Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Backdoor (ircbot)???, Fehlalarm?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.12.2007, 11:28   #1
Matze05
 
Backdoor (ircbot)???, Fehlalarm? - Standard

Backdoor (ircbot)???, Fehlalarm?



Hallo bin neu hier und habe folgendes prob.

mwav findet bei mir backdoor (ircbot) trojans, alle anderen antispyware proggies nichts, und mein gdata auch nichts
. hatte vor kurzem im windows/system !! ordner
die smss.exe und auch gelöscht bekommen. nun meine fage da mein escan.log und hijack.log scheinbar sauber sind, ist das ne fehlmeldung. Ich hänge mal beide Logs dran. Vielen Dank im Vorraus fürAntworten
:aplaus:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.5.8
Sprache: English
Virus Database Date: 12/1/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with backdoor (ircbot) trojans Spyware/Adware ({06849e9f-c8d7-4d59-b87d-784b7d6be0b3})! Action taken: No Action Taken.
System found infected with backdoor (ircbot) trojans Spyware/Adware ({645ff040-5081-101b-9f08-00aa002f954e})! Action taken: No Action Taken.
System found infected with backdoor (ircbot) trojans Spyware/Adware ({6bf52a52-394a-11d3-b153-00c04f79faa6})! Action taken: No Action Taken.
System found infected with backdoor (ircbot) trojans Spyware/Adware ({06849e9f-c8d7-4d59-b87d-784b7d6be0b3})! Action taken: No Action Taken.
System found infected with backdoor (ircbot) trojans Spyware/Adware ({6bf52a52-394a-11d3-b153-00c04f79faa6})! Action taken: No Action Taken.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden/type)! Action taken: No Action Taken.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_users\.default\software\microsoft\windows nt\currentversion\windows/load)! Action taken: No Action Taken.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows nt\currentversion\windows/load)! Action taken: No Action Taken.
Object "saminside Spyware/Adware" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Patrias\Desktop\tools
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 7.5.0.20\QuickTime.msi not Scanned. Possibly password protected...
C:\Downloads\Celestia\8kMars.zip not Scanned. Possibly password protected...
C:\Downloads\CryptLoad_1.0.3.rar not Scanned. Possibly password protected...
C:\Programme\QuickTime\QTSystem\QuickTimeAudioSupport.Resources\ko.lproj\QuickTimeAudioSupportLocalized.dll not Scanned. Possibly password protected...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Total Critical Objects: 9
Total Disinfected Objects: 0
Total Objects Renamed: 0
Total Deleted Objects: 0
Total Errors: 22
Time Elapsed: 01:28:52
Total Objects Scanned: 129161
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Memory Check: Enabled
Registry Check: Enabled
System Folder Check: Enabled
System Area Check: Disabled
Services Check: Enabled
Drive Check: Enabled
All Drive Check isabled
All Drive Check isabled

Batchstart: 2:26:14,48
Batchende: 2:26:18,81
______________________________________________________________
Hijack-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:57:37, on 04.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data internetsecurity\avkkid\avkcks.exe
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\NVIDIA\nTune\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\NVIDIA\nTune\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe

--
End of file - 6157 bytes

Alt 05.12.2007, 11:51   #2
undoreal
/// AVZ-Toolkit Guru
 
Backdoor (ircbot)???, Fehlalarm? - Standard

Backdoor (ircbot)???, Fehlalarm?



Halli hallo Matze.

Das sieht allerdings echt nicht lustig aus..

Silentrunners Logfile

-Lade dir das Tool -> Silentrunners
-Entpacke das Script in einen Ordner deiner Wahl
-Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
-System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
-Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen)


Run Combofix. Poste den erscheinenden Text.


Danach wissen mir mehr... Stell dich aber durchaus schonmal drauf ein die Kiste platt zu machen..
__________________

__________________

Alt 05.12.2007, 22:13   #3
Matze05
 
Backdoor (ircbot)???, Fehlalarm? - Standard

Backdoor (ircbot)???, Fehlalarm?



danke für die schnelle antwort habe schon mal die log vom script. Also das is für mich nur kauderwelsch, hoffe du kannst da was erkennen. Combofix mach ich gleich drann, muss erst mal schaun was das ist (dosprog lange nicht gesehen


"Silent Runners.vbs", revision 53, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"NVIDIA nTune" = ""C:\NVIDIA\nTune\nTune\nTuneCmd.exe" clear" ["NVIDIA"]
"RocketDock" = ""C:\Programme\RocketDock\RocketDock.exe"" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"IgfxTray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"]
"HotKeysCmds" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"RemoteControl" = "C:\Programme\PowerDVD\PDVDServ.exe" ["Cyberlink Corp."]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k"
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"GDFirewallTray" = "C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe" ["G DATA Software AG"]
"AVKTray" = ""C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"" ["G DATA Software AG"]
"!AVG Anti-Spyware" = ""C:\Programme\AVG Anti-Spyware 7.5\avgas.exe" /minimized" ["GRISOFT s.r.o."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{0124123D-61B4-456f-AF86-78C53A0790C5}\(Default) = "G DATA WebFilter Class"
-> {HKLM...CLSID} = "G DATA WebFilter"
\InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll" ["G DATA Software AG"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{3028902F-6374-48b2-8DC6-9725E775B926}" = "IE Microsoft AutoComplete"
-> {HKLM...CLSID} = "IE Microsoft AutoComplete"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{EFA24E62-B078-11d0-89E4-00C04FC9E26E}" = "History Band"
-> {HKLM...CLSID} = "History Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS]
"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"
-> {HKLM...CLSID} = "TuneUp Theme Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\uxtuneup.dll" ["TuneUp Software GmbH"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{2F25CF20-C569-11D1-B94C-00608CB45480}" = "TextPad"
-> {HKLM...CLSID} = "TextPad"
\InProcServer32\(Default) = "C:\Programme\TextPad 4\System\shellext.dll" ["Helios Software Solutions"]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{23170F69-40C1-278A-1000-000100020000}" = "7-Zip Shell Extension"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]
"{03DAACC5-10BA-4E3E-9D54-2A569F6B4B87}" = "Sony Ericsson Datei-Manager"
-> {HKLM...CLSID} = "Sony Ericsson Datei-Manager"
\InProcServer32\(Default) = "C:\Programme\Sony Ericsson\Mobile2\File Manager\FM.dll" ["Popwire AB"]
"{738D66C6-0149-4D40-84E4-A7BB2D0CE949}" = "Sony Ericsson Datei-Manager"
-> {HKLM...CLSID} = "Sony Ericsson Datei-Manager"
\InProcServer32\(Default) = "C:\Programme\Sony Ericsson\Mobile2\File Manager\FM.dll" ["Popwire AB"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "AVG Anti-Spyware 7.5"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Programme\AVG Anti-Spyware 7.5\shellexecutehook.dll" ["GRISOFT s.r.o."]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
<<!>> "Userinit" = "C:\WINDOWS\system32\userinit.exe,c:\programme\g data internetsecurity\avkkid\avkcks.exe" [MS], [file not found], [file not found], [file not found]

