core\smax4pnp.exe" ["Analog Devices, Inc."]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"POEngine" = ""C:\Programme\PokerOffice\POEngine.exe" C:\Programme\PokerOffice" [null data]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"ccApp" = ""c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]
"Symantec PIF AlertEng" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"" ["Symantec Corporation"]
"CameraFixer" = "C:\WINDOWS\CameraFixer.exe" [empty string]
"snpstd" = "C:\WINDOWS\vsnpstd.exe" [empty string]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"RoxWatchTray" = ""C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"" ["Sonic Solutions"]
"DMXLauncher" = ""C:\Programme\Roxio\Media Experience\DMXLauncher.exe"" [null data]
"RoxioDragToDisc" = ""C:\Programme\Roxio\Drag-to-Disc\DrgToDsc.exe"" ["Roxio"]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{02478D38-C3F9-4EFB-9B51-7695ECA05670}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar Helper"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{22BF413B-C6D2-4d91-82A9-A0F997BA588C}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Skype add-on (mastermind)"
\InProcServer32\(Default) = "C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll" ["Skype Technologies S.A."]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]
{9ECB9560-04F9-4bbc-943D-298DDF1699E1}\(Default) = "Norton Internet Security 2006"
-> {HKLM...CLSID} = "CNisExtBho Class"
\InProcServer32\(Default) = "c:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll" ["Symantec Corporation"]
{A8F38D8D-E480-4D52-B7A2-731BB6995FDD}\(Default) = "NAV Helper"
-> {HKLM...CLSID} = "CNavExtBho Class"
\InProcServer32\(Default) = "c:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]
{B3A05538-8F91-49C1-8EE3-6EB142B41E2A}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Microsoft Help"
\InProcServer32\(Default) = "C:\Programme\Microsoft Help\Microsoft.System.Help.Object.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{EFA24E62-B078-11d0-89E4-00C04FC9E26E}" = "History Band"
-> {HKLM...CLSID} = "History Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{0FB82570-BB2D-23D3-8D3B-AC2F34F1FA3C}" = "RXDCExtShlExt extension"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Roxio\Virtual Drive 9\DC_ShellExt.dll" ["Sonic Solutions"]
"{5E44E225-A408-11CF-B581-008029601108}" = "Roxio DragToDisc Shell Extension"
-> {HKLM...CLSID} = "Roxio DragToDisc Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Roxio\Drag-to-Disc\Shellex.dll" ["Roxio"]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
DaemonShellExtImage\(Default) = "{40966797-8FFE-46C8-9EF8-7003F33CCF0F}"
-> {HKLM...CLSID} = "DaemonShellExtImage Class"
\InProcServer32\(Default) = "C:\Programme\DAEMON Tools Pro\imgshl32.dll" ["DT Soft Ltd."]
RXDCExtSvr\(Default) = "{0FB82570-BB2D-23D3-8D3B-AC2F34F1FA3C}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Roxio\Virtual Drive 9\DC_ShellExt.dll" ["Sonic Solutions"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "c:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
RXDCExtSvr\(Default) = "{0FB82570-BB2D-23D3-8D3B-AC2F34F1FA3C}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Roxio\Virtual Drive 9\DC_ShellExt.dll" ["Sonic Solutions"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "c:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Fataliton\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\UC3D.scr" [file not found]


Startup items in "Fataliton" & "All Users" startup folders:
-----------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"ASUS WiFi-AP Solo" -> shortcut to: "C:\Programme\ASUS WiFi-AP Solo\RtWLan.exe /H" ["ASUSTek Computer Inc."]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Enabled Scheduled Tasks:
------------------------

"At1" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found]
"At10" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found]
"At11" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found]
"At12" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found]
"At13" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found]
"At14" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found]
"At15" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found]
"At16" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found]
"At17" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found]
"At18" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found]
"At19" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found]
"At2" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found]
"At20" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found]
"At21" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found]
"At22" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found]
"At23" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found]
"At24" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found]
"At3" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found]
"At4" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found]
"At5" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found]
"At6" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found]
"At7" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found]
"At8" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found]
"At9" -> launches: "C:\WINDOWS\system32\jBo72onk.exe" [file not found]
"Norton AntiVirus - Run Full System Scan - Fataliton" -> launches: "c:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exe /TASK:"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Tasks\mycomp.sca"" ["Symantec Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]
"{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}"
-> {HKLM...CLSID} = "Norton Internet Security 2006"
\InProcServer32\(Default) = "c:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll" ["Symantec Corporation"]
"{C4069E3A-68F1-403E-B40E-20066696354B}"
-> {HKLM...CLSID} = "Norton AntiVirus"
\InProcServer32\(Default) = "c:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]
"{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}" = "Norton Internet Security 2006"
-> {HKLM...CLSID} = "Norton Internet Security 2006"
\InProcServer32\(Default) = "c:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll" ["Symantec Corporation"]
"{C4069E3A-68F1-403E-B40E-20066696354B}" = "Norton AntiVirus"
-> {HKLM...CLSID} = "Norton AntiVirus"
\InProcServer32\(Default) = "c:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar mit Pop-Up-Blocker"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBC}"
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_02"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll" ["Sun Microsystems, Inc."]

{77BF5300-1474-4EC7-9980-D32B190E9B07}\
"ButtonText" = "Skype"
"CLSIDExtension" = "{77BF5300-1474-4EC7-9980-D32B190E9B07}"
-> {HKLM...CLSID} = "Skype add-on (button)"
\InProcServer32\(Default) = "C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll" ["Skype Technologies S.A."]

{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}\
"ButtonText" = "PartyPoker.com"
"MenuText" = "PartyPoker.com"
"Exec" = "C:\Programme\PartyGaming\PartyPoker\RunApp.exe" [empty string]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar mit Pop-Up-Blocker"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
Automatic LiveUpdate Scheduler, Automatic LiveUpdate Scheduler, ""C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe"" ["Symantec Corporation"]
LiveUpdate Notice Service, LiveUpdate Notice Service, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll"" ["Symantec Corporation"]
Norton AntiVirus Auto-Protect Service, navapsvc, ""c:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe"" ["Symantec Corporation"]
Norton Protection Center Service, NSCService, ""c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE"" ["Symantec Corporation"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
Roxio Hard Drive Watcher 9, RoxWatch9, ""C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe"" ["Sonic Solutions"]
RoxMediaDB9, RoxMediaDB9, ""C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe"" ["Sonic Solutions"]
Symantec Core LC, Symantec Core LC, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe"" ["Symantec Corporation"]
Symantec Event Manager, ccEvtMgr, ""c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"" ["Symantec Corporation"]
Symantec Network Drivers Service, SNDSrvc, ""c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe"" ["Symantec Corporation"]
Symantec Network Proxy, ccProxy, ""c:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe"" ["Symantec Corporation"]
Symantec Settings Manager, ccSetMgr, ""c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"" ["Symantec Corporation"]
Symantec SPBBCSvc, SPBBCSvc, ""c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe"" ["Symantec Corporation"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


---------- (launch time: 2007-08-18 03:52:30)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 28 seconds, including 5 seconds for message boxes)
--------------------------------------------------------------------------

Blacklight hat nix gefunden.

