Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: liebe experten bitte um auswertung, vielen dank!!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 18.12.2007, 15:07   #1
isolde_baden
 
liebe experten bitte um auswertung, vielen dank!! - Standard

liebe experten bitte um auswertung, vielen dank!!



Logfile of HijackThis v1.99.1
Scan saved at 14:51:57, on 18.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\service32.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Ares\Ares.exe
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
F:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ares] "C:\Programme\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: p6_19_erinnerung.lnk = C:\Programme\phase6\phase6_19_download\WinStart\p6erinnerung.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Programme\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe

Alt 18.12.2007, 15:29   #2
Seitsef
 
liebe experten bitte um auswertung, vielen dank!! - Standard

liebe experten bitte um auswertung, vielen dank!!



Hallo, ist dir irgentwas aufgefallen?
(Ist dir irgentetwas in letzter zeit aufgefallen sprich: auf deinen PC : langsamer etc.)
Und dein System SP ...
Und du kannst schonmal das hier C:\WINDOWS\service32.exe bei www.Virustotal.com hochladen und das Ergebnis Posten.
__________________

__________________

Alt 18.12.2007, 15:50   #3
isolde_baden
 
liebe experten bitte um auswertung, vielen dank!! - Standard

liebe experten bitte um auswertung, vielen dank!!



hallo, danke für die schnelle antwort,es ist nicht mein pc, sondern der der tochter einer unserer kunden

also fehlberbeschreibung:

windows fährt hoch, fehlermeldung erscheint: winows wird heruntergefahren...innerhalb von 60 sekunden ... ausgelöst durch nt/autorität system.. also wie beim sasser damals. (hieß der so??)

hier das virus total ergebnis:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.18.11 2007.12.18 Win-Trojan/Polycrypt.12087
AntiVir 7.6.0.45 2007.12.18 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2007.12.18 -
Avast 4.7.1098.0 2007.12.17 -
AVG 7.5.0.503 2007.12.17 Win32/PolyCrypt
BitDefender 7.2 2007.12.18 Trojan.Dropper.Small.NCK
CAT-QuickHeal 9.00 2007.12.17 Trojan.PolyCrypt.d
ClamAV 0.91.2 2007.12.18 -
DrWeb 4.44.0.09170 2007.12.18 Trojan.Packed.166
eSafe 7.0.15.0 2007.12.17 Win32.PolyCrypt.d
eTrust-Vet 31.3.5385 2007.12.18 -
weitere Informationen
File size: 12087 bytes
MD5: fe87b5d36ca84b100989cde557d10c9b
SHA1: 12cb18c58517a48b419d45f86fa88728692fae02
PEiD: -
__________________

Alt 18.12.2007, 15:52   #4
11Boy11
 
liebe experten bitte um auswertung, vielen dank!! - Standard

liebe experten bitte um auswertung, vielen dank!!



Alsooo:

~> Versteckte Dateiuen & Ordner sichtbar machen.

1) - eScan auführen & Bericht Posten

2) - Combofix ausführen & Bericht Posten
__________________
Gruß 11Boy

Alt 20.12.2007, 10:17   #5
isolde_baden
 
liebe experten bitte um auswertung, vielen dank!! - Standard

liebe experten bitte um auswertung, vielen dank!!



hi, sorry dass es etwas länger gedauert hat,war gestern im außendienst:

also hier der escan logfile:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.6.2
Sprache: German
Virus-Datenbank Datum: 12/12/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "rewardnet Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "rewardnet Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "rewardnet Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "rewardnet Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with rewardnet Spyware/Adware ({3e22694d-7b92-42a1-89a7-668e2f7aa107})! Action taken: Keine Aktion vorgenommen.
System found infected with rewardnet Spyware/Adware ({453a51cc-f944-4643-9540-a78253b8019c})! Action taken: Keine Aktion vorgenommen.
System found infected with rewardnet Spyware/Adware ({ad13ffc0-ba5d-4b6c-acbf-d1c44d0da9b5})! Action taken: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with rewardnet Spyware/Adware ({10770beb-5afa-4851-b68e-ee891f3dee7f})! Action taken: Keine Aktion vorgenommen.
System found infected with rewardnet Spyware/Adware ({7adfdfcf-8b4e-42a2-b458-3ca6f2db7fe4})! Action taken: Keine Aktion vorgenommen.
System found infected with rewardnet Spyware/Adware ({ad13ffc0-ba5d-4b6c-acbf-d1c44d0da9b5})! Action taken: Keine Aktion vorgenommen.
System found infected with win32.guzu.b Virus (service32.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with smitfraud Browser Hijacker (svcp.csv)! Action taken: Keine Aktion vorgenommen.
System found infected with smitfraud Browser Hijacker (winsub.xml)! Action taken: Keine Aktion vorgenommen.
System found infected with killav.nbd Browser Hijacker (C:\Programme\ares\ares.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_local_machine\software\microsoft\windows\currentversion\run/icq lite)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\service32.exe infiziert von "Packed.Win32.PolyCrypt.d" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\service32.exe infiziert von "Packed.Win32.PolyCrypt.d" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\SYSHOST.DLL infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\User\mkubhc.exe infiziert von "Packed.Win32.PolyCrypt.d" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{DABBBEC3-5801-4F47-BAD0-008866592FFE}\RP148\A0048352.DLL infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{DABBBEC3-5801-4F47-BAD0-008866592FFE}\RP148\A0048386.DLL infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{DABBBEC3-5801-4F47-BAD0-008866592FFE}\RP148\A0048394.DLL infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{DABBBEC3-5801-4F47-BAD0-008866592FFE}\RP148\A0048401.DLL infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{DABBBEC3-5801-4F47-BAD0-008866592FFE}\RP148\A0048408.DLL infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{DABBBEC3-5801-4F47-BAD0-008866592FFE}\RP148\A0048415.DLL infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\service32.exe infiziert von "Packed.Win32.PolyCrypt.d" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\SYSHOST.DLL infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\alte Daten Laptop\C_MyBrain\Dokumente und Einstellungen\Albrecht\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\alte Daten Laptop\C_MyBrain\Dokumente und Einstellungen\Default User\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\alte Daten Laptop\C_MyBrain\WINDOWS\system32\config\systemprofile\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\service32.exe
Offending file found: C:\WINDOWS\system32\svcp.csv
Offending file found: C:\WINDOWS\system32\winsub.xml
Offending file found: C:\Programme\ares\ares.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCR\litex.liteconnection !!!
Offending Key found: HKCR\litex.liteconnection.1 !!!
Offending Key found: HKCR\litex.litestatement !!!
Offending Key found: HKCR\litex.litestatement.1 !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{03477db0-41c2-11dc-8c5e-0019d175ae2f} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0720ab0a-4677-11dc-8c79-0019d175ae2f} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0e9cfd64-41d5-11dc-8c5b-0019d175ae2f} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0e9cfd72-41d5-11dc-8c5b-0019d175ae2f} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{22bb6226-40c1-11dc-8c57-0019d175ae2f} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{22bb6228-40c1-11dc-8c57-0019d175ae2f} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{28308099-557d-11dc-8caa-0019d175ae2f} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{430ac516-6e8a-11dc-8d05-0019d175ae2f} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6bbcac62-579d-11dc-8cb4-0019d175ae2f} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{83c9cd0e-5562-11dc-8ca9-0019d175ae2f} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8da4b232-311b-11dc-8c44-0019d175ae2f} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{aec1042c-6139-11dc-8cd4-0019d175ae2f} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{aec1042d-6139-11dc-8cd4-0019d175ae2f} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b50e3992-4674-11dc-8c76-0019d175ae2f} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in {22bb6226-40c1-11dc-8c57-0019d175ae2f}\Shell\Autoplay\DropTarget\AutoRun\command: setup.exe
Executable Command Found in {22bb6228-40c1-11dc-8c57-0019d175ae2f}\Shell\Autoplay\DropTarget\AutoRun\command: setup.exe
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 185093
Gefundene Viren: 45
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 59
Dauer des Scans bisher: 00:30:23
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 16:28:30,71
Batchende: 16:28:35,67



-----------------------------


bei combofix wusste ich nicht was ich da posten sollte, poste jetzt beide logfiles die combofix erstellt hat:

combofix logfile 1:

ComboFix 07-12-19.2 - User 2007-12-19 16:29:23.1 - NTFSx86 NETWORK
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.596 [GMT 1:00]
ausgeführt von:: F:\escan\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\User.\aria.txt
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\system32\xpdx.sys

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\xpdx


((((((((((((((((((((((( Dateien erstellt von 2007-11-19 bis 2007-12-19 ))))))))))))))))))))))))))))))
.