HKLM\System\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"OODBS" ["O&O Software GmbH"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> igfxcui\DLLName = "igfxdev.dll" ["Intel Corporation"]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\AVG Anti-Spyware 7.5\context.dll" ["GRISOFT s.r.o."]
AVK9CM\(Default) = "{CAF4C320-32F5-11D3-A222-004095200FF2}"
-> {HKLM...CLSID} = "AVK9ContextMenue"
\InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity\AVK\ShellExt.dll" ["G DATA Software AG"]
TextPad\(Default) = "{2F25CF20-C569-11D1-B94C-00608CB45480}"
-> {HKLM...CLSID} = "TextPad"
\InProcServer32\(Default) = "C:\Programme\TextPad 4\System\shellext.dll" ["Helios Software Solutions"]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\AVG Anti-Spyware 7.5\context.dll" ["GRISOFT s.r.o."]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AVK9CM\(Default) = "{CAF4C320-32F5-11D3-A222-004095200FF2}"
-> {HKLM...CLSID} = "AVK9ContextMenue"
\InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity\AVK\ShellExt.dll" ["G DATA Software AG"]
Reisswolf\(Default) = "{1F0F1EE7-36B9-11D2-8985-0080ADA96E9B}"
-> {HKLM...CLSID} = "ReisswolfContextMenu"
\InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity\Shredder\Reisswlf.dll" ["G DATA Software AG"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
Reisswolf\(Default) = "{1F0F1EE7-36B9-11D2-8985-0080ADA96E9B}"
-> {HKLM...CLSID} = "ReisswolfContextMenu"
\InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity\Shredder\Reisswlf.dll" ["G DATA Software AG"]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"DisableRegistryTools" = (REG_DWORD) dword:0x00000000
{User Configuration|Administrative Templates|System|
Prevent access to registry editing tools}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\Web\Wallpaper\vista.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\Web\Wallpaper\vista.bmp"


Startup items in "Patrias" & "All Users" startup folders:
---------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"CoreCenter" -> shortcut to: "C:\Programme\MSI\Core Center\CoreCenter.exe" [empty string]
"G DATA Firewall Tray" -> shortcut to: "C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe" ["G DATA Software AG"]
"HP Digital Imaging Monitor" -> shortcut to: "C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe" ["Hewlett-Packard Co."]


Enabled Scheduled Tasks:
------------------------

"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -task" ["Apple Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 21
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{0124123D-61B4-456F-AF86-78C53A0790C5}" = "G DATA WebFilter"
-> {HKLM...CLSID} = "G DATA WebFilter"
\InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll" ["G DATA Software AG"]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{EEF9A392-5B23-4761-ADC0-E3D681707BBA}\(Default) = "Morpheus PopSwatter"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS]

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
__________________

Alt 05.12.2007, 22:34   #4
Matze05
 
Backdoor (ircbot)???, Fehlalarm? - Standard

Backdoor (ircbot)???, Fehlalarm?



So jetzt noch' combofixLog. Während dem scan hat sich mein Antivirenprogramm gemeldet und nen trojaner gefunden (Trojan.Win32.inject.mf) konnte aber weggebeamt werden.

ComboFix 07-12-02.7 - Patrias 2007-12-05 23:16:45.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.470 [GMT 1:00]
ausgeführt von:: c:\Downloads\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\nm


((((((((((((((((((((((( Dateien erstellt von 2007-11-05 bis 2007-12-05 ))))))))))))))))))))))))))))))
.