Oh Mann! Gut, dass sich einige damit auskennen!

Beste Grüße
Georg

PS: Wie gesagt, sollten weitere Infos nötig sein bitte sagen. Ich tu was ich kann, hab aber mit Viren und deren Analyse etc. keine Erfahrung.


Alt 18.08.2007, 14:05   #6
myrtille
/// TB-Ausbilder
 
Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG - Standard

Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG



Hi, hast du denn die find.bat entsprechend der Anleitung benutzt um das Log zusammenzustutzen?

lg myrtillle

Alt 18.08.2007, 18:04   #7
Lupus
 
Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG - Standard

Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG



Hey,

hab Escan jetzt nochmal im abgesicherten Modus durchgeführt und auch sonst alles dazu gelesen was ich finden konnte. Leider weiß ich nicht, wie ich diese find.bat anwenden soll, da es ja nur eine Textdatei ist (zumindest dieser Link: http://files.trojaner-board.de/find.bat). Könntest du mir das bitte nochmal etwas erklären?

Gruß
Georg

Alt 18.08.2007, 18:13   #8
nochdigger
 
Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG - Standard

Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG



Hallo

speichere dir die Datei mit rechtsklick "Ziel speichern unter" auf deinen Rechner und führe sie dann nach Anleitung aus.

MFG

Alt 18.08.2007, 19:24   #9
Lupus
 
Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG - Standard

Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.3.7
Sprache: German
C:\DOKUME~1\FATALI~1\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.

Alt 18.08.2007, 19:26   #10
Lupus
 
Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG - Standard

Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG



System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\Programme\save\saveuninst.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: Keine Aktion vorgenommen.
System found infected with w32.rontokbro.d@mm Worm (C:\WINDOWS\tasks\at1.job)! Action taken: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\Programme\save\saveuninst.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: Keine Aktion vorgenommen.
System found infected with w32.rontokbro.d@mm Worm (C:\WINDOWS\tasks\at1.job)! Action taken: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\Programme\save\save.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\Programme\save\saveuninst.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\Programme\save\saveuninst.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: Keine Aktion vorgenommen.
System found infected with w32.rontokbro.d@mm Worm (C:\WINDOWS\tasks\at1.job)! Action taken: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\Programme\save\saveuninst.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: Keine Aktion vorgenommen.
System found infected with w32.rontokbro.d@mm Worm (C:\WINDOWS\tasks\at1.job)! Action taken: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\Programme\save\save.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\Programme\save\saveuninst.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\Programme\save\saveuninst.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: Keine Aktion vorgenommen.
System found infected with w32.rontokbro.d@mm Worm (C:\WINDOWS\tasks\at1.job)! Action taken: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\Programme\save\saveuninst.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: Keine Aktion vorgenommen.
System found infected with w32.rontokbro.d@mm Worm (C:\WINDOWS\tasks\at1.job)! Action taken: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\Programme\save\save.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\Programme\save\saveuninst.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\Programme\save\saveuninst.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: Keine Aktion vorgenommen.
System found infected with w32.rontokbro.d@mm Worm (C:\WINDOWS\tasks\at1.job)! Action taken: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\Programme\save\saveuninst.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: Keine Aktion vorgenommen.
System found infected with w32.rontokbro.d@mm Worm (C:\WINDOWS\tasks\at1.job)! Action taken: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\Programme\save\save.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\Programme\save\saveuninst.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: Keine Aktion vorgenommen.