2007-12-19 09:09 . 2007-12-19 09:09 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-12-19 09:09 . 2007-12-19 09:09 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-12-19 09:09 . 2007-12-19 09:09 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-12-19 09:09 . 2007-12-19 09:09 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-12-19 09:09 . 2007-12-19 09:09 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-12-19 09:09 . 2007-12-19 09:09 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-12-19 09:09 . 2007-12-19 09:10 5,199,117 --a------ C:\WINDOWS\REGBK00.ZIP
2007-12-19 09:09 . 2007-12-19 09:09 26 --a------ C:\WINDOWS\Lic.xxx
2007-12-19 09:08 . 2004-08-04 13:00 153,600 --a------ C:\WINDOWS\R.COM
2007-12-19 09:08 . 2004-08-04 13:00 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-12-18 12:36 . 2007-12-19 16:36 5,120 --a------ C:\WINDOWS\SYSHOST.DLL
2007-12-10 18:12 . 2007-12-10 18:12 <DIR> d-------- C:\T-Online_Software_6
2007-11-22 20:37 . 2007-11-22 20:37 584 --a------ C:\WINDOWS\eReg.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-16 15:33 --------- d-----w C:\Programme\ICQToolbar
2007-12-10 18:32 --------- d-----w C:\Dokumente und Einstellungen\User\Anwendungsdaten\Canon
2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2007-11-22 19:31 --------- d-----w C:\Programme\Maxis
2007-11-22 19:30 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-08 18:26 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-10-22 18:05 --------- d-----w C:\Dokumente und Einstellungen\User\Anwendungsdaten\SecuROM
2007-10-22 17:59 --------- d-----w C:\Programme\phase6
2007-10-20 08:34 --------- d-----w C:\Programme\ICQLite
2007-08-21 09:11 12,087 ----a-w C:\Dokumente und Einstellungen\User\mkubhc.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55]
"ares"="C:\Programme\Ares\Ares.exe" [2007-07-16 22:54]
"T-Online_Software_6\WLAN-Access Finder"="C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2007-07-25 16:50]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:15]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-04-20 06:57]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-04-20 06:57]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-04-20 06:57]
"SigmatelSysTrayApp"="sttray.exe" []
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 02:43]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2006-01-12 14:40]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:15]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.exe" [2007-01-16 10:56]
"T-Online_Software_6\WLAN-Access Finder"="C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2007-07-25 16:50]