2007-12-05 22:57 . 2007-12-02 22:59 362,115 --a------ C:\Temp\Silent Runners.vbs
2007-12-04 23:07 . 2007-12-04 23:07 <DIR> d-------- C:\Dokumente und Einstellungen\Patrias\Anwendungsdaten\Grisoft
2007-12-04 23:06 . 2007-12-04 23:10 <DIR> d-------- C:\Programme\AVG Anti-Spyware 7.5
2007-12-04 23:06 . 2007-12-04 23:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2007-12-04 23:06 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-12-03 01:42 . 2007-12-03 01:43 <DIR> d-------- C:\Programme\PC Security Test 2007
2007-12-01 20:25 . 2007-12-01 20:25 47,184 --a------ C:\WINDOWS\system32\drivers\MiniIcpt.sys
2007-12-01 20:25 . 2007-12-01 20:25 31,432 --a------ C:\WINDOWS\system32\drivers\HookCentre.sys
2007-12-01 20:20 . 2007-12-01 20:20 <DIR> d-------- C:\WINDOWS\l2schemas
2007-12-01 20:20 . 2005-04-20 20:30 474,624 -----c--- C:\WINDOWS\system32\dllcache\wzcsvc.dll
2007-12-01 20:20 . 2006-11-01 08:16 69,120 --------- C:\WINDOWS\system32\wlanapi.dll
2007-12-01 20:20 . 2005-04-20 20:30 52,736 -----c--- C:\WINDOWS\system32\dllcache\wzcsapi.dll
2007-12-01 20:20 . 2007-12-01 20:20 41,928 --a------ C:\WINDOWS\system32\drivers\GDTdiIcpt.sys
2007-12-01 20:20 . 2007-12-01 20:20 19,328 --a------ C:\WINDOWS\system32\drivers\GDNdisIc.sys
2007-12-01 20:20 . 2005-04-20 00:54 14,592 -----c--- C:\WINDOWS\system32\dllcache\ndisuio.sys
2007-12-01 20:19 . 2007-12-01 20:19 <DIR> d-------- C:\WINDOWS\gear_dlls
2007-12-01 20:19 . 2007-12-01 20:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\G DATA
2007-12-01 20:17 . 2007-12-01 20:20 <DIR> d-------- C:\Programme\Gemeinsame Dateien\G DATA
2007-12-01 20:17 . 2007-12-01 20:21 <DIR> d-------- C:\Programme\G DATA InternetSecurity
2007-11-29 19:22 . 2007-11-29 19:22 <DIR> d-------- C:\Image-Dats
2007-11-29 18:53 . 2007-11-29 18:53 99,840 --a------ C:\WINDOWS\system32\drivers\ACEDRV06.sys
2007-11-29 18:50 . 2007-11-29 19:28 <DIR> d-------- C:\Programme\Der Ahnenforscher 4.0
2007-11-29 18:50 . 2006-02-23 10:19 369,152 --a------ C:\WINDOWS\DBREG.dll
2007-11-29 18:50 . 2006-02-23 10:20 131,072 --a------ C:\WINDOWS\DBReg.exe
2007-11-29 18:50 . 2006-02-23 14:35 16,387 --a------ C:\WINDOWS\German.ini
2007-11-29 15:20 . 2007-11-29 15:20 6,115,852 --a------ C:\WINDOWS\REGBK12.ZIP
2007-11-28 17:41 . 2007-11-29 18:53 <DIR> d-------- C:\Programme\a-squared Free
2007-11-28 17:38 . 2007-11-28 17:38 <DIR> d-------- C:\Dokumente und Einstellungen\Patrias\Anwendungsdaten\Sereniti
2007-11-27 17:21 . 2007-11-27 17:23 <DIR> d-------- C:\Programme\MFInstall
2007-11-27 15:33 . 2007-11-27 15:35 <DIR> d-------- C:\WINDOWS\NV6562844.TMP
2007-11-24 12:35 . 2007-11-24 12:35 29 --a------ C:\WINDOWS\softy.ini
2007-11-12 18:27 . 2007-12-04 11:01 <DIR> d-------- C:\Programme\Ad-Aware 2007
2007-11-12 17:32 . 2007-11-12 17:43 <DIR> d-------- C:\Programme\Cryptload
2007-11-11 00:35 . 2007-04-03 13:57 23,176 -ra------ C:\WINDOWS\system32\drivers\s116nd5.sys
2007-11-11 00:33 . 2007-11-11 00:33 <DIR> d-------- C:\Dokumente und Einstellungen\Patrias\Anwendungsdaten\Teleca
2007-11-11 00:30 . 2007-11-11 00:30 <DIR> d-------- C:\Programme\Sony Ericsson
2007-11-11 00:30 . 2007-11-11 00:31 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Teleca Shared
2007-11-11 00:30 . 2007-11-11 00:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Sony Ericsson Shared
2007-11-11 00:30 . 2007-11-11 00:30 <DIR> d-------- C:\Dokumente und Einstellungen\Patrias\Anwendungsdaten\Sony Ericsson
2007-11-11 00:29 . 2007-11-11 00:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca
2007-11-11 00:29 . 2007-11-11 00:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2007-11-10 22:54 . 2007-11-22 02:22 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2007-11-10 22:54 . 2007-11-10 22:54 1,409 --a------ C:\WINDOWS\QTFont.for
2007-11-10 14:06 . 2007-11-10 14:06 <DIR> d-------- C:\Programme\iTunes
2007-11-10 14:02 . 2007-11-10 14:02 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple
2007-11-10 14:02 . 2007-11-10 14:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2007-11-08 18:52 . 2007-11-08 19:09 <DIR> d-------- C:\Programme\EVEREST Ultimate Edition
2007-11-08 18:37 . 2007-01-18 13:38 23,600 --a------ C:\WINDOWS\system32\drivers\TVICHW32.SYS
2007-11-08 16:30 . 2007-11-08 16:30 <DIR> d-------- C:\Programme\MSI Setup Files
2007-11-07 18:35 . 2007-11-07 19:09 51,355 --a------ C:\WINDOWS\system32\muzika.xm
2007-11-06 21:54 . 2007-10-12 15:14 3,734,536 --a------ C:\WINDOWS\system32\d3dx9_36.dll
2007-11-06 21:54 . 2007-07-19 18:14 3,727,720 --a------ C:\WINDOWS\system32\d3dx9_35.dll
2007-11-06 21:54 . 2007-10-12 15:14 1,374,232 --a------ C:\WINDOWS\system32\D3DCompiler_36.dll
2007-11-06 21:54 . 2007-07-19 18:14 1,358,192 --a------ C:\WINDOWS\system32\D3DCompiler_35.dll
2007-11-06 21:54 . 2007-10-02 09:56 444,776 --a------ C:\WINDOWS\system32\d3dx10_36.dll
2007-11-06 21:54 . 2007-07-19 18:14 444,776 --a------ C:\WINDOWS\system32\d3dx10_35.dll
2007-11-06 21:54 . 2007-10-22 03:39 267,272 --a------ C:\WINDOWS\system32\xactengine2_10.dll
2007-11-06 21:54 . 2007-07-20 00:57 267,112 --a------ C:\WINDOWS\system32\xactengine2_9.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-04 10:01 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-12-02 22:24 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-12-02 22:24 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-12-02 11:01 25,992 ----a-w C:\WINDOWS\system32\pgdfgsvc.exe
2007-12-01 19:17 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-01 10:14 --------- d-----w C:\Programme\eMule
2007-11-29 16:14 --------- d-----w C:\Programme\Ahnensuche
2007-11-27 14:13 --------- d-----w C:\Programme\CCleaner
2007-11-25 14:02 --------- d-----w C:\Programme\Ahnenblatt
2007-11-15 17:37 --------- d-----w C:\Programme\Winamp
2007-11-14 17:26 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-11-13 14:47 --------- d-----w C:\Programme\MSI
2007-11-12 14:16 --------- d-----w C:\Programme\SFT Loader
2007-11-10 22:59 --------- d-----w C:\Programme\Samsung PC Studio 3
2007-11-10 13:06 --------- d-----w C:\Programme\iPod
2007-11-10 13:05 --------- d-----w C:\Programme\QuickTime
2007-11-10 13:03 --------- d-----w C:\Programme\Apple Software Update
2007-11-08 18:28 --------- d-----w C:\Programme\SiSoftware Sandra Lite XI
2007-11-05 17:09 --------- d-----w C:\Programme\TopDesk