Alt 18.08.2007, 19:27   #11
Lupus
 
Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG - Standard

Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG



~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Programme\Save\Save.exe markiert als "not-a-virus:AdTool.Win32.WhenU.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\Save\Save.exe markiert als "not-a-virus:AdTool.Win32.WhenU.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\32AA27C7.dll//CryptFF//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.BHO.cz". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Fataliton\.housecall6.6\Quarantine\ACM.dll.bac_a05036//CryptFF.b markiert als "not-a-virus:AdTool.Win32.WhenU.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\Save\Save.exe markiert als "not-a-virus:AdTool.Win32.WhenU.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\Save\Save.exe markiert als "not-a-virus:AdTool.Win32.WhenU.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\32AA27C7.dll//CryptFF//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.BHO.cz". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Fataliton\.housecall6.6\Quarantine\ACM.dll.bac_a05036//CryptFF.b markiert als "not-a-virus:AdTool.Win32.WhenU.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\Save\Save.exe markiert als "not-a-virus:AdTool.Win32.WhenU.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\Save\Save.exe markiert als "not-a-virus:AdTool.Win32.WhenU.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\32AA27C7.dll//CryptFF//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.BHO.cz". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Fataliton\.housecall6.6\Quarantine\ACM.dll.bac_a05036//CryptFF.b markiert als "not-a-virus:AdTool.Win32.WhenU.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\Save\Save.exe markiert als "not-a-virus:AdTool.Win32.WhenU.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\Save\Save.exe markiert als "not-a-virus:AdTool.Win32.WhenU.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\32AA27C7.dll//CryptFF//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.BHO.cz". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Fataliton\.housecall6.6\Quarantine\ACM.dll.bac_a05036//CryptFF.b markiert als "not-a-virus:AdTool.Win32.WhenU.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\miktex 2.6\miktex on the web\support.url
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\miktex 2.6\miktex on the web\support.url
Offending file found: C:\WINDOWS\system32\gdiplus.dll
Offending file found: C:\WINDOWS\system32\unrar.dll
Offending file found: C:\Programme\save\saveuninst.exe
Offending file found: C:\WINDOWS\tasks\at1.job
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\miktex 2.6\miktex on the web\support.url
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\miktex 2.6\miktex on the web\support.url
Offending file found: C:\WINDOWS\system32\gdiplus.dll
Offending file found: C:\WINDOWS\system32\unrar.dll
Offending file found: C:\Programme\save\saveuninst.exe
Offending file found: C:\WINDOWS\tasks\at1.job
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\miktex 2.6\miktex on the web\support.url
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\miktex 2.6\miktex on the web\support.url
Offending file found: C:\WINDOWS\system32\gdiplus.dll
Offending file found: C:\WINDOWS\system32\unrar.dll
Offending file found: C:\Programme\save\save.exe
Offending file found: C:\Programme\save\saveuninst.exe
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\miktex 2.6\miktex on the web\support.url
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\miktex 2.6\miktex on the web\support.url
Offending file found: C:\WINDOWS\system32\gdiplus.dll
Offending file found: C:\WINDOWS\system32\unrar.dll
Offending file found: C:\Programme\save\saveuninst.exe
Offending file found: C:\WINDOWS\tasks\at1.job
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\miktex 2.6\miktex on the web\support.url
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\miktex 2.6\miktex on the web\support.url
Offending file found: C:\WINDOWS\system32\gdiplus.dll
Offending file found: C:\WINDOWS\system32\unrar.dll
Offending file found: C:\Programme\save\saveuninst.exe
Offending file found: C:\WINDOWS\tasks\at1.job
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\miktex 2.6\miktex on the web\support.url
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\miktex 2.6\miktex on the web\support.url
Offending file found: C:\WINDOWS\system32\gdiplus.dll
Offending file found: C:\WINDOWS\system32\unrar.dll
Offending file found: C:\Programme\save\save.exe
Offending file found: C:\Programme\save\saveuninst.exe
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\miktex 2.6\miktex on the web\support.url
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\miktex 2.6\miktex on the web\support.url
Offending file found: C:\WINDOWS\system32\gdiplus.dll
Offending file found: C:\WINDOWS\system32\unrar.dll
Offending file found: C:\Programme\save\saveuninst.exe
Offending file found: C:\WINDOWS\tasks\at1.job
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\miktex 2.6\miktex on the web\support.url
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\miktex 2.6\miktex on the web\support.url
Offending file found: C:\WINDOWS\system32\gdiplus.dll
Offending file found: C:\WINDOWS\system32\unrar.dll
Offending file found: C:\Programme\save\saveuninst.exe
Offending file found: C:\WINDOWS\tasks\at1.job
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\miktex 2.6\miktex on the web\support.url
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\miktex 2.6\miktex on the web\support.url
Offending file found: C:\WINDOWS\system32\gdiplus.dll
Offending file found: C:\WINDOWS\system32\unrar.dll
Offending file found: C:\Programme\save\save.exe
Offending file found: C:\Programme\save\saveuninst.exe
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\miktex 2.6\miktex on the web\support.url
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\miktex 2.6\miktex on the web\support.url
Offending file found: C:\WINDOWS\system32\gdiplus.dll
Offending file found: C:\WINDOWS\system32\unrar.dll
Offending file found: C:\Programme\save\saveuninst.exe
Offending file found: C:\WINDOWS\tasks\at1.job
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\miktex 2.6\miktex on the web\support.url
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\miktex 2.6\miktex on the web\support.url
Offending file found: C:\WINDOWS\system32\gdiplus.dll
Offending file found: C:\WINDOWS\system32\unrar.dll
Offending file found: C:\Programme\save\saveuninst.exe
Offending file found: C:\WINDOWS\tasks\at1.job
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\miktex 2.6\miktex on the web\support.url
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\miktex 2.6\miktex on the web\support.url
Offending file found: C:\WINDOWS\system32\gdiplus.dll
Offending file found: C:\WINDOWS\system32\unrar.dll
Offending file found: C:\Programme\save\save.exe
Offending file found: C:\Programme\save\saveuninst.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\programme\whenu
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\Programme\whenu
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\programme\whenu
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\Programme\whenu
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\programme\whenu
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\Programme\whenu
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\programme\whenu
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\Programme\whenu
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\programme\whenu
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\Programme\whenu
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\programme\whenu
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\Programme\whenu
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\programme\whenu
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\Programme\whenu
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\programme\whenu
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\Programme\whenu
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\programme\whenu
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\Programme\whenu
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\programme\whenu
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\Programme\whenu
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\programme\whenu
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\Programme\whenu
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\programme\whenu
Offending Folder found: C:\Dokumente und Einstellungen\Fataliton\Startmenü\Programme\whenu
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{742c5eb6-420e-11dc-8838-0015af0f108a} !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{742c5eb6-420e-11dc-8838-0015af0f108a} !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\whenusavemsg !!!
Offending Key found: HKLM\Software\whenusave !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\whenu !!!
Offending Key found: HKCU\\wusn.1 !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{742c5eb6-420e-11dc-8838-0015af0f108a} !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{742c5eb6-420e-11dc-8838-0015af0f108a} !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{742c5eb6-420e-11dc-8838-0015af0f108a} !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\whenusavemsg !!!
Offending Key found: HKLM\Software\whenusave !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\whenu !!!
Offending Key found: HKCU\\wusn.1 !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{742c5eb6-420e-11dc-8838-0015af0f108a} !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{742c5eb6-420e-11dc-8838-0015af0f108a} !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{742c5eb6-420e-11dc-8838-0015af0f108a} !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\whenusavemsg !!!
Offending Key found: HKLM\Software\whenusave !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\whenu !!!
Offending Key found: HKCU\\wusn.1 !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{742c5eb6-420e-11dc-8838-0015af0f108a} !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{742c5eb6-420e-11dc-8838-0015af0f108a} !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{742c5eb6-420e-11dc-8838-0015af0f108a} !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\whenusavemsg !!!
Offending Key found: HKLM\Software\whenusave !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\whenu !!!
Offending Key found: HKCU\\wusn.1 !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{742c5eb6-420e-11dc-8838-0015af0f108a} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\DOKUME~1\FATALI~1\LOKALE~1\Temp\BF2DVD\BF2 DVD_MINI.MDF nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Fataliton\Lokale Einstellungen\Temp\BF2DVD\BF2 DVD_MINI.MDF nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\FATALI~1\LOKALE~1\Temp\BF2DVD\BF2 DVD_MINI.MDF nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Fataliton\Lokale Einstellungen\Temp\BF2DVD\BF2 DVD_MINI.MDF nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\FATALI~1\LOKALE~1\Temp\BF2DVD\BF2 DVD_MINI.MDF nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Fataliton\Lokale Einstellungen\Temp\BF2DVD\BF2 DVD_MINI.MDF nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\FATALI~1\LOKALE~1\Temp\BF2DVD\BF2 DVD_MINI.MDF nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Fataliton\Lokale Einstellungen\Temp\BF2DVD\BF2 DVD_MINI.MDF nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 31151
Gescannte Dateien: 31157
Gescannte Dateien: 41758
Gescannte Dateien: 31151
Gescannte Dateien: 31157
Gescannte Dateien: 41758
Gescannte Dateien: 31151
Gescannte Dateien: 31157
Gescannte Dateien: 41758
Gescannte Dateien: 31151
Gescannte Dateien: 31157
Gescannte Dateien: 41758
Gefundene Viren: 17
Gefundene Viren: 17
Gefundene Viren: 24
Gefundene Viren: 17
Gefundene Viren: 17
Gefundene Viren: 24
Gefundene Viren: 17
Gefundene Viren: 17
Gefundene Viren: 24
Gefundene Viren: 17
Gefundene Viren: 17
Gefundene Viren: 24
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0


Batchstart: 20:19:21,00
Batchende: 20:19:23,07

Alt 18.08.2007, 19:29   #12
Lupus
 
Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG - Standard

Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG



So hats mit der .bat Datei geklappt, aber die .txt Datei war immer noch zu groß zum posten, also hab ich sie in drei Teile gegliedert und gepostet, hoffe das war richtig so.