R0 stmtpm;STM TPM Service;C:\WINDOWS\system32\DRIVERS\stm_tpm.sys [2006-05-19 10:14]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2007-01-09 15:16]
R3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 07:14]
S3 celmkt;celmkt;C:\WINDOWS\system32\Drivers\celmkt.sys [2007-02-08 13:45]
S3 hwdatacard;Huawei DataCard USB Modem and USB Serial;C:\WINDOWS\system32\DRIVERS\ewusbmdm.sys [2006-10-02 14:01]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-10-09 13:03]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 13:46]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{03477db0-41c2-11dc-8c5e-0019d175ae2f}]
\Shell\AutoRun\command - F:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0720ab0a-4677-11dc-8c79-0019d175ae2f}]
\Shell\AutoRun\command - F:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e9cfd64-41d5-11dc-8c5b-0019d175ae2f}]
\Shell\AutoRun\command - F:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e9cfd72-41d5-11dc-8c5b-0019d175ae2f}]
\Shell\AutoRun\command - H:\PortableApps\PortableAppsMenu\PortableAppsMenu.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{22bb6226-40c1-11dc-8c57-0019d175ae2f}]
\Shell\AutoRun\command - setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{22bb6228-40c1-11dc-8c57-0019d175ae2f}]
\Shell\AutoRun\command - setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{28308099-557d-11dc-8caa-0019d175ae2f}]
\Shell\AutoRun\command - F:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{430ac516-6e8a-11dc-8d05-0019d175ae2f}]
\Shell\AutoRun\command - F:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6bbcac62-579d-11dc-8cb4-0019d175ae2f}]
\Shell\AutoRun\command - F:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{83c9cd0e-5562-11dc-8ca9-0019d175ae2f}]
\Shell\AutoRun\command - F:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8da4b232-311b-11dc-8c44-0019d175ae2f}]
\Shell\AutoRun\command - F:\PortableApps\PortableAppsMenu\PortableAppsMenu.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aec1042c-6139-11dc-8cd4-0019d175ae2f}]
\Shell\AutoRun\command - F:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aec1042d-6139-11dc-8cd4-0019d175ae2f}]
\Shell\AutoRun\command - F:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b50e3992-4674-11dc-8c76-0019d175ae2f}]
\Shell\AutoRun\command - F:\VMC_PBStarter.exe

.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-19 16:36:23
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"T-Online_Software_6\\WLAN-Access Finder"="C:\\Programme\\T-Online\\WLAN-Access Finder\\ToWLaAcF.exe /StartMinimized"
.
Zeit der Fertigstellung: 2007-12-19 16:37:08 - machine was rebooted
.
2007-12-13 22:37:54 --- E O F ---



----------------------------------------


combofix logile 2:

2004-08-04 13:00 140800 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\TASKMGR.COM.vir
2004-08-04 13:00 153600 --a------ C:\Qoobox\Quarantine\C\WINDOWS\REGEDIT.COM.vir
2007-08-08 20:50 0 --a------ C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\User\aria.txt.vir
2007-08-19 22:17 4 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\winsub.xml.vir
2007-08-19 22:17 62 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\svcp.csv.vir
2007-11-28 17:58 54046 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\xpdx.sys.vir
2007-12-19 16:30 296 --a------ C:\Qoobox\Quarantine\catchme.log
2007-12-19 16:30 53670 --a------ C:\Qoobox\Quarantine\catchme2007-12-19_163613.17.zip
2007-12-19 16:30 74 --a------ C:\Qoobox\Quarantine\Registry_backups\services_xpdx.reg.dat
2007-12-19 16:31 2543 --a------ C:\Qoobox\Quarantine\C\ComboFix\errdbg.dat.vir


Alt 20.12.2007, 12:28   #6
isolde_baden
 
liebe experten bitte um auswertung, vielen dank!! - Standard

liebe experten bitte um auswertung, vielen dank!!



könnte bitte nochmal jemand nen blick drüberwerfen??

gibts ein hotfix für "Packed.Win32.PolyCrypt.d" ?

Alt 20.12.2007, 12:33   #7
isolde_baden
 
liebe experten bitte um auswertung, vielen dank!! - Standard

liebe experten bitte um auswertung, vielen dank!!



edit: bzw gibts es iwelche hotfixe für die ganzen anderen viren die da drauf sind?

Alt 20.12.2007, 13:46   #8
Cleriker
 
liebe experten bitte um auswertung, vielen dank!! - Standard

liebe experten bitte um auswertung, vielen dank!!



Wow...

da ist einiges an Schädlingen drauf zum Teil
mit Backdooreigenschaften. Zu allem Überfluss
ist die Systemwiderherstellung verseucht.

Eine Bereinigung würde (falls erfolgreich) dem System
den Teppich unter dem Füßen wegziehen.
Da ist wirklich nur noch ein Neuaufsetzen empfehlenswert.
* System neu aufsetzen mit anschließender Absicherung
Anschließend bitte die Passwörter ändern . . .

mfg Cleriker

Alt 20.12.2007, 15:21   #9
isolde_baden
 
liebe experten bitte um auswertung, vielen dank!! - Standard

liebe experten bitte um auswertung, vielen dank!!



vielen dank für die hilfe , hab mir schon gedacht dass bei dem befall wohl nichts andres übrig bleibt. nur aus intresse, was ist außer dem polycript noch so drau bzw wie sind die alle darauf gekommen?