2007-11-04 17:14 --------- d-----w C:\Dokumente und Einstellungen\Patrias\Anwendungsdaten\OtakuSoftware
2007-11-03 22:42 --------- d-----w C:\Programme\WinFlip
2007-11-03 22:42 --------- d-----w C:\Programme\VisualTaskTips
2007-11-03 22:42 --------- d-----w C:\Programme\ViStart
2007-11-03 22:42 --------- d-----w C:\Programme\VistaDriveIcon
2007-11-03 22:42 --------- d-----w C:\Programme\ViOrb
2007-11-03 22:42 --------- d-----w C:\Programme\TrueTransparency
2007-11-03 22:42 --------- d-----w C:\Programme\Thoosje Sidebar 2.2
2007-11-03 22:42 --------- d-----w C:\Programme\Styler
2007-11-03 22:30 --------- d-----w C:\Dokumente und Einstellungen\Patrias\Anwendungsdaten\ViStart
2007-10-30 18:12 --------- d-----w C:\Programme\RocketDock
2007-10-25 20:03 --------- d-----w C:\Programme\Steam
2007-10-25 20:02 --------- d-----w C:\Programme\PlayLinc
2007-10-24 16:45 98,304 ----a-w C:\WINDOWS\system32CmdLineExt.dll
2007-10-22 02:37 17,928 ----a-w C:\WINDOWS\system32\X3DAudio1_2.dll
2007-10-16 17:56 5,622,371 ----a-w C:\WINDOWS\REGBK11.ZIP
2007-10-11 17:37 --------- d-----w C:\Programme\IrfanView
2007-10-09 16:43 --------- d-----w C:\Programme\Microsoft Baseline Security Analyzer 2
2007-10-08 17:47 --------- d-----w C:\Dokumente und Einstellungen\Patrias\Anwendungsdaten\autobingooo
2007-10-08 17:42 --------- d-----w C:\Programme\Java
2007-10-07 11:03 --------- d-----w C:\Programme\xp-AntiSpy
2007-10-05 15:18 --------- d-----w C:\Dokumente und Einstellungen\Patrias\Anwendungsdaten\.phish
2007-10-04 16:14 81,920 ----a-w C:\WINDOWS\system32\nvwddi.dll
2007-10-04 16:14 81,920 ----a-w C:\WINDOWS\system32\nvmctray.dll
2007-10-04 16:14 8,491,008 ----a-w C:\WINDOWS\system32\nvcpl.dll
2007-10-04 16:14 753,664 ----a-w C:\WINDOWS\system32\nvcplui.exe
2007-10-04 16:14 6,750,208 ----a-w C:\WINDOWS\system32\nvoglnt.dll
2007-10-04 16:14 6,344,704 ----a-w C:\WINDOWS\system32\nvdisps.dll
2007-10-04 16:14 5,783,424 ----a-w C:\WINDOWS\system32\nv4_disp.dll
2007-10-04 16:14 5,509,120 ----a-w C:\WINDOWS\system32\nvdispsr.dll
2007-10-04 16:14 466,944 ----a-w C:\WINDOWS\system32\nvshell.dll
2007-10-04 16:14 458,752 ----a-w C:\WINDOWS\system32\nvmccssr.dll
2007-10-04 16:14 45,056 ----a-w C:\WINDOWS\system32\nvmccsrs.dll
2007-10-04 16:14 442,368 ----a-w C:\WINDOWS\system32\nvappbar.exe
2007-10-04 16:14 425,984 ----a-w C:\WINDOWS\system32\keystone.exe
2007-10-04 16:14 364,544 ----a-w C:\WINDOWS\system32\nvapi.dll
2007-10-04 16:14 36,864 ----a-w C:\WINDOWS\system32\nvcodins.dll
2007-10-04 16:14 36,864 ----a-w C:\WINDOWS\system32\nvcod.dll
2007-10-04 16:14 335,872 ----a-w C:\WINDOWS\system32\nvwrses.dll
2007-10-04 16:14 335,872 ----a-w C:\WINDOWS\system32\nvwrsel.dll
2007-10-04 16:14 327,680 ----a-w C:\WINDOWS\system32\nvwrsfr.dll
2007-10-04 16:14 327,680 ----a-w C:\WINDOWS\system32\nvwrsesm.dll
2007-10-04 16:14 327,680 ----a-w C:\WINDOWS\system32\nvrshe.dll
2007-10-04 16:14 327,680 ----a-w C:\WINDOWS\system32\nvrsar.dll
2007-10-04 16:14 323,584 ----a-w C:\WINDOWS\system32\nvwrspt.dll
2007-10-04 16:14 323,584 ----a-w C:\WINDOWS\system32\nvwrsit.dll
2007-10-04 16:14 319,488 ----a-w C:\WINDOWS\system32\nvwrsptb.dll
2007-10-04 16:14 319,488 ----a-w C:\WINDOWS\system32\nvwrsnl.dll
2007-10-04 16:14 315,392 ----a-w C:\WINDOWS\system32\nvwrsru.dll
2007-10-04 16:14 315,392 ----a-w C:\WINDOWS\system32\nvwrshu.dll
2007-10-04 16:14 311,296 ----a-w C:\WINDOWS\system32\nvwrsde.dll
2007-10-04 16:14 307,200 ----a-w C:\WINDOWS\system32\nvexpbar.dll
2007-10-04 16:14 303,104 ----a-w C:\WINDOWS\system32\nvwrstr.dll
2007-10-04 16:14 303,104 ----a-w C:\WINDOWS\system32\nvwrssl.dll
2007-10-04 16:14 303,104 ----a-w C:\WINDOWS\system32\nvwrsfi.dll
2007-10-04 16:14 3,629,056 ----a-w C:\WINDOWS\system32\nvvitvsr.dll
2007-10-04 16:14 3,551,232 ----a-w C:\WINDOWS\system32\nvvitvs.dll
2007-10-04 16:14 3,334,144 ----a-w C:\WINDOWS\system32\nvgames.dll
2007-10-04 16:14 3,166,208 ----a-w C:\WINDOWS\system32\nvgamesr.dll
2007-10-04 16:14 299,008 ----a-w C:\WINDOWS\system32\nvwrssk.dll
2007-10-04 16:14 299,008 ----a-w C:\WINDOWS\system32\nvwrsno.dll
2007-10-04 16:14 294,912 ----a-w C:\WINDOWS\system32\nvwrssv.dll
2007-10-04 16:14 294,912 ----a-w C:\WINDOWS\system32\nvwrspl.dll
2007-10-04 16:14 294,912 ----a-w C:\WINDOWS\system32\nvwrsda.dll
2007-10-04 16:14 290,816 ----a-w C:\WINDOWS\system32\nvwrsth.dll
2007-10-04 16:14 286,720 ----a-w C:\WINDOWS\system32\nvwrseng.dll
2007-10-04 16:14 286,720 ----a-w C:\WINDOWS\system32\nvwrscs.dll
2007-10-04 16:14 286,720 ----a-w C:\WINDOWS\system32\nvnt4cpl.dll
2007-10-04 16:14 282,624 ----a-w C:\WINDOWS\system32\nvwrsar.dll
2007-10-04 16:14 282,624 ----a-w C:\WINDOWS\system32\nvrsfr.dll
2007-10-04 16:14 282,624 ----a-w C:\WINDOWS\system32\nvrses.dll
2007-10-04 16:14 282,624 ----a-w C:\WINDOWS\system32\nvrsel.dll
2007-10-04 16:14 278,528 ----a-w C:\WINDOWS\system32\nvwrshe.dll
2007-10-04 16:14 278,528 ----a-w C:\WINDOWS\system32\nvrsit.dll
2007-10-04 16:14 278,528 ----a-w C:\WINDOWS\system32\nvrsde.dll
2007-10-04 16:14 274,432 ----a-w C:\WINDOWS\system32\nvrspt.dll
2007-10-04 16:14 274,432 ----a-w C:\WINDOWS\system32\nvrsnl.dll
2007-10-04 16:14 274,432 ----a-w C:\WINDOWS\system32\nvrsesm.dll
2007-10-04 16:14 270,336 ----a-w C:\WINDOWS\system32\nvrsru.dll
2007-10-04 16:14 266,240 ----a-w C:\WINDOWS\system32\nvrsptb.dll
2007-10-04 16:14 266,240 ----a-w C:\WINDOWS\system32\nvrsja.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 13:00]
"NVIDIA nTune"="C:\NVIDIA\nTune\nTune\nTuneCmd.exe" [2007-04-04 13:20]
"RocketDock"="C:\Programme\RocketDock\RocketDock.exe" [2007-09-02 13:58]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-01-13 09:47]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-01-13 09:47]
"NvCplDaemon"="RUNDLL32.exe" [2006-02-28 13:00 C:\WINDOWS\system32\rundll32.exe]
"RemoteControl"="C:\Programme\PowerDVD\PDVDServ.exe" [2005-12-07 22:57]
"NvMediaCenter"="RUNDLL32.exe" [2006-02-28 13:00 C:\WINDOWS\system32\rundll32.exe]
"GDFirewallTray"="C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe" [2007-08-14 12:12]
"AVKTray"="C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe" [2007-08-14 12:15]
"!AVG Anti-Spyware"="C:\Programme\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 13:00]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"NVIDIA nTune"="C:\NVIDIA\nTune\nTune\nTuneCmd.exe" clear
"Steam"="C:\Programme\Steam\Steam.exe" -silent