Gruß
Georg

Alt 18.08.2007, 22:21   #13
myrtille
/// TB-Ausbilder
 
Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG - Standard

Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG



Hi,
in deinem Log sind einige seltsame Dateien:
Zitat:
C:\Programme\Save\Save.exe
C:\Programme\save\saveuninst.exe
C:\WINDOWS\tasks\at1.job
C:\WINDOWS\system32\jBo72onk.exe
Lass die Dateien bitte mal bei virustotal auswerten und poste die Ergebnisse hier.

Woher stammt dieser Ordner: C:\Dokumente und Einstellungen\Fataliton\.housecall6.6, kennst du housecall6.6?
Wozu gehört der folgende Ordner: C:\Dokumente und Einstellungen\Fataliton\Startmenü\programme\whenu? Zum Programm Save? WhenUSave zufällig?

Du hast eine Menge seltsamer Dateien an Board und mich wundert ehrlich gesagt, dass Blacklight nichts gefunden hat.
Hänge daher bitte noch ein Log von combofix.

Meine Gefühl würde sagen, dass der Trojaner tatsächlich auf deinem System ist. Dann würde ich dir empfehlen, den Rechner neuaufzusetzen und alle Passwörter zu ersetzen. Da es sehr unwahrscheinlich ist alle dazugehörigen Dateien zu finden.
Sollten sich die Dateien als "harmlos", sprich zu anderer Malware gehörig, herausstellen und Combofix auch keine weiteren Anhaltspunkte geben, stehen die Chancen jedoch ganz gut, dass es sich doch um Fehlalarme deiner AVP handelt.
(Ist die Meldung eigentlich nochmal aufgetaucht? Sollte erneut eine Datei bemängelt werden, dann lade diese bitte ebenfalls bei virustotal hoch und poste das Ergebnis hier)

lg myrtille

Alt 18.08.2007, 23:23   #14
Lupus
 
Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG - Standard

Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG



Die andern zwei Dateien find ich nicht, zumindest nicht am angegebenen Pfad.
Noch eine Frage, wie schützt ihr denn eure Rechner vor unerwünschten eindringlingen?


save.exe
Datei Save.exe empfangen 2007.08.19 00:07:40 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 18/32 (56.25%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 4.
Geschätzte Startzeit is zwischen 58 und 83 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.18.0 2007.08.18 -
AntiVir 7.4.1.62 2007.08.18 -
Authentium 4.93.8 2007.08.17 -
Avast 4.7.1029.0 2007.08.17 Win32:Adware-gen.
AVG 7.5.0.484 2007.08.18 -
BitDefender 7.2 2007.08.18 Adware.Whenu.I
CAT-QuickHeal 9.00 2007.08.18 AdTool.WhenU.i (Not a Virus)
ClamAV 0.91 2007.08.18 Adware.WhenU-5
DrWeb 4.33 2007.08.18 -
eSafe 7.0.15.0 2007.08.16 -
eTrust-Vet 31.1.5069 2007.08.18 -
Ewido 4.0 2007.08.18 -
FileAdvisor 1 2007.08.19 Low threat detected
Fortinet 2.91.0.0 2007.08.18 Adware/SaveNow
F-Prot 4.3.2.48 2007.08.17 -
F-Secure 6.70.13030.0 2007.08.17 -
Ikarus T3.1.1.12 2007.08.18 not-a-virus:AdTool.Win32.WhenU.i
Kaspersky 4.0.2.24 2007.08.18 -
McAfee 5100 2007.08.17 potentially unwanted program Adware-SaveNow
Microsoft 1.2803 2007.08.19 Adware:Win32/WhenU.SaveNow
NOD32v2 2469 2007.08.18 probably a variant of Win32/Adware.WhenU.SaveNow
Norman 5.80.02 2007.08.17 W32/SaveNow.WW
Panda 9.0.0.4 2007.08.18 Adware/SaveNow
Prevx1 V2 2007.08.19 Generic.Malware
Rising 19.36.52.00 2007.08.18 -
Sophos 4.20.0 2007.08.12 WhenU
Sunbelt 2.2.907.0 2007.08.18 WhenU.Save
Symantec 10 2007.08.18 Adware.Savenow
TheHacker 6.1.8.170 2007.08.17 -
VBA32 3.12.2.2 2007.08.17 Adware.Win32.WhenU.i
VirusBuster 4.3.26:9 2007.08.18 -
Webwasher-Gateway 6.0.1 2007.08.18 Riskware.AdTool.WhenU.I
weitere Informationen
File size: 803184 bytes
MD5: 47754bf98fd5a4bc05c3b08221d6426a
SHA1: c533f42fca267458c489077b8ddc12f1a64526fd
Bit9 info: Bit9 FileAdvisor - Search Results
Prevx info: SAVE.EXE Spyware Remove
Sunbelt info: WhenU.SaveNow is an adware application that displays pop-up advertising on the desktop in response to users' web browsing.

SaveUninst.exe
Datei SaveUninst.exe empfangen 2007.08.19 00:16:05 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 14/32 (43.75%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit is zwischen 52 und 75 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.18.0 2007.08.18 -
AntiVir 7.4.1.62 2007.08.18 ADSPY/SaveNow.CI
Authentium 4.93.8 2007.08.17 -
Avast 4.7.1029.0 2007.08.17 -
AVG 7.5.0.484 2007.08.18 Adware Generic.VHW
BitDefender 7.2 2007.08.18 Adware.Savenow.CF
CAT-QuickHeal 9.00 2007.08.18 -
ClamAV 0.91 2007.08.19 Adware.WhenU-3
DrWeb 4.33 2007.08.18 -
eSafe 7.0.15.0 2007.08.16 -
eTrust-Vet 31.1.5069 2007.08.18 -
Ewido 4.0 2007.08.18 -
FileAdvisor 1 2007.08.19 Low threat detected
Fortinet 2.91.0.0 2007.08.18 Adware/SaveNow
F-Prot 4.3.2.48 2007.08.17 -
F-Secure 6.70.13030.0 2007.08.17 -
Ikarus T3.1.1.12 2007.08.18 -
Kaspersky 4.0.2.24 2007.08.18 -
McAfee 5100 2007.08.17 potentially unwanted program Adware-SaveNow
Microsoft 1.2803 2007.08.19 Adware:Win32/WhenU.SaveNow
NOD32v2 2469 2007.08.18 -
Norman 5.80.02 2007.08.17 -
Panda 9.0.0.4 2007.08.18 Adware/SaveNow
Prevx1 V2 2007.08.19 Generic.Malware
Rising 19.36.52.00 2007.08.18 -
Sophos 4.20.0 2007.08.12 WhenU
Sunbelt 2.2.907.0 2007.08.18 WhenU.Save
Symantec 10 2007.08.18 Adware.Savenow
TheHacker 6.1.8.170 2007.08.17 -
VBA32 3.12.2.2 2007.08.17 -
VirusBuster 4.3.26:9 2007.08.18 -
Webwasher-Gateway 6.0.1 2007.08.18 Ad-Spyware.SaveNow.CI