Alt 20.12.2007, 17:03   #10
Cleriker
 
liebe experten bitte um auswertung, vielen dank!! - Standard

liebe experten bitte um auswertung, vielen dank!!



Ähm...
Das sind die ersten, die mir ins Auge fallen...

- Packed.Win32.PolyCrypt.d
- Trojan-Clicker.Win32.Small.kj
- kasserver.com
- rundll16.exe

mfg Cleriker

Alt 20.12.2007, 17:38   #11
nochdigger
 
liebe experten bitte um auswertung, vielen dank!! - Standard

liebe experten bitte um auswertung, vielen dank!!



Hallo

ein Rootkit hätte ich noch zu bieten
C:\WINDOWS\system32\xpdx.sys
xpdx.sys - Program Information

MFG

Antwort

Themen zu liebe experten bitte um auswertung, vielen dank!!
adapter, adobe, antivirus, auswertung, avast, avast!, bho, dateien, download, explorer, hijack, hijackthis, internet, internet explorer, logfile, messenger, microsoft, msn, object, pdf, programme, server, shockwave, software, system, t-online, urlsearchhook, vielen dank, windows, windows xp



Ähnliche Themen: liebe experten bitte um auswertung, vielen dank!!


  1. Vielen Dank Cosinus! Vielen Dank Trojanerboard!
    Lob, Kritik und Wünsche - 26.08.2015 (1)
  2. Vielen Dank an Cosinus, vielen Dank an Trojaner-Board
    Lob, Kritik und Wünsche - 29.11.2013 (0)
  3. bitte kurzen Blick auf Log-Files,vielen dank!
    Log-Analyse und Auswertung - 07.07.2009 (16)
  4. LogFile Auswertung; Brauche die Meinung eines Experten.
    Log-Analyse und Auswertung - 10.09.2008 (38)
  5. Bitte um Logfile Analyse die 2. - VIELEN Dank!!!
    Mülltonne - 17.02.2008 (0)
  6. Bitte um Logfile Analyse - VIELEN Dank!!!
    Mülltonne - 17.02.2008 (0)
  7. Bitte Log überprüfen ! Vielen Dank
    Mülltonne - 14.02.2008 (0)
  8. Bitte meine Logfile anschauen! Vielen Dank
    Log-Analyse und Auswertung - 01.01.2008 (0)
  9. Hallo. Könntet ihr bitte meinen eScan Log überprüfen? vielen dank!
    Log-Analyse und Auswertung - 02.11.2007 (1)
  10. Bitte anschauen....HJTLog. Vielen Dank!!!
    Mülltonne - 18.08.2007 (0)
  11. Bitte um Überprüfung meines hijacks - Vielen Dank
    Mülltonne - 28.07.2007 (1)
  12. ich bitte freundlich um eine Logfile Auswertung - Vielen Dank! Liebe Grüße,Crubble
    Mülltonne - 13.07.2007 (1)
  13. ständiger Absturz- bitte um Hilfe bei der Logfile-Auswertung - Vielen Dank im Voraus
    Log-Analyse und Auswertung - 09.06.2006 (1)
  14. Bitte einmal checken... vielen dank :-)
    Mülltonne - 03.06.2006 (2)
  15. 100% Auslastung - LogFIle Auswertung - Vielen Dank
    Log-Analyse und Auswertung - 24.03.2006 (14)
  16. Bitte um Überprüfung meiner HiJackThis Log-files...Vielen Dank
    Log-Analyse und Auswertung - 24.06.2005 (4)
  17. Bitte mal ansehen. Vielen Dank
    Log-Analyse und Auswertung - 29.01.2005 (3)

Zum Thema liebe experten bitte um auswertung, vielen dank!! - Logfile of HijackThis v1.99.1 Scan saved at 14:51:57, on 18.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil - liebe experten bitte um auswertung, vielen dank!!...
Archiv
Du betrachtest: liebe experten bitte um auswertung, vielen dank!! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.