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"igfxpers"=C:\WINDOWS\system32\igfxpers.exe
"Persistence"=C:\WINDOWS\system32\igfxpers.exe
"LanguageShortcut"=C:\Programme\PowerDVD\Language\Language.exe
"nwiz"=nwiz.exe /install

R0 GDNdisIc;GDNdisIc;C:\WINDOWS\system32\drivers\GDNdisIc.sys
R2 ACEDRV06;ACEDRV06;\??\C:\WINDOWS\system32\drivers\ACEDRV06.sys
R2 AVKProxy;G DATA AntiVirus Proxy;"C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe"
R2 AVKService;AVK Service;C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
R2 AVKWCtl;AVK Wächter;C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
R2 GDTdiInterceptor;GDTdiInterceptor;\??\C:\WINDOWS\system32\drivers\GDTdiIcpt.sys
R2 NVXBAR;nVidia WDM A/V Crossbar;C:\WINDOWS\system32\DRIVERS\NVxbar.sys
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 GDFwSvc;G DATA Personal Firewall;C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
R3 GDMnIcpt;GDMnIcpt;\??\C:\WINDOWS\system32\drivers\MiniIcpt.sys
R3 HookCentre;HookCentre;\??\C:\WINDOWS\system32\drivers\HookCentre.sys
R3 PCAlertDriver;PCAlertDriver;\??\C:\Programme\MSI\Core Center\NTGLM7X.sys
R3 RMSPPPOE;WAN Miniport (PPP over Ethernet Protocol);C:\WINDOWS\system32\DRIVERS\RMSPPPOE.SYS
R3 RushTopDevice;RushTopDevice;\??\C:\Programme\MSI\Core Center\RushTop.sys
S2 nvcap;nVidia WDM Video Capture (universal);C:\WINDOWS\system32\DRIVERS\nvcap.sys
S3 hamachi_oem;PlayLinc Adapter;C:\WINDOWS\system32\DRIVERS\gan_adapter.sys
S3 s116bus;Sony Ericsson Device 116 driver (WDM);C:\WINDOWS\system32\DRIVERS\s116bus.sys
S3 s116mdfl;Sony Ericsson Device 116 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s116mdfl.sys
S3 s116mdm;Sony Ericsson Device 116 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s116mdm.sys
S3 s116mgmt;Sony Ericsson Device 116 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s116mgmt.sys
S3 s116nd5;Sony Ericsson Device 116 USB Ethernet Emulation SEMC116 (NDIS);C:\WINDOWS\system32\DRIVERS\s116nd5.sys
S3 s116obex;Sony Ericsson Device 116 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s116obex.sys
S3 s116unic;Sony Ericsson Device 116 USB Ethernet Emulation SEMC116 (WDM);C:\WINDOWS\system32\DRIVERS\s116unic.sys

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2007-11-28 15:50:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-05 23:22:20
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-05 23:23:20 - machine was rebooted
.
--- E O F ---


Ich kann nichts ungewöhnliches finden . Aber bin auch kein experte LOL

Alt 06.12.2007, 10:55   #5
Matze05
 
Backdoor (ircbot)???, Fehlalarm? - Standard

Backdoor (ircbot)???, Fehlalarm?