Alt 18.08.2007, 23:36   #15
Lupus
 
Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG - Standard

Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG



Und hier noch ComboFix, wobei ich vielleicht erwähnen sollte, dass eine Windows-Fehlermeldung gekommen ist, die ungefähr so lautete: "Save.exe hat den abbruch des laufenden Programms Combofix verursacht...." (sinngemäß)

ComboFix 07-08-14.4 - "Fataliton" 2007-08-19 0:29:16.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1668 [GMT 2:00]
* Created a new restore point


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\regedit.com
C:\WINDOWS\system32\cookie.dat
C:\WINDOWS\system32\taskmgr.com


((((((((((((((((((((((((( Files Created from 2007-07-18 to 2007-08-18 )))))))))))))))))))))))))))))))


2007-08-19 00:27 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-18 20:16 22,066 --a------ C:\find.bat
2007-08-18 20:16 <DIR> d-------- C:\bases_x
2007-08-18 16:18 18,471,472 --a------ C:\mwav.exe
2007-08-18 15:26 <DIR> d-------- C:\Programme\Power Tab Software
2007-08-18 14:12 <DIR> d-------- C:\Programme\Save
2007-08-18 13:43 <DIR> d-------- C:\WINDOWS\CSC
2007-08-18 12:37 <DIR> d-------- C:\Programme\Windows Live Safety Center
2007-08-18 12:35 <DIR> d-------- C:\Programme\Panda Security
2007-08-18 12:34 <DIR> d-------- C:\WINDOWS\system32\Panda Software
2007-08-18 12:31 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Yahoo! Companion
2007-08-18 03:56 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-08-18 03:56 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-08-18 03:56 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-08-18 03:56 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-08-18 03:56 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-08-18 03:56 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-08-18 03:54 153,600 --a------ C:\WINDOWS\R.COM
2007-08-18 03:54 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-08-18 00:54 <DIR> d-------- C:\DOKUME~1\FATALI~1\.housecall6.6
2007-08-17 21:41 <DIR> d-------- C:\!KillBox
2007-08-17 20:56 <DIR> d-------- C:\Programme\EA GAMES
2007-08-17 20:45 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\DAEMON Tools Pro
2007-08-17 20:44 <DIR> d-------- C:\Programme\DAEMON Tools Pro
2007-08-17 20:44 <DIR> d-------- C:\DOKUME~1\FATALI~1\ANWEND~1\DAEMON Tools Pro
2007-08-17 20:42 685,816 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2007-08-16 22:07 <DIR> d-------- C:\Programme\Intel Corporation
2007-08-16 13:04 <DIR> d-------- C:\Programme\Yahoo!
2007-08-16 13:04 <DIR> d-------- C:\Programme\CCleaner
2007-08-14 22:09 <DIR> d-------- C:\WINDOWS\system32\appmgmt
2007-08-14 22:06 <DIR> d-------- C:\DOKUME~1\LOCALS~1\ANWEND~1\Roxio
2007-08-14 22:06 <DIR> d-------- C:\DOKUME~1\FATALI~1\ANWEND~1\Roxio
2007-08-14 22:03 92,920 --a------ C:\WINDOWS\DLA.EXE
2007-08-14 22:03 56,056 --a------ C:\WINDOWS\system32\DLAAPI_W.DLL
2007-08-14 22:03 51,768 --a------ C:\WINDOWS\system32\drivers\DRVNDDM.SYS
2007-08-14 22:03 28,120 --a------ C:\WINDOWS\system32\drivers\DLARTL_M.SYS
2007-08-14 22:03 12,856 --a------ C:\WINDOWS\system32\drivers\DLACDBHM.SYS
2007-08-14 22:03 <DIR> d-------- C:\WINDOWS\system32\DLA
2007-08-14 22:03 <DIR> d-------- C:\Programme\Sonic
2007-08-14 22:02 <DIR> d-------- C:\Programme\InterActual
2007-08-14 22:02 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\InstallShield
2007-08-14 22:01 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SureThing Shared
2007-08-14 22:01 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Sonic
2007-08-14 21:59 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Roxio
2007-08-14 21:58 <DIR> d-------- C:\Programme\Roxio
2007-08-14 21:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Sonic Shared
2007-08-14 21:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Roxio Shared
2007-08-14 21:57 <DIR> d-------- C:\Programme\DivX
2007-08-14 21:56 <DIR> d-------- C:\WINDOWS\system32\URTTemp
2007-08-14 21:43 <DIR> d-------- C:\DOKUME~1\FATALI~1\ANWEND~1\Ahead
2007-08-14 21:43 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ahead
2007-08-14 21:42 <DIR> d-------- C:\WINDOWS\RegisteredPackages
2007-08-14 16:58 <DIR> d-------- C:\WINDOWS\NV28001428.TMP
2007-08-14 16:57 <DIR> d-------- C:\NVIDIA
2007-08-12 12:34 68,888 --a------ C:\WINDOWS\system32\xinput1_3.dll
2007-08-12 12:34 251,672 --a------ C:\WINDOWS\system32\xactengine2_5.dll
2007-08-12 12:34 237,848 --a------ C:\WINDOWS\system32\xactengine2_4.dll
2007-08-12 12:34 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll
2007-08-12 12:34 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll
2007-08-12 12:26 <DIR> d-------- C:\Programme\THQ
2007-08-10 22:19 <DIR> d-------- C:\DOKUME~1\FATALI~1\ANWEND~1\WinRAR
2007-08-10 13:21 271,360 --a------ C:\WINDOWS\system32\drivers\atksgt.sys
2007-08-10 13:21 18,048 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys
2007-08-10 13:17 <DIR> d-------- C:\Programme\Gothic III
2007-08-10 13:16 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll
2007-08-10 13:16 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll
2007-08-09 14:30 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2007-08-09 14:30 <DIR> d-------- C:\Programme\TeXnicCenter
2007-08-08 21:51 85,376 --a--c--- C:\WINDOWS\system32\dllcache\nabtsfec.sys