Undoreal, grüsse dich bist grad online, wenn du das liest vielleicht hast du ja nen Reim drauf

Verarscht mich ESCAN, habe noch mal mit ner geuppten version gescannt, findet er plötzlich neue Trojaner, alle anderen aus meinem vorigen post/log sind weg.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.5.9
Sprache: German
Virus-Datenbank Datum: 12/5/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with mirar Spyware/Adware (hkey_local_machine\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 32549
Gefundene Viren: 3
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 4
Dauer des Scans bisher: 00:03:12
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert

Batchstart: 11:47:23,73
Batchende: 11:47:29,46


Alt 06.12.2007, 11:23   #6
undoreal
/// AVZ-Toolkit Guru
 
Backdoor (ircbot)???, Fehlalarm? - Standard

Backdoor (ircbot)???, Fehlalarm?



Zitat:
So jetzt noch' combofixLog. Während dem scan hat sich mein Antivirenprogramm gemeldet und nen trojaner gefunden (Trojan.Win32.inject.mf) konnte aber weggebeamt werden.
uwaga.. bei welcher Datei? Ich hoffe die ist noch in der Quarantäne?!

Da sind einige Volltreffer im log die garnicht gut aussehen.. Zusammen mit dem eScan Bericht und einigen Dateien die auf einen W32-Bot sowie den Troj/StartPa-Hl schließen lassen wäre mir das ganz und garnicht geheuer..

Auch wenn wir die Hintertür noch nicht einwandfrei lokalisiert haben gehe ich davon aus, dass eine da ist. Damit gebe ich dir den dringlichen Rat deinen Rechner neuaufzusetzten und hinterher alle Passwörter zu ändern! Damit sparst du dir eine Menge Zeit! Eine Anleitung findest du in meiner Signatur.

Daten solltest du wirklich keine Sichern da einer der Trojaner Daten auf deinem Rechner modifiziert..


Wenn du noch ganz sichergehen möchtest, dass ich Recht habe befor du deine Kiste platt machst dann gehe vor wie folgt:

Poste als erstes mal ein HijackThis logfile (obwohl ich nicht glaube, dass dort was besonderes auftauchen wird..)

Die hier solltest du mal auf VT überprüfen lassen. Poste bitte danach den Bericht..

Zitat:
C:\WINDOWS\DBREG.dll
C:\WINDOWS\DBReg.exe
C:\WINDOWS\QTFont.qfn
C:\WINDOWS\QTFont.for
C:\WINDOWS\system32\muzika.xm
C:\WINDOWS\system32CmdLineExt.dll
Was ist hier drinn? Bitte nicht entpacken! Nur reingucken C:\WINDOWS\REGBK12.ZIP

__________________
--> Backdoor (ircbot)???, Fehlalarm?

Alt 06.12.2007, 11:26   #7
Matze05
 
Backdoor (ircbot)???, Fehlalarm? - Standard

Backdoor (ircbot)???, Fehlalarm?



Zitat:
Zitat von Matze05 Beitrag anzeigen
Undoreal, grüsse dich bist grad online, wenn du das liest vielleicht hast du ja nen Reim drauf

Verarscht mich ESCAN, habe noch mal mit ner geuppten version gescannt, findet er plötzlich neue Trojaner, alle anderen aus meinem vorigen post/log sind weg.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.5.9
Sprache: German
Virus-Datenbank Datum: 12/5/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with mirar Spyware/Adware (hkey_local_machine\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 32549
Gefundene Viren: 3
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 4
Dauer des Scans bisher: 00:03:12
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert

Batchstart: 11:47:23,73
Batchende: 11:47:29,46



So, alles gelöscht nach nochmaligen scan alles clean hoffe ich, guckst du hier:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.5.9
Sprache: German
Virus-Datenbank Datum: 12/5/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 32543
Gefundene Viren: 0
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 4
Dauer des Scans bisher: 00:02:38
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert

Batchstart: 12:21:49,51
Batchende: 12:21:56,29


FALLS NOCH ANREGUNGEN SIND IMMER HER DAMIT!!!

Alt 06.12.2007, 11:38   #8
Matze05
 
Backdoor (ircbot)???, Fehlalarm? - Standard

Backdoor (ircbot)???, Fehlalarm?



Zitat:
Zitat von undoreal Beitrag anzeigen
uwaga.. bei welcher Datei? Ich hoffe die ist noch in der Quarantäne?!

Da sind einige Volltreffer im log die garnicht gut aussehen.. Zusammen mit dem eScan Bericht und einigen Dateien die auf einen W32-Bot sowie den Troj/StartPa-Hl schließen lassen wäre mir das ganz und garnicht geheuer..

Auch wenn wir die Hintertür noch nicht einwandfrei lokalisiert haben gehe ich davon aus, dass eine da ist. Damit gebe ich dir den dringlichen Rat deinen Rechner neuaufzusetzten und hinterher alle Passwörter zu ändern! Damit sparst du dir eine Menge Zeit! Eine Anleitung findest du in meiner Signatur.

Daten solltest du wirklich keine Sichern da einer der Trojaner Daten auf deinem Rechner modifiziert..



Also trojaner ist in quarantäne, die archivdateien enthalten daten aus dem "Windows Registry Editor 5.0", Virustotal-Seite geht nicht. Hab aber nochne --Regedit.com-- gefunden und erst mal umbenannt.


Wenn du noch ganz sichergehen möchtest, dass ich Recht habe befor du deine Kiste platt machst dann gehe vor wie folgt:

Poste als erstes mal ein HijackThis logfile (obwohl ich nicht glaube, dass dort was besonderes auftauchen wird..)

Die hier solltest du mal auf VT überprüfen lassen. Poste bitte danach den Bericht..



Was ist hier drinn? Bitte nicht entpacken! Nur reingucken C:\WINDOWS\REGBK12.ZIP


Also in den Archiven sind daten vom "Windows registry editor 5.0" drin, Virustotal-seite funzt nicht. Habe noch unter den archiven ne --reedit.COM-- gefunden und erst mal umbenannt.

Alt 06.12.2007, 11:44   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backdoor (ircbot)???, Fehlalarm? - Standard

Backdoor (ircbot)???, Fehlalarm?



Hi,

inwiefern funktioniert Virustotal nicht? Klappt das denn bei Jotti? Bei Jotti musst du ggf. etwas abwarten, der der Service recht häufig überlastet ist...

Mach doch auch nochmal einen Check mit Blacklight und poste das Log.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 06.12.2007, 12:11   #10
Matze05
 
Backdoor (ircbot)???, Fehlalarm? - Standard

Backdoor (ircbot)???, Fehlalarm?



Hallo Cosinus,

also, Blacklight findet nix glaube das hier ist das log:
12/06/07 12:46:48 [Info]: BlackLight Engine 1.0.67 initialized
12/06/07 12:46:48 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/06/07 12:46:49 [Note]: 7019 4
12/06/07 12:46:49 [Note]: 7005 0
12/06/07 12:46:52 [Note]: 7006 0
12/06/07 12:46:52 [Note]: 7011 1936
12/06/07 12:46:53 [Note]: 7026 0
12/06/07 12:46:53 [Note]: 7026 0
12/06/07 12:46:56 [Note]: FSRAW library version 1.7.1024
12/06/07 12:51:55 [Note]: 2000 1012
12/06/07 12:52:23 [Note]: 7007 0


bei Jotti wurde auch nichts zu den dateien gefunden, zur regedit.com hab ich was im netz gefunden, is normal, tuneup pimpt da wohl was. Ansonsten keine Ahnung,

Alt 06.12.2007, 12:12   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backdoor (ircbot)???, Fehlalarm? - Standard

Backdoor (ircbot)???, Fehlalarm?



Was ist denn mit Virustotal los? Warum klappt das nicht bei dir? Genaue Fehlerbeschreibung?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 06.12.2007, 12:15   #12
Matze05
 
Backdoor (ircbot)???, Fehlalarm? - Standard

Backdoor (ircbot)???, Fehlalarm?



Zitat:
Zitat von cosinus Beitrag anzeigen
Was ist denn mit Virustotal los? Warum klappt das nicht bei dir? Genaue Fehlerbeschreibung?


Aha der link vom undoreal war doppelt mit Http, geht doch. Jetz muss ich at Work, scanne heute abend die dats bei VT nochmal.

Gruss bis denne mal

Alt 06.12.2007, 13:40   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backdoor (ircbot)???, Fehlalarm? - Standard

Backdoor (ircbot)???, Fehlalarm?



Naja, nochmal bei VT scannen musst du die Dateien nicht, du hast sie ja schon bei jotti scannen lassen. Sie scheinen sauber zu sein. Mir gings nur um den Fehler, warum du VT nicht öffnen konntest, aber das hat sich ja erledigt.

Die mwav/escan Ergebnisse klingen sehr nach Fehlalarme, das Programm erzeugt in dieser Sektion (Infektionsmeldungen) leider sehr viele davon...
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 06.12.2007, 14:15   #14
undoreal
/// AVZ-Toolkit Guru
 
Backdoor (ircbot)???, Fehlalarm? - Standard

Backdoor (ircbot)???, Fehlalarm?



Zitat:
bei Jotti wurde auch nichts zu den dateien gefunden
magst du evtl. die Ergebnisse posten? Die Dateien sind eigentlich so eindeutig, dass ich kaum glauben kann, dass Jotti nichts ausspuckt...
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 06.12.2007, 22:47   #15
Matze05
 
Backdoor (ircbot)???, Fehlalarm? - Standard

Backdoor (ircbot)???, Fehlalarm?



Hallo undoreal,

Also nochmal die ergebnisse von Virustotal, hab nicht alle ins file getan, nirgends war ne meldung, ausser esafe machte ne bemerkung das die dbreg.exe verdächtig sei. kommt mir langsam so vor als wenn Microworld es drauf anlegt das toolkit MWAV für 99 $ an den mann zu bringen, und user in die irre zu führen .

Datei DBReg.exe empfangen 2007.12.06 23:02:56 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/32 (3.13%)
Laden der Serverinformationen...
I

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.7.0 2007.12.06 -
AntiVir 7.6.0.34 2007.12.06 -
Authentium 4.93.8 2007.12.05 -
Avast 4.7.1098.0 2007.12.06 -
AVG 7.5.0.503 2007.12.06 -
BitDefender 7.2 2007.12.06 -
CAT-QuickHeal 9.00 2007.12.06 -
ClamAV 0.91.2 2007.12.06 -
DrWeb 4.44.0.09170 2007.12.06 -
eSafe 7.0.15.0 2007.12.06 Suspicious File
eTrust-Vet 31.3.5356 2007.12.06 -
Ewido 4.0 2007.12.06 -
FileAdvisor 1 2007.12.06 -
Fortinet 3.14.0.0 2007.12.06 -
F-Prot 4.4.2.54 2007.12.06 -
F-Secure 6.70.13030.0 2007.12.06 -
Ikarus T3.1.1.12 2007.12.06 -
Kaspersky 7.0.0.125 2007.12.06 -
McAfee 5179 2007.12.06 -
Microsoft 1.3007 2007.12.06 -
NOD32v2 2707 2007.12.06 -
Norman 5.80.02 2007.12.06 -
Panda 9.0.0.4 2007.12.06 -
Prevx1 V2 2007.12.06 -
Rising 20.21.32.00 2007.12.06 -
Sophos 4.24.0 2007.12.06 -
Sunbelt 2.2.907.0 2007.12.06 -
Symantec 10 2007.12.06 -
TheHacker 6.2.9.151 2007.12.05 -
VBA32 3.12.2.5 2007.12.05 -
VirusBuster 4.3.26:9 2007.12.06 -
Webwasher-Gateway 6.6.2 2007.12.06 -



Datei DBREG.dll empfangen 2007.12.06 23:07:21 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.7.0 2007.12.06 -
AntiVir 7.6.0.34 2007.12.06 -
Authentium 4.93.8 2007.12.05 -
Avast 4.7.1098.0 2007.12.06 -
AVG 7.5.0.503 2007.12.06 -
BitDefender 7.2 2007.12.06 -
CAT-QuickHeal 9.00 2007.12.06 -
ClamAV 0.91.2 2007.12.06 -
DrWeb 4.44.0.09170 2007.12.06 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5356 2007.12.06 -
Ewido 4.0 2007.12.06 -
FileAdvisor 1 2007.12.06 -
Fortinet 3.14.0.0 2007.12.06 -
F-Prot 4.4.2.54 2007.12.06 -
F-Secure 6.70.13030.0 2007.12.06 -
Ikarus T3.1.1.12 2007.12.06 -
Kaspersky 7.0.0.125 2007.12.06 -
McAfee 5179 2007.12.06 -
Microsoft 1.3007 2007.12.06 -
NOD32v2 2707 2007.12.06 -
Norman 5.80.02 2007.12.06 -
Panda 9.0.0.4 2007.12.06 -
Prevx1 V2 2007.12.06 -
Rising 20.21.32.00 2007.12.06 -
Sophos 4.24.0 2007.12.06 -
Sunbelt 2.2.907.0 2007.12.06 -
Symantec 10 2007.12.06 -
TheHacker 6.2.9.151 2007.12.05 -
VBA32 3.12.2.5 2007.12.05 -
VirusBuster 4.3.26:9 2007.12.06 -
Webwasher-Gateway 6.6.2 2007.12.06 -