2007-08-08 21:51 85,376 --a------ C:\WINDOWS\system32\drivers\NABTSFEC.sys
2007-08-08 21:51 54,272 --a--c--- C:\WINDOWS\system32\dllcache\vfwwdm32.dll
2007-08-08 21:51 54,272 --a------ C:\WINDOWS\system32\vfwwdm32.dll
2007-08-08 21:51 5,504 --a--c--- C:\WINDOWS\system32\dllcache\mstee.sys
2007-08-08 21:51 5,504 --a------ C:\WINDOWS\system32\drivers\MSTEE.sys
2007-08-08 21:51 19,328 --a--c--- C:\WINDOWS\system32\dllcache\wstcodec.sys
2007-08-08 21:51 19,328 --a------ C:\WINDOWS\system32\drivers\WSTCODEC.SYS
2007-08-08 21:51 17,024 --a--c--- C:\WINDOWS\system32\dllcache\ccdecode.sys
2007-08-08 21:51 17,024 --a------ C:\WINDOWS\system32\drivers\CCDECODE.sys
2007-08-08 21:51 15,360 --a--c--- C:\WINDOWS\system32\dllcache\streamip.sys
2007-08-08 21:51 15,360 --a------ C:\WINDOWS\system32\drivers\StreamIP.sys
2007-08-08 21:51 11,136 --a--c--- C:\WINDOWS\system32\dllcache\slip.sys
2007-08-08 21:51 11,136 --a------ C:\WINDOWS\system32\drivers\SLIP.sys
2007-08-08 21:51 10,880 --a--c--- C:\WINDOWS\system32\dllcache\ndisip.sys
2007-08-08 21:51 10,880 --a------ C:\WINDOWS\system32\drivers\NdisIP.sys
2007-08-08 21:49 61,440 --a------ C:\WINDOWS\system32\rsnpstd.dll
2007-08-08 21:49 61,440 --a------ C:\WINDOWS\system32\csnpstd.dll
2007-08-08 21:49 53,248 --a------ C:\WINDOWS\amcap.exe
2007-08-08 21:49 390,656 --a------ C:\WINDOWS\system32\drivers\snpstd.sys
2007-08-08 21:49 36,864 --a------ C:\WINDOWS\system32\vsnpstd.dll
2007-08-08 21:49 339,968 --a------ C:\WINDOWS\vsnpstd.exe
2007-08-08 21:49 20,480 --a------ C:\WINDOWS\usnpstd.exe
2007-08-08 21:49 20,480 --a------ C:\WINDOWS\CameraFixer.exe
2007-08-08 21:49 <DIR> d-------- C:\Programme\Gemeinsame Dateien\snpstd
2007-08-08 07:30 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2007-08-08 00:19 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-08-07 17:19 <DIR> d-------- C:\Programme\SpywareBlaster
2007-08-07 17:05 786,432 --ah----- C:\DOKUME~1\ADMINI~1\NTUSER.DAT
2007-08-07 17:05 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten
2007-08-07 17:05 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen
2007-08-07 17:05 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-07 09:23 8972 --a------ C:\WINDOWS\pchealth\HelpCtr\Config\Cntstore.bin
2007-08-07 09:23 2724 --a------ C:\WINDOWS\pchealth\HelpCtr\PackageStore\SkuStore.bin
2007-07-19 08:56 3583488 --a--c--- C:\WINDOWS\system32\dllcache\mshtml.dll
2007-06-29 00:43 8466432 --a------ C:\WINDOWS\system32\nvcpl.dll
2007-06-29 00:43 81920 --a------ C:\WINDOWS\system32\nvwddi.dll
2007-06-29 00:43 81920 --a------ C:\WINDOWS\system32\nvmctray.dll
2007-06-29 00:43 753664 --a------ C:\WINDOWS\system32\nvcplui.exe
2007-06-29 00:43 6807328 --a--c--- C:\WINDOWS\system32\dllcache\nv4_mini.sys
2007-06-29 00:43 6807328 --a------ C:\WINDOWS\system32\drivers\nv4_mini.sys
2007-06-29 00:43 6729728 --a------ C:\WINDOWS\system32\nvoglnt.dll
2007-06-29 00:43 6234112 --a------ C:\WINDOWS\system32\nvdisps.dll
2007-06-29 00:43 5690624 --a------ C:\WINDOWS\system32\nv4_disp.dll
2007-06-29 00:43 5455872 --a------ C:\WINDOWS\system32\nvdispsr.dll
2007-06-29 00:43 466944 --a------ C:\WINDOWS\system32\nvshell.dll
2007-06-29 00:43 458752 --a------ C:\WINDOWS\system32\nvmccssr.dll
2007-06-29 00:43 45056 --a------ C:\WINDOWS\system32\nvmccsrs.dll
2007-06-29 00:43 442368 --a------ C:\WINDOWS\system32\nvappbar.exe
2007-06-29 00:43 425984 --a------ C:\WINDOWS\system32\keystone.exe
2007-06-29 00:43 37376 --a------ C:\WINDOWS\system32\nvcodins.dll
2007-06-29 00:43 37376 --a------ C:\WINDOWS\system32\nvcod.dll
2007-06-29 00:43 360448 --a------ C:\WINDOWS\system32\nvapi.dll
2007-06-29 00:43 3600384 --a------ C:\WINDOWS\system32\nvvitvsr.dll
2007-06-29 00:43 3518464 --a------ C:\WINDOWS\system32\nvvitvs.dll
2007-06-29 00:43 335872 --a------ C:\WINDOWS\system32\nvwrses.dll
2007-06-29 00:43 335872 --a------ C:\WINDOWS\system32\nvwrsel.dll
2007-06-29 00:43 3321856 --a------ C:\WINDOWS\system32\nvgames.dll
2007-06-29 00:43 327680 --a------ C:\WINDOWS\system32\nvwrsfr.dll
2007-06-29 00:43 327680 --a------ C:\WINDOWS\system32\nvwrsesm.dll
2007-06-29 00:43 327680 --a------ C:\WINDOWS\system32\nvrshe.dll
2007-06-29 00:43 327680 --a------ C:\WINDOWS\system32\nvrsar.dll
2007-06-29 00:43 323584 --a------ C:\WINDOWS\system32\nvwrspt.dll
2007-06-29 00:43 323584 --a------ C:\WINDOWS\system32\nvwrsit.dll
2007-06-29 00:43 319488 --a------ C:\WINDOWS\system32\nvwrsptb.dll
2007-06-29 00:43 319488 --a------ C:\WINDOWS\system32\nvwrsnl.dll
2007-06-29 00:43 315392 --a------ C:\WINDOWS\system32\nvwrsru.dll
2007-06-29 00:43 315392 --a------ C:\WINDOWS\system32\nvwrshu.dll
2007-06-29 00:43 311296 --a------ C:\WINDOWS\system32\nvwrsde.dll
2007-06-29 00:43 3072000 --a------ C:\WINDOWS\system32\nvgamesr.dll
2007-06-29 00:43 307200 --a------ C:\WINDOWS\system32\nvexpbar.dll
2007-06-29 00:43 303104 --a------ C:\WINDOWS\system32\nvwrstr.dll
2007-06-29 00:43 303104 --a------ C:\WINDOWS\system32\nvwrssl.dll
2007-06-29 00:43 303104 --a------ C:\WINDOWS\system32\nvwrsfi.dll
2007-06-29 00:43 299008 --a------ C:\WINDOWS\system32\nvwrssk.dll
2007-06-29 00:43 299008 --a------ C:\WINDOWS\system32\nvwrsno.dll
2007-06-29 00:43 294912 --a------ C:\WINDOWS\system32\nvwrssv.dll
2007-06-29 00:43 294912 --a------ C:\WINDOWS\system32\nvwrspl.dll
2007-06-29 00:43 294912 --a------ C:\WINDOWS\system32\nvwrsda.dll
2007-06-29 00:43 286720 --a------ C:\WINDOWS\system32\nvwrseng.dll