Datei CmdLineExt.dll empfangen 2007.12.06 23:18:08 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.7.0 2007.12.06 -
AntiVir 7.6.0.34 2007.12.06 -
Authentium 4.93.8 2007.12.05 -
Avast 4.7.1098.0 2007.12.06 -
AVG 7.5.0.503 2007.12.06 -
BitDefender 7.2 2007.12.06 -
CAT-QuickHeal 9.00 2007.12.06 -
ClamAV 0.91.2 2007.12.06 -
DrWeb 4.44.0.09170 2007.12.06 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5356 2007.12.06 -
Ewido 4.0 2007.12.06 -
FileAdvisor 1 2007.12.06 -
Fortinet 3.14.0.0 2007.12.06 -
F-Prot 4.4.2.54 2007.12.06 -
F-Secure 6.70.13030.0 2007.12.06 -
Ikarus T3.1.1.12 2007.12.06 -
Kaspersky 7.0.0.125 2007.12.06 -
McAfee 5179 2007.12.06 -
Microsoft 1.3007 2007.12.06 -
NOD32v2 2707 2007.12.06 -
Norman 5.80.02 2007.12.06 -
Panda 9.0.0.4 2007.12.06 -
Prevx1 V2 2007.12.06 -
Rising 20.21.32.00 2007.12.06 -
Sophos 4.24.0 2007.12.06 -
Sunbelt 2.2.907.0 2007.12.06 -
Symantec 10 2007.12.06 -
TheHacker 6.2.9.151 2007.12.05 -
VBA32 3.12.2.5 2007.12.05 -
VirusBuster 4.3.26:9 2007.12.06 -
Webwasher-Gateway 6.6.2 2007.12.06 -

Ich sage mal vielen Dank für eure hilfe, könnt ja vielleicht noch ein paar nützliche links mit tools wie combofix posten, sind echt hilfreich. Macht weiter so !!!!

Antwort

Themen zu Backdoor (ircbot)???, Fehlalarm?
ad-aware, adobe, antispyware, antivirus, backdoor, bho, computer, confused, ctfmon.exe, cyberlink, desktop, drivers, einstellungen, excel, explorer, fehlalarm, fehler, g data, gdata, hijackthis, hkus\s-1-5-18, hosts-datei, internet, internet explorer, object, pop-up-blocker, proxy, prozesse, registry, rundll, s-1-5-18, security, software, spyware terminator, trend micro, urlsearchhook, userinit.exe, vielen dank, windows xp, windows\system32\drivers



Ähnliche Themen: Backdoor (ircbot)???, Fehlalarm?


  1. AVG Meldet Trojaner BackDoor Generic_c. Fehlalarm oder nicht?
    Plagegeister aller Art und deren Bekämpfung - 05.01.2015 (3)
  2. Frage Fehlalarm AVG: Trojaner BackDoor.Generic13.Y u.ä. ?
    Diskussionsforum - 11.01.2011 (3)
  3. Backdoor.Generic oder Fehlalarm ?
    Log-Analyse und Auswertung - 12.11.2010 (1)
  4. Backdoor:Win32/IRCbot.gen!M und Win32/Oficla.V
    Plagegeister aller Art und deren Bekämpfung - 27.10.2010 (1)
  5. JAVA/Bytverify.I.1 und Backdoor.Win32.IRCBot!IK gefunden
    Plagegeister aller Art und deren Bekämpfung - 06.10.2010 (5)
  6. Trojaner (via msn): Backdoor:Win32/IRCbot.gen!M
    Plagegeister aller Art und deren Bekämpfung - 17.09.2010 (7)
  7. W32.IRCBot
    Plagegeister aller Art und deren Bekämpfung - 11.04.2010 (6)
  8. Verdacht auf Fehlalarm: 'BDS/Backdoor.Gen' (berechtigte Rückfrage)
    Plagegeister aller Art und deren Bekämpfung - 21.01.2010 (6)
  9. Backdoor:Win32/IRCbot.gen!M
    Plagegeister aller Art und deren Bekämpfung - 29.12.2009 (1)
  10. Backdoor WIN32.IRCBot.glo!A2
    Plagegeister aller Art und deren Bekämpfung - 25.03.2009 (2)
  11. Fehlalarm von AVG - BackDoor.Generic10.TDZ
    Log-Analyse und Auswertung - 24.10.2008 (0)
  12. Escan findet wieder "backdoor (ircbot) trojans"
    Plagegeister aller Art und deren Bekämpfung - 15.04.2008 (13)
  13. Benötige Hilfe zur Entfernung von: backdoor ircbot ; ezula etc.
    Plagegeister aller Art und deren Bekämpfung - 30.01.2008 (9)
  14. LAN IRCbot-verseucht? (PC 3)
    Plagegeister aller Art und deren Bekämpfung - 27.01.2008 (0)
  15. Help! Backdoor Worm/IRCBot.
    Plagegeister aller Art und deren Bekämpfung - 05.08.2007 (10)
  16. Backdoor.Win32.IRCBot.acu über MSN images.zip
    Plagegeister aller Art und deren Bekämpfung - 01.08.2007 (6)
  17. Adware Away, Backdoor Berbew Fehlalarm ?
    Plagegeister aller Art und deren Bekämpfung - 01.10.2004 (4)

Zum Thema Backdoor (ircbot)???, Fehlalarm? - Hallo bin neu hier und habe folgendes prob. mwav findet bei mir backdoor (ircbot) trojans, alle anderen antispyware proggies nichts, und mein gdata auch nichts . hatte vor kurzem im - Backdoor (ircbot)???, Fehlalarm?...
Archiv
Du betrachtest: Backdoor (ircbot)???, Fehlalarm? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.