2007-06-29 00:43 286720 --a------ C:\WINDOWS\system32\nvwrscs.dll
2007-06-29 00:43 286720 --a------ C:\WINDOWS\system32\nvnt4cpl.dll
2007-06-29 00:43 2854912 --a------ C:\WINDOWS\system32\nvmoblsr.dll
2007-06-29 00:43 282624 --a------ C:\WINDOWS\system32\nvwrsar.dll
2007-06-29 00:43 282624 --a------ C:\WINDOWS\system32\nvrsfr.dll
2007-06-29 00:43 282624 --a------ C:\WINDOWS\system32\nvrses.dll
2007-06-29 00:43 282624 --a------ C:\WINDOWS\system32\nvrsel.dll
2007-06-29 00:43 278528 --a------ C:\WINDOWS\system32\nvwrshe.dll
2007-06-29 00:43 278528 --a------ C:\WINDOWS\system32\nvrsit.dll
2007-06-29 00:43 278528 --a------ C:\WINDOWS\system32\nvrsde.dll
2007-06-29 00:43 274432 --a------ C:\WINDOWS\system32\nvrspt.dll
2007-06-29 00:43 274432 --a------ C:\WINDOWS\system32\nvrsnl.dll
2007-06-29 00:43 274432 --a------ C:\WINDOWS\system32\nvrsesm.dll
2007-06-29 00:43 270336 --a------ C:\WINDOWS\system32\nvrsru.dll
2007-06-29 00:43 266240 --a------ C:\WINDOWS\system32\nvrsptb.dll
2007-06-29 00:43 266240 --a------ C:\WINDOWS\system32\nvrsja.dll
2007-06-29 00:43 262144 --a------ C:\WINDOWS\system32\nvrsko.dll
2007-06-29 00:43 258048 --a------ C:\WINDOWS\system32\nvrstr.dll
2007-06-29 00:43 258048 --a------ C:\WINDOWS\system32\nvrssl.dll
2007-06-29 00:43 258048 --a------ C:\WINDOWS\system32\nvrssk.dll
2007-06-29 00:43 258048 --a------ C:\WINDOWS\system32\nvrshu.dll
2007-06-29 00:43 253952 --a------ C:\WINDOWS\system32\nvrssv.dll
2007-06-29 00:43 253952 --a------ C:\WINDOWS\system32\nvrspl.dll
2007-06-29 00:43 253952 --a------ C:\WINDOWS\system32\nvrsno.dll
2007-06-29 00:43 253952 --a------ C:\WINDOWS\system32\nvrsda.dll
2007-06-29 00:43 249856 --a------ C:\WINDOWS\system32\nvrsfi.dll
2007-06-29 00:43 249856 --a------ C:\WINDOWS\system32\nvrscs.dll
2007-06-29 00:43 245760 --a------ C:\WINDOWS\system32\nvrseng.dll
2007-06-29 00:43 2416640 --a------ C:\WINDOWS\system32\nvwssr.dll
2007-06-29 00:43 2330624 --a------ C:\WINDOWS\system32\nvwss.dll
2007-06-29 00:43 229376 --a------ C:\WINDOWS\system32\nvmccs.dll
2007-06-29 00:43 225280 --a------ C:\WINDOWS\system32\nvrszhc.dll
2007-06-29 00:43 212992 --a------ C:\WINDOWS\system32\nvwrsja.dll
2007-06-29 00:43 196608 --a------ C:\WINDOWS\system32\nvwrsko.dll
2007-06-29 00:43 188416 --a------ C:\WINDOWS\system32\nvmccss.dll
2007-06-29 00:43 1703936 --a------ C:\WINDOWS\system32\nvwdmcpl.dll
2007-06-29 00:43 167936 --a------ C:\WINDOWS\system32\nvwrszht.dll
2007-06-29 00:43 163840 --a------ C:\WINDOWS\system32\nvwrszhc.dll
2007-06-29 00:43 1626112 --a------ C:\WINDOWS\system32\nwiz.exe
2007-06-29 00:43 155716 --a------ C:\WINDOWS\system32\nvsvc32.exe
2007-06-29 00:43 1474560 --a------ C:\WINDOWS\system32\nview.dll
2007-06-29 00:43 147456 --a------ C:\WINDOWS\system32\nvcolor.exe
2007-06-29 00:43 1339392 --a------ C:\WINDOWS\system32\nvdspsch.exe
2007-06-29 00:43 126976 --a------ C:\WINDOWS\system32\nvrszht.dll
2007-06-29 00:43 1142784 --a------ C:\WINDOWS\system32\nvmobls.dll
2007-06-29 00:43 1073152 --a------ C:\WINDOWS\system32\nvcpluir.dll
2007-06-29 00:43 1019904 --a------ C:\WINDOWS\system32\nvwimg.dll
2007-06-29 00:43 1018772 --a------ C:\WINDOWS\system32\nvucode.bin
2007-06-27 16:05 823808 --a--c--- C:\WINDOWS\system32\dllcache\wininet.dll
2007-06-27 16:05 671232 --a--c--- C:\WINDOWS\system32\dllcache\mstime.dll
2007-06-27 16:05 52224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-06-27 16:05 477696 --a--c--- C:\WINDOWS\system32\dllcache\mshtmled.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B3A05538-8F91-49C1-8EE3-6EB142B41E2A}]
2007-08-05 20:31 126976 --a------ C:\Programme\Microsoft Help\Microsoft.System.Help.Object.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Ai Nap"="C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe" [2007-04-09 14:49]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2006-07-13 07:12]
"JMB36X IDE Setup"="C:\WINDOWS\RaidTool\xInsIDE.exe" [2007-03-20 08:36]
"36X Raid Configurer"="C:\WINDOWS\System32\xRaidSetup.exe" [2007-03-21 10:23]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2006-12-18 15:34]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-29 00:43]
"nwiz"="nwiz.exe" [2007-06-29 00:43 C:\WINDOWS\system32\nwiz.exe]
"POEngine"="C:\Programme\PokerOffice\POEngine.exe" [2007-02-22 17:17]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2007-05-15 00:22]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 18:30]
"CameraFixer"="C:\WINDOWS\CameraFixer.exe" [2005-12-06 13:08]
"snpstd"="C:\WINDOWS\vsnpstd.exe" [2005-10-11 13:54]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-29 00:43]
"RoxWatchTray"="C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2007-01-16 12:50]
"DMXLauncher"="C:\Programme\Roxio\Media Experience\DMXLauncher.exe" [2007-02-12 03:24]
"RoxioDragToDisc"="C:\Programme\Roxio\Drag-to-Disc\DrgToDsc.exe" [2007-02-12 09:05]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-07-02 17:10]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-07-19 14:24]
"DAEMON Tools Pro Agent"="C:\Programme\DAEMON Tools Pro\DTProAgent.exe" [2007-06-22 14:45]
"WhenUSave"="C:\Programme\Save\Save.exe" [2006-08-25 14:45]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
ASUS WiFi-AP Solo.lnk - C:\Programme\ASUS WiFi-AP Solo\RtWLan.exe [2007-08-04 00:23:14]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 02:01:04]

R0 JGOGO;JMicron Hot-Plug Driver;C:\WINDOWS\system32\DRIVERS\JGOGO.sys
R0 JRAID;JRAID;C:\WINDOWS\system32\DRIVERS\jraid.sys
R1 avgio;avgio;\??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys
R1 avipbb;avipbb;C:\WINDOWS\system32\DRIVERS\avipbb.sys
R1 DLARTL_M;DLARTL_M;C:\WINDOWS\system32\Drivers\DLARTL_M.SYS
R1 ssmdrv;ssmdrv;C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
R3 avgntflt;avgntflt;\??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys
R3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys
R3 SenFiltService;SenFilt Service;C:\WINDOWS\system32\drivers\Senfilt.sys
R3 SjyPkt;SjyPkt;\??\C:\WINDOWS\System32\Drivers\SjyPkt.sys


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{742c5eb6-420e-11dc-8838-0015af0f108a}]
AutoRun\command- setupSNK.exe

*Newly Created Service* - SJYPKT

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-19 00:31:11
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-19 0:31:42
C:\ComboFix-quarantined-files.txt ... 2007-08-19 00:31

--- E O F ---

Antwort

Themen zu Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG
angezeigt, antivir, datei, dateiname, ebenfalls, eingefangen, erfahrung, forum, gelöscht, gen, gepostet, horse, immer wieder, infos, killbox, nicht mehr, norton, problem, programme, temp, trojan, trojan horse, wichtige, windows, windows\temp, wirklich



Ähnliche Themen: Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG


  1. WinXp Trojan.Agent/Gen-Reputation Stolen.Data Trojan.Agent/Gen-DunDun Win32/Spy.Banker.YPK trojan
    Log-Analyse und Auswertung - 29.10.2013 (7)
  2. Mehrere Trojaner (trojan.banker, trojan.agent), pup.funmoods
    Log-Analyse und Auswertung - 01.05.2013 (6)
  3. Trojan.Downloader, Trojan.Agent.VGENX, Trojan.Agent, PUP.Pantsoff.PasswordFinder, TR/spy.banker.gen5
    Log-Analyse und Auswertung - 27.10.2012 (1)
  4. Trojan.Banker, Trojan.Agent, Stolen.Data, Malware.Trace, was nun?
    Log-Analyse und Auswertung - 07.10.2012 (1)
  5. Trojan.Win32.InfoStealer!E1
    Plagegeister aller Art und deren Bekämpfung - 10.09.2012 (5)
  6. Trojan.Banker / Spy.Banker - weitere Vorgehensweise?
    Plagegeister aller Art und deren Bekämpfung - 17.07.2012 (7)
  7. EXP/2008-5353.AO TR/Kazy.80527.3 Trojan.BT.Soft.Gen Trojan.Banker Trojan.Agent
    Plagegeister aller Art und deren Bekämpfung - 14.07.2012 (5)
  8. Trojan.Banker und Trojan.Agend oft mit Antivir gelöscht aber immer wieder gekommen.
    Log-Analyse und Auswertung - 11.07.2012 (2)
  9. Wie entferne ich Trojan.Banker, Trojan.FakeAlert? C ist (angeblich) leer
    Log-Analyse und Auswertung - 10.10.2011 (5)
  10. Trojan Horse und Trojan.Zlob entfernen
    Plagegeister aller Art und deren Bekämpfung - 16.06.2010 (5)
  11. Infostealer.Banker.D + Virus Alert
    Plagegeister aller Art und deren Bekämpfung - 25.07.2008 (3)
  12. Adware.webprefix- Trojan.Gpcoder.E - Infostealer.banker.C
    Log-Analyse und Auswertung - 26.06.2008 (10)
  13. Trojan Horse gefunden: ldpinch trojan
    Mülltonne - 23.10.2007 (0)
  14. Norton blockiert Trojan.Vundo bzw. Trojan Horse
    Plagegeister aller Art und deren Bekämpfung - 01.07.2007 (2)
  15. Trojan.Vundo und Infostealer - was tun?
    Plagegeister aller Art und deren Bekämpfung - 24.05.2007 (5)
  16. Trojan.Vundo und Infostealer haben sich in meinem Rechner festgesetzt
    Log-Analyse und Auswertung - 09.04.2007 (2)
  17. Trojan.Banker.VB.0D9D0998 und Trojan-Dropper.Win32.Agent.wd
    Log-Analyse und Auswertung - 04.10.2005 (2)

Zum Thema Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG - Hallo Wissende, Habe mir wie es scheint einiges eingefangen, was ich jetzt nicht mehr los bekomme. Die oben genannten Programme werden von meinen Virenprogramme immer wieder gefunden und können nicht - Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG...
Archiv
Du betrachtest: Trojan Horse + infostealer.bankos + TR/Spy.Banker.CSG auